Pike 系列发布说明

16.0.5

新特性

  • 现在可以设置 security_sshd_permit_root_login 设置,以更改 /etc/ssh/sshd_config 中的 PermitRootLogin 设置为任何可能的选项。 将 security_sshd_permit_root_login 设置为 without-passwordprohibit-passwordforced-commands-onlyyesno 中的一个。

  • 默认情况下,现在已禁用搜索可写入世界的文件的功能。 搜索会导致 playbook 运行延迟,并且会消耗大量的 CPU 和 I/O 资源。 部署者可以通过将 security_find_world_writable_dirs 设置为 yes 来重新启用搜索。

16.0.0

序言

Red Hat Enterprise Linux 7 STIG 的第一个发布版本完全从预发布版本重新编号。许多 STIG 配置只是更改了数字,但有些被删除或更改了。也添加了一些新的配置。

新特性

  • 部署者可以通过新的 Ansible 变量提供自定义登录横幅:security_login_banner_text。此横幅文本用于非图形化登录,包括控制台和 ssh 登录。

安全问题

  • 安全角色默认情况下不再根据 RPM 数据库的内容修复文件权限和所有权。部署者可以通过将 security_reset_perm_ownership 设置为 yes 来选择加入这些更改。

  • 搜索 .shostsshosts.equiv 文件的任务(STIG ID:RHEL-07-040330)现在默认跳过。搜索在包含大量文件的系统上完成需要很长时间,并且在运行时也会导致大量的磁盘 I/O。

  • 最新版本的 RHEL 7 STIG 要求在用户登录系统时向用户呈现标准的登录横幅 (V-71863)。安全角色现在部署一个用于控制台和 ssh 会话的登录横幅。

  • 作为 RHEL-07-040070 和 RHEL-07-040080 的一部分包含的 cn_map 权限和所有权调整已被删除。此 STIG 配置已从最新版本的 RHEL 7 STIG 中删除。

  • RHEL-07-040030、RHEL-07-040040 和 RHEL-07-040050 的基于 PKI 的身份验证检查不再包含在 RHEL 7 STIG 中。这些过时配置的任务和文档已被删除。