Queens 系列发布说明

17.0.4-11

新特性

  • 现在可以使用 security_ntp_server_options 修改 chrony 中的 NTP 服务器选项。

  • Chrony 获得了一个新的配置选项,可以使用 security_ntp_sync_rtc 变量将系统时钟同步回 RTC。默认情况下禁用。

17.0.0

新特性

  • 部署者现在可以为 EPEL 发布软件包指定自定义软件包名称或 URL。 CentOS 系统默认使用 epel-release,但有些部署者有一个自定义软件包,该软件包将服务器重定向到内部镜像。

  • 默认情况下,现在已禁用为软件包安装的所有文件生成和验证校验和。 检查会导致 playbook 运行延迟,并且会消耗大量的 CPU 和 I/O 资源。 部署者可以通过将 security_check_package_checksums 设置为 yes 来重新启用检查。

  • 现在支持 Fedora 26。

  • Chrony 的默认 NTP 服务器列表现在对北美以外的用户更友好。部署者仍然可以使用 security_ntp_servers Ansible 变量提供他们自己的 NTP 服务器列表。

  • 密码最小和最大生存期现在是可选择的更改,可以对用户帐户采取行动,而不是打印调试警告。请参阅 STIG 要求 V-71927 和 V-71931 的文档,以查看选择加入过程和警告。

  • 现在可以设置 security_sshd_permit_root_login 设置,以更改 /etc/ssh/sshd_config 中的 PermitRootLogin 设置为任何可能的选项。 将 security_sshd_permit_root_login 设置为 without-passwordprohibit-passwordforced-commands-onlyyesno 中的一个。

  • ansible-hardening 角色中的任务现在基于 Red Hat Enteprise Linux Security Technical Implementation Guide 第 1 版第 3 版。

  • sysctl 参数 kernel.randomize_va_space 现在默认设置为 2。 这与大多数现代 Linux 发行版的默认设置匹配,并且可确保启用地址空间布局随机化 (ASLR)。

  • Datagram Congestion Control Protocol (DCCP) 内核模块现在默认禁用,但需要重新启动才能使更改生效。

  • 默认情况下,现在已禁用搜索可写入世界的文件的功能。 搜索会导致 playbook 运行延迟,并且会消耗大量的 CPU 和 I/O 资源。 部署者可以通过将 security_find_world_writable_dirs 设置为 yes 来重新启用搜索。

升级说明

  • 仅当部署者将 security_enable_virus_scanner 设置为 yes 时,才会安装和配置 EPEL 存储库。这允许安装 ClamAV 包。如果将 security_enable_virus_scanner 设置为 no(默认值),则不会添加 EPEL 存储库。

    有关更多详细信息,请参阅 Bug 1702167

  • 部署者现在可以选择通过该角色阻止安装 EPEL 存储库。将 security_epel_install_repository 设置为 no 可以防止安装 EPEL。此设置可能会阻止某些软件包的安装,例如 ClamAV。

  • 已删除 V-72181 的任务,其中包括为 pt_chown 命令添加审核规则。它们在 RHEL 7 STIG V1R2 版本中不再需要。

弃用说明

  • 已弃用 Fedora 25 支持,并且不再在每次提交时进行测试。

安全问题

  • PermitRootLogin 在 ssh 配置中已从 yes 更改为 without-password。这将仅允许使用密钥通过 ssh 身份验证 root。

错误修复

  • sysctl 配置任务没有跳过 enabled 设置为 no 的配置。 相反,当设置 enabled: no 时,它会删除配置。

    现在有一个修复程序,可确保任何 enabled: no 的 sysctl 配置将被跳过,并且系统上的配置将保持不变。