Red Hat Training

A Red Hat training course is available for RHEL 8

4.14. 安全 (機器翻譯)

SCAP安全指南PCI-DSS配置文件與版本3.2.1一致

SCAP Security Guide 該項目為Red Hat Enterprise Linux 8提供了PCI-DSS(支付卡行業數據安全標準)配置文件,並且已經更新以符合最新的PCI-DSS版本 - 3.2.1。

(BZ#1618528)

OpenSSH的 重新定義為7.8p1版本

openssh 軟件包已升級到上游版本7.8p1。值得注意的變化包括:

  • 刪除了支持 SSH version 1 協議。
  • 刪除了支持 hmac-ripemd160 消息驗證碼。
  • 刪除了對RC4的支持(arcfour)密碼。
  • 刪除了支持 Blowfish 密碼。
  • 刪除了支持 CAST 密碼。
  • 更改了默認值 UseDNS 選項 no
  • DSA 公鑰算法默認情況下。
  • 更改了最小模數大小 Diffie-Hellman 參數為2048位。
  • 改變了語義 ExposeAuthInfo 配置選項。
  • UsePrivilegeSeparation=sandbox 選項現在是強制性的,無法禁用。
  • 設置接受的最小值 RSA 密鑰大小為1024位。

(BZ#1622511)

現在支持RSA-PSS OpenSC

此更新增加了對RSA-PSS加密簽名方案的支持 OpenSC 智能卡驅動程序。新方案支持客戶端軟件中TLS 1.3支持所需的安全加密算法。

(BZ#1595626)

值得注意的變化 rsyslog 在RHEL 8中

rsyslog 軟件包已升級到上游版本8.37.0,它提供了許多錯誤修復和增強功能。最值得注意的變化包括:

  • 增強處理 rsyslog現在 內部消息;限制它們的可能性;修復了可能的死鎖。
  • 一般來說,增強了速率限制;實際上 垃圾郵件源 現在已記錄。
  • 改進了對超大消息的處理 - 用戶現在可以設置如何在核心和某些模塊中使用單獨的操作來處理它們。
  • mmnormalize 規則庫現在可以嵌入到 config 文件而不是為它們創建單獨的文件。
  • 用戶現在可以設置 的GnuTLS 優先級字符串 imtcp 允許對加密進行細粒度控制。
  • 所有 config 變量(包括JSON中的變量)現在不區分大小寫。
  • PostgreSQL輸出的各種改進。
  • 添加了使用shell變量來控制的可能性 config 處理,例如條件加載其他配置文件,執行語句或包含文本 config。請注意,過度使用此功能會使調試問題變得非常困難 rsyslog現在
  • 現在可以在中指定4位文件創建模式 config
  • 可靠的事件記錄協議(RELP)輸入現在也只能綁定在指定的地址上。
  • 默認值 enable.body 郵件輸出選項現在與文檔對齊
  • 用戶現在可以指定應該忽略的插入錯誤代碼 MongoDB的 輸出。
  • 並行TCP(pTCP)輸入現在具有可配置的積壓,以實現更好的負載平衡。

(BZ#1613880)

rsyslog現在 模塊: omkafka

啟用 卡夫卡 集中式數據存儲方案,您現在可以將日誌轉發到 卡夫卡 使用新的基礎設施 omkafka 模塊。

(BZ#1542497)

libssh 將SSH實現為核心加密組件

這個改變介紹了 libssh 作為Red Hat Enterprise Linux 8中的核心加密組件。該 libssh library實現了Secure SHell(SSH)協議。

注意 libssh 不符合系統範圍的加密策略。

(BZ#1485241)

PKCS#11對智能卡和HSM的支持現在在整個系統中保持一致

通過此更新,使用智能卡和硬件安全模塊(HSM)與PKCS#11加密令牌接口變得一致。這意味著用戶和管理員可以對系統中的所有相關工具使用相同的語法。顯著的增強功能包括:

  • 支持PKCS#11統一資源標識符(URI)方案,確保在管理員和應用程序編寫者的RHEL服務器上簡化啟用令牌。
  • 一種用於智能卡和HSM的系統級註冊方法 pkcs11.conf
  • NSS,GnuTLS和OpenSSL提供對HSM和智能卡的一致支持(通過 openssl-pkcs11 引擎)應用程序。
  • Apache HTTP服務器(httpd)現在無縫支持HSM。

有關更多信息,請參閱 pkcs11.conf(5) 手冊頁。

(BZ#1516741)

默認情況下應用系統範圍的加密策略

加密策略是紅帽企業Linux 8中的一個組件,它配置核心加密子系統,涵蓋TLS,IPSec,SSH,DNSSec和Kerberos協議。它提供了一小組策略,管理員可以使用這些策略進行選擇 update-crypto-policies 命令。

DEFAULT 系統範圍的加密策略為當前威脅模型提供安全設置。它允許TLS 1.2和1.3協議,以及IKEv2和SSH2協議。如果大於2047位,則接受RSA密鑰和Diffie-Hellman參數。

Consistent security by crypto policies in Red Hat Enterprise Linux 8 關於紅帽博客的文章和 update-crypto-policies(8) 手冊頁以獲取更多信息。

(BZ#1591620)

SCAP安全指南支持OSPP 4.2

SCAP Security Guide 提供了針對Red Hat Enterprise Linux 8的OSPP(通用操作系統保護配置文件)配置文件4.2的草案。此配置文件反映了通用操作系統保護配置文件(保護配置文件版本4.2)的NIAP配置附件中標識的強製配置控制。SCAP安全指南提供自動檢查和腳本,使用戶能夠滿足OSPP中定義的要求。

(BZ#1618518)

OpenSCAP命令行界面得到了改進

現在可以使用詳細模式 oscap 模塊和子模塊。工具輸出改進了格式。

已刪除不推薦使用的選項以提高命令行界面的可用性。

以下選項不再可用:

  • --showoscap xccdf generate report 已完全刪除。
  • --probe-rootoscap oval eval 已被刪除。它可以通過設置環境變量來替換, OSCAP_PROBE_ROOT
  • --sce-resultsoscap xccdf eval 已被取代 --check-engine-results
  • validate-xml 子模塊已從CPE,OVAL和XCCDF模塊中刪除。 validate 可以使用子模塊來根據XML模式和XSD架構來驗證SCAP內容。
  • oscap oval list-probes 命令已被刪除,可以使用顯示可用探針列表 oscap --version 代替。

OpenSCAP允許評估給定XCCDF基準測試中的所有規則,無論使用何種配置文件 --profile '(all)'

(BZ#1618484)

支持新的地圖權限檢查 mmap 系統調用

SELinux map 已添加權限以控制對文件,目錄,套接字等的內存映射訪問。這允許SELinux策略阻止對各種文件系統對象的直接內存訪問,並確保重新驗證每個此類訪問。

(BZ#1592244)

SELinux現在支持 systemd No New Privileges

此更新介紹了 nnp_nosuid_transition 策略功能,啟用SELinux域轉換 No New Privileges (NNP)或 nosuid 如果 nnp_nosuid_transition 允許在新舊環境之間進行。該 selinux-policy 包現在包含一個策略 systemd 使用該服務的服務 NNP 安全功能。

以下規則描述了為服務允許此功能: 

   allow source_domain  target_type:process2 { nnp_transition nosuid_transition };

例如: 

   allow init_t fprintd_t:process2 { nnp_transition nosuid_transition };

分發策略現在還包含m4宏接口,可以在SELinux安全策略中用於使用該服務的服務 init_nnp_daemon_domain() 功能。

(BZ#1594111)

SELinux現在支持 getrlimit 許可 process

此更新引入了一個新的SELinux訪問控制檢查, process:getrlimit, ,已添加為 prlimit() 功能。這使SELinux策略開發人員能夠控制一個進程何時嘗試讀取,然後使用該進程修改另一個進程的資源限制 process:setrlimit 允許。請注意,SELinux不會限制進程通過操縱自己的資源限制 prlimit()。見 prlimit(2)getrlimit(2) 手冊頁了解更多信息。

(BZ#1549772)

加密庫中的TLS 1.3支持

此更新默認在所有主要後端加密庫中啟用傳輸層安全性(TLS)1.3。這樣可以在整個操作系統通信層實現低延遲,並通過利用新算法(如RSA-PSS或X25519)增強應用程序的隱私性和安全性。

(BZ#1516728)

新功能 OpenSCAP 在RHEL 8中

OpenSCAP 套件已升級到上游版本1.3.0,它引入了許多先前版本的增強功能。最顯著的功能包括:

  • API和ABI已合併 - 已刪除已更新,已棄用和/或未使用的符號。
  • 探針不作為獨立進程運行,而是作為獨立進程運行 oscap 處理。
  • 命令行界面已更新。
  • Python 2 綁定已被替換為 Python 3 綁定。

(BZ#1614273)

Audit 3.0取代了 audispdauditd

有了這個更新,功能 audispd 已被轉移到 auditd。結果是, audispd 配置選項現在是其中的一部分 auditd.conf。除此之外 plugins.d 目錄已被移動 /etc/audit。目前的狀況 auditd 現在可以通過運行來檢查其插件 service auditd state 命令。

(BZ#1616428)

rsyslog現在 imfile 現在支持符號鏈接

有了這個更新, rsyslog現在 imfile 模塊提供更好的性能和更多配置選項。這允許您將模塊用於更複雜的文件監視用例。例如,您現在可以在配置的路徑中的任何位置使用具有glob模式的文件監視器,並使用增加的數據吞吐量旋轉符號鏈接目標。

(BZ#1614179)

自動 OpenSSH 服務器密鑰生成現在由處理 sshd-keygen@.service

OpenSSH 如果缺少RSA,ECDSA和ED25519服務器主機密鑰,則會自動創建它們。要在RHEL 8中配置主機密鑰創建,請使用 sshd-keygen@.service 實例化的服務。

例如,要禁用自動創建RSA密鑰類型: 

# systemctl mask sshd-keygen@rsa.service

/etc/sysconfig/sshd 文件以獲取更多信息。

(BZ#1228088)

默認 rsyslog 配置文件格式現在是非遺留的

中的配置文件 rsyslog 軟件包現在默認使用非傳統格式。遺留格式仍然可以使用,但是,混合當前和遺留配置語句有幾個限制。應修改先前RHEL版本中的配置。見 rsyslog.conf(5) 手冊頁以獲取更多信息。

(BZ#1619645)

新的SELinux布爾

SELinux系統策略的此更新引入了以下布爾值:

  • colord_use_nfs
  • mysql_connect_http
  • pdns_can_network_connect_db
  • ssh_use_tcpd
  • sslh_can_bind_any_port
  • sslh_can_connect_any_port
  • virt_use_pcscd

有關更多詳細信息,請參閱以下命令的輸出: 

# semanage boolean -l

(JIRA:RHELPLAN-10347)