Ocata 系列发布说明

15.1.11

错误修复

  • sysctl 配置任务没有跳过 enabled 设置为 no 的配置。 相反,当设置 enabled: no 时,它会删除配置。

    现在有一个修复程序,可确保任何 enabled: no 的 sysctl 配置将被跳过,并且系统上的配置将保持不变。

15.1.9

安全问题

  • PermitRootLogin 在 ssh 配置中已从 yes 更改为 without-password。这将仅允许使用密钥通过 ssh 身份验证 root。

15.1.0

安全问题

  • 安全角色默认情况下不再根据 RPM 数据库的内容修复文件权限和所有权。部署者可以通过将 security_reset_perm_ownership 设置为 yes 来选择加入这些更改。

  • 搜索 .shostsshosts.equiv 文件的任务(STIG ID:RHEL-07-040330)现在默认跳过。搜索在包含大量文件的系统上完成需要很长时间,并且在运行时也会导致大量的磁盘 I/O。

15.0.0

新特性

  • chrony 的安装默认情况下仍然启用,但现在由变量 security_enable_chrony 控制。

  • Red Hat Enterprise Linux (RHEL) 7 STIG 内容现在默认部署。部署者可以通过设置以下 Ansible 变量继续使用 RHEL 7 STIG 内容

    stig_version: rhel6

升级说明

  • 安全角色将接受已安装的软件包的当前版本,而不是尝试更新它。这减少了安全角色后续运行中对系统进行意外更改的可能性。部署者仍然可以将 security_package_state 设置为 latest,以确保安全角色安装的所有软件包都是最新的。

  • 部署者应查看 defaults/main.yml 中的新的 RHEL 7 STIG 变量,以提供 Ansible 任务的自定义配置。

弃用说明

  • Red Hat Enterprise Linux 6 STIG 内容已弃用。RHEL 6 STIG 的任务和变量将在未来的版本中删除。