章 13. 安全性

SCAP 安全指南

scap-security-guide 套件已納入 Red Hat Enterprise Linux 7.1,提供使用 SCAP(安全內容自動化通訊協定,Security Content Automation Protocol)時的安全上指引、基準、以及相關驗證機制。這項指引是由 SCAPSecurity Content Automation Protocol)所規範,由實務上加強系統的諸多建議所組成。《SCAP 安全指南》包含了掃描系統安全是否符合現有安全政策需求之必要資料;不管是書面描述或自動化測試(偵測)都包含其中。將測試過程自動化,《SCAP 安全指南》提供了方便、可靠的方法,定期驗證系統是否符合安全政策。
The Red Hat Enterprise Linux 7.1 version of the SCAP Security Guide includes the Red Hat Corporate Profile for Certified Cloud Providers (RH CCP), which can be used for compliance scans of Red Hat Enterprise Linux Server 7.1 cloud systems.
Also, the Red Hat Enterprise Linux 7.1 scap-security-guide package contains SCAP datastream content format files for Red Hat Enterprise Linux 6 and Red Hat Enterprise Linux 7, so that remote compliance scanning of both of these products is possible.
The Red Hat Enterprise Linux 7.1 system administrator can use the oscap command line tool from the openscap-scanner package to verify that the system conforms to the provided guidelines. See the scap-security-guide(8) manual page for further information.

SELinux 政策

Red Hat Enterprise Linux 7.1 中,SELinux 政策已經修改;沒有自己的 SELinux 政策的服務之前會在 init_t 區域中執行,現在會在新加入的 unconfined_service_t 區域中執行。詳情請參閱 Red Hat Enterprise Linux 7.1 的《SELinux 使用者與管理者指南未受限程序》一章。

OpenSSH 的新特性

OpenSSH 工具組已經更新至 6.6.1p1 版,新增了幾項加密上的特性:
  • 支援 Daniel Bernstein 的 Curve25519 之橢圓曲線 Diffie-Hellman 金鑰交換功能。只要伺服器與客戶端都支援,這是預設方法。
  • 支援使用 Ed25519 橢圓曲線簽章法,作為公開金鑰的類型。Ed25519 可以為使用者與主機產生金鑰,提供了比 ECDSADSA 更佳的安全性與效能。
  • 新的私密金鑰格式已經加入,這格式使用 bcrypt 金鑰衍生函數(KDF)。預設上,這格式是給 Ed25519 金鑰使用的,但也可以給其它金鑰類型使用。
  • 已新增新的傳送解碼器,chacha20-poly1305@openssh.com。這解碼器結合了 Daniel Bernstein 的 ChaCha20 串流解碼器與 Poly1305 訊息授權碼(MAC,message authentication code)。

Libreswan 的新特性

VPNLibreswan 實作項目已更新到 3.12 版,新增了幾項新特性與改善項目。
  • 已新增新的編碼器。
  • IKEv2 support has been improved.
  • 中介憑證鍊已經加入 IKEv1IKEv2
  • 已改善連線處理。
  • 與 OpenBSD、Cisco 以及 Android 系統的異質平台整合功能已經改善。
  • 已改善對 systemd 的支援。
  • 已加入對雜湊 CERTREQ 與交通數據的支援。

TNC 的新特性

The Trusted Network Connect (TNC) Architecture, provided by the strongimcv package, has been updated and is now based on strongSwan 5.2.0. The following new features and improvements have been added to the TNC:
  • The PT-EAP transport protocol (RFC 7171) for Trusted Network Connect has been added.
  • The Attestation Integrity Measurement Collector (IMC)/Integrity Measurement Verifier (IMV) pair now supports the IMA-NG measurement format.
  • 已改善 Attestation IMV 的支援,方法是實作了新的 TPMRA 工作項目。
  • 已加入對 JSON-based REST API 搭配 SWID IMV 的支援。
  • The SWID IMC can now extract all installed packages from the dpkg, rpm, or pacman package managers using the swidGenerator, which generates SWID tags according to the new ISO/IEC 19770-2:2014 standard.
  • The libtls TLS 1.2 implementation as used by EAP-(T)TLS and other protocols has been extended by AEAD mode support, currently limited to AES-GCM.
  • Improved (IMV) support for sharing access requestor ID, device ID, and product information of an access requestor via a common imv_session object.
  • 現有的 IF-TNCCSPB-TNCIF-MPA-TNC))通訊協定、以及 OS IMC/IMV 配對的幾個 bug 已經修正。

GnuTLS 的新特性

SSLTLS 以及 DTLS 通訊協定的 GnuTLS 實作項目已經更新至 3.3.8,提供了幾項新特性與改善項目。
  • 增加對 DTLS 1.2 的支援。
  • 增加對 Application Layer Protocol NegotiationALPN,應用程式層通訊協定的協商)的支援。
  • 已改善橢圓曲線解碼器組的效能。
  • 已加入新的解碼器組 RSA-PSKCAMELLIA-GCM
  • 已加入對 Trusted Platform ModuleTPM,信任平台模組)的原生性支援。
  • 在多個方面精進對 PKCS#11 智慧卡與 hardware security modulesHSM,硬體安全模組)的支援。
  • 在多個方面精進對 FIPS 140 安全標準(Federal Information Processing Standards,聯邦資訊處理標準)的相容性。