Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

6.2. 보안

keylime-agent-rust 버전 0.2.5

Keylime 에이전트를 포함하는 keylime-agent-rust 패키지는 RHEL 10의 버전 0.2.5에서 제공됩니다. 이 버전은 중요한 개선 사항 및 버그 수정을 제공하며, 가장 중요한 것은 다음과 같습니다.

  • 장치 ID에 대한 초기 장치 ID(IDevID) 및 Initial Attestation Key(IAK)에 대한 지원이 추가되었습니다. 다음 구성 옵션이 추가되었습니다.

    enable_iak_idevid
    (기본값: false) IDevID 및 IAK 인증서를 사용하여 장치를 식별할 수 있습니다.
    iak_idevid_template
    (기본값: detect) IDevID 및 IAK에 사용할 알고리즘을 설정하는 템플릿을 지정합니다( Identity 및 Attestation의 TPM 2.0 키에서 정의됨, 섹션 7.3.4). detect 키워드는 구성된 인증서에 사용되는 알고리즘에 따라 템플릿을 설정합니다.
    iak_idevid_name_alg
    (기본값: sha256) IDevID 및 IAK에 사용되는 다이제스트 알고리즘을 지정합니다. iak_idevid_template 옵션이 detect 로 설정되지 않은 경우에만 사용됩니다.
    iak_idevid_asymmetric_alg
    (기본값: rsa) IDevID 및 IAK에 사용되는 서명 알고리즘을 지정합니다. iak_idevid_template 옵션이 detect 로 설정되지 않은 경우에만 사용됩니다.
    iak_cert
    (기본값: default) X509 IAK 인증서가 포함된 파일의 경로를 지정합니다. 기본 경로는 /var/lib/keylime/iak-cert.crt 입니다.
    idevid_cert
    (기본값: default) X509 IDevID 인증서가 포함된 파일의 경로를 지정합니다. 기본 경로는 /var/lib/keylime/idevid-cert.crt 입니다.
  • 구성 가능한 IMA 및 측정된 부팅 이벤트 로그 위치는 새로운 ima_ml_pathmeasuredboot_ml_path 구성 옵션을 사용하여 지원됩니다.
  • 로컬 DNS 이름, 로컬 IP 및 구성된 연락처 IP는 생성된 자체 서명된 X509 인증서의 주체 대체 이름의 일부로 포함됩니다.
  • 대괄호가 있거나 없는 IPv6 주소는 registered _ip 구성 옵션에서 지원됩니다.
  • tpm_ownerpassword 구성 옵션에서 16진수로 인코딩된 값이 지원됩니다.
  • 에이전트와의 연결에서 TLS 1.3이 활성화됩니다.

Jira:RHEL-38409

버전 4.15에서 제공되는 Libre swan

libreswan 패키지는 RHEL 10의 4.15 버전으로 제공됩니다. 이 버전은 이전 릴리스에서 제공된 이전 버전 4.12보다 상당한 개선을 제공합니다.

  • libsystemd 를 통해 libxz 에 대한 종속성을 제거했습니다.
  • IKEv1에서는ESP(Security Payload) 및 AH(인증 헤더)에 대해 기본 제안이 aes- sha1 로 설정되었습니다.
  • IKEv1은 인증된 암호화를 AEAD(관련 데이터) 및 비어 있지 않은 INTEG와 결합하는 ESP 제안을 거부합니다.
  • IKEv1은 연결에 제안 사항이 없는 경우 교환을 거부합니다.

  • IKEv1에는 더 제한된 기본 cryptosuite가 있습니다. 

    IKE={AES_CBC,3DES_CBC}-{HMAC_SHA2_256,HMAC_SHA2_512HMAC_SHA1}-{MODP2048,MODP1536,DH19,DH31}
ESP={AES_CBC,3DES_CBC}-{HMAC_SHA1_96,HMAC_SHA2_512_256,HMAC_SHA2_256_128}-{AES_GCM_16_128,AES_GCM_16_256}
AH=HMAC_SHA1_96+HMAC_SHA2_512_256+HMAC_SHA2_256_128
    Copy to Clipboard Toggle word wrap
  • libcap-ng 라이브러리의 실패는 더 이상 복구할 수 없습니다.
  • TFC 패딩은 pluto 유틸리티의 AEAD 알고리즘에 대해 설정됩니다.

Jira:RHEL-52935[1]

Libreswan은 많은 수의 연결을 추가할 때 더 빠릅니다.

이번 업데이트 이전에는 libreswan IPsec 구현에서 특정 상황에서 1,000개의 연결을 추가하는 데 약 30분이 걸렸습니다. 최신 버전의 libreswan 은 번호가 지정된 연결에서 getservbyname() 함수를 건너뛰고 pluto 데몬에 대한 기존 연결을 오프로드하면 대규모 구성 파일의 로드 시간이 크게 줄어듭니다. 따라서 1000개의 연결을 추가하는 시간은 동일한 구성에서 30분이 아닌 약 50초여야 합니다.

Jira:RHEL-74850[1]

버전 3.8.9에서 제공되는 GnuTLS

RHEL 10에서는 gnutls 패키지를 버전 3.8.9에 제공합니다. 다른 개선 사항 중 이 버전에는 이전 버전과 호환되지 않는 다음과 같은 보안 관련 변경 사항이 포함되어 있습니다.

  • TLS의 인증서 압축이 지원됩니다(RFC 8879).
  • 최적의 Asymmetric Encryption Padding 스키마(RSA-OAEP)가 지원됩니다(RFC 8017).
  • 여러 호출에서 임의의 길이의 SHAKE 해시를 점진적으로 계산하는 API가 추가되었습니다.
  • PKCS #1 v1.5 패딩을 사용한 RSA 암호화 및 암호 해독은 더 이상 사용되지 않으며 기본적으로 허용되지 않습니다.
  • FIPS 모드에서 gnutls 의 기본값은 RFC9579에 정의된 대로 PBMAC1(암호 기반 메시지 인증 코드 1)을 사용하여 PKCS #12 파일을 내보냅니다. FIPS 모드에서 실행되는 시스템과의 상호 운용성이 필요한 경우 PBMAC1을 명시적으로 사용합니다.
  • GnuTLS는 이제 OCSP(Online Certificate Status Protocol) 응답의 모든 레코드를 확인합니다. 이번 업데이트 이전에는 단일 OCSP 응답에 여러 레코드가 제공된 경우 첫 번째 레코드만 확인되었습니다. 이 GnuTLS 버전은 서버 인증서가 일치할 때까지 모든 레코드를 검사합니다.
  • FIPS 모드에서 승인하기 위한 최소 RSA 키 크기가 2048비트로 증가했습니다.

Jira:RHEL-69524[1]

버전 9.9에서 제공되는 OpenSSH

RHEL 10은 버전 9.9에 OpenSSH를 제공하므로 RHEL 9에서 제공된 OpenSSH 8.7에 비해 많은 수정 사항과 개선 사항이 추가되었습니다. 전체 변경 사항 목록은 openssh-9.9p1/ChangeLog 파일을 참조하십시오. 가장 중요한 변경 사항은 다음과 같습니다.

  • ssh-agent 프로그램에 추가된 키 전달 및 사용을 제한하는 시스템이 ssh ,sshd, ssh -addssh-agent 프로그램에 추가되었습니다.

  • FIDO 표준 사용 개선 사항:

    • verify-required certificate 옵션이 ssh-keygen 에 추가되었습니다.
    • FIDO 키 처리에 대한 수정으로 내장 사용자 확인을 지원하는 키에 대한 불필요한 PIN 프롬프트를 줄일 수 있습니다.
    • ssh-keygen 프로그램에서 일치하는 기존 인증 정보를 확인하는 경우 인증 정보를 덮어쓰기 전에 사용자에게 메시지를 표시합니다.
  • ssh_config 구성 파일의 새로운 EnableEscapeCommandline 옵션은 대화형 세션의 EscapeChar 메뉴에서 명령줄 옵션을 활성화합니다.
  • new ChannelTimeout 키워드는 sshd 데몬이 비활성 채널을 종료해야 하는지 여부를 지정합니다.
  • ssh-keygen 유틸리티는 기본적으로 FIPS 모드를 제외하고 Ed25519 키를 생성합니다. 기본값은 RSA입니다.
  • ssh 클라이언트는 적은 양의 데이터만 전송될 때 기본적으로 20ms마다 대화형 트래픽을 전송하여 키 입력 타이밍 난독화를 수행합니다. 또한 ObscureKeystrokeTiming 키워드에 의해 정의된 마지막 실제 키 입력 후 임의의 간격으로 페이크 키 입력을 보냅니다.
  • DSA 키에 대한 지원이 제거되었습니다.
  • pam-ssh-agent 하위 구성 요소가 제거되었습니다.
  • ssh-keysign 툴은 이제 별도의 하위 패키지에 있습니다.
  • ChannelTimeout 유형을 사용하여 모든 채널에 지정된 간격 동안 트래픽이 없는 경우 sshsshd 는 열려 있는 모든 채널을 종료합니다. 이는 기존 채널당 시간 초과에 추가됩니다.
  • sshd 서버는 인증을 반복적으로 실패하거나, 인증을 완료하지 않고 반복적으로 연결하거나, 서버가 충돌하는 클라이언트 주소를 차단합니다.
  • sshd 서버는 인증을 성공적으로 완료하지 못하는 클라이언트 주소에 대해 반발합니다. penalties는 sshd_config 의 새로운 PerSourcePenalties 키워드로 제어됩니다.
  • sshd 서버는 리스너 바이너리 sshd 및 세션별 바이너리 sshd-session 으로 나뉩니다. 이렇게 하면 SSH 프로토콜을 지원할 필요가 없는 리스너 바이너리 크기가 줄어듭니다. 또한 sshd의 권한 분리 및 재실행 비활성화에 대한 지원도 제거합니다.
  • 이식 가능한 OpenSSH에서 sshd 는 더 이상 PAM 서비스 이름으로 argv[0] 을 사용하지 않습니다. sshd_config 파일에서 새 PAMServiceName 지시문을 사용하여 런타임 시 서비스 이름을 선택할 수 있습니다. 기본값은 "sshd"입니다.
  • HostkeyAlgorithms 키워드를 사용하면 ssh 에서 인증서 호스트 키에서 일반 호스트 키로 암시적 폴백을 비활성화할 수 있습니다.
  • 구성 요소는 일반적으로 강화되었으며 PKCS #11 표준에서 더 잘 작동합니다.
  • OpenSSH는 기술 프리뷰로 PQC(Post-quantum encryption)를 지원합니다.

Jira:RHEL-60564

pkcs11-provider에 대한 사용자 정의 구성 추가

pkcs11-provider 를 사용하면 OpenSSL 프로그램의 pkcs11 URI를 사용하여 하드웨어 토큰에 직접 액세스할 수 있습니다. 설치 시 pkcs11-provider 가 자동으로 활성화되고 기본적으로 p11-kit 드라이버를 사용하여 pcscd 데몬에서 감지한 토큰을 로드합니다. 따라서 OpenSSL 구성을 추가로 변경할 필요 없이 패키지를 설치하여 해당 형식을 지원하는 애플리케이션에 pkcs11 URI 사양을 사용하여 키 URI를 제공하는 경우 시스템에서 사용할 수 있는 토큰을 사용할 수 있습니다. 패키지를 제거하면 OpenSSL 구성 스니펫도 제거되어 OpenSSL이 구성 파일을 구문 분석할 때 오류가 발생하지 않습니다.

Jira:RHEL-29672

SELinux 정책에서 /var/run = /run 로 설정된 파일 컨텍스트

이전 /run = /var/run 파일 컨텍스트가 /var/run = /run = /run으로 전환되고 그에 따라 SELinux 정책 소스가 업데이트되었습니다. 실제 파일 시스템 상태와 일치하고 일부 사용자 공간 도구가 오류를 보고하는 것을 방지하기 위해 동등성이 반전되었습니다. 이러한 변경 사항은 사용자 또는 관리자 관점에서 볼 수 없어야 합니다. /var/run 에 파일에 대한 파일 사양이 포함된 사용자 지정 모듈이 있는 경우 해당 모듈을 /run 로 변경합니다.

Jira:RHEL-36094[1]

OpenSSL은 하드웨어 토큰에 pkcs11-provider 사용

OpenSSL 3.0은 더 이상 사용되지 않는 엔진을 공급자로 교체했기 때문에 RHEL 10은 openssl-pkcs11 엔진을 pkcs11-provider 로 대체합니다. 이를 통해 OpenSSL은 apache HTTPD, libssh,bind 및 OpenSSL과 연결된 기타 애플리케이션에서 하드웨어 토큰을 사용하고 HSM, 스마트 카드 또는 PKCS #11 드라이버와 함께 저장된 비대칭 개인 키를 사용할 수 있습니다.

Jira:RHEL-40124

새로운 capability.conf(5) 도움말 페이지

capability.conf(5) 도움말 페이지가 추가되었습니다. capability.conf 구성 파일 및 pam_cap.so 모듈 인수에 대한 설명을 제공합니다.

Jira:RHEL-31988

버전 1.5.0에서 제공되는 libkcapi

RHEL 10.0에서는 libkcapi 패키지가 업스트림 버전 1.5.0에 제공됩니다. 이 버전은 다양한 버그 수정, 최적화 및 개선 사항을 제공합니다.

  • sha* 애플리케이션이 제거되어 kcapi-hasher 라는 단일 애플리케이션으로 교체되었습니다. 원래 sha* 애플리케이션과 동일한 이름을 가진 kcapi-hasher 의 심볼릭 링크가 binlibexec 디렉터리에 추가되었습니다. 이러한 변경으로 인해 알려진 회귀 문제가 발생하지 않습니다.
  • SHA-3을 사용하는 파일의 체크섬을 출력하는 sha3sum 명령이 추가되었습니다.
  • kcapi_md_sha3_* 래퍼 API가 추가되었습니다.

Jira:RHEL-50457[1]

엄격한 SSH 호스트 키 권한이 복원됨

필요한 호스트 키 권한이 이전의 덜 엄격한 값 0640 에서 0600 으로 변경되었습니다. 이는 업스트림에 사용된 값이기도 합니다. 이전에 모든 SSH 키를 소유한 ssh_keys 그룹도 제거되었습니다. 따라서 ssh-keysign 유틸리티는 SGID 비트 대신 SUID 비트를 사용합니다.

Jira:RHEL-59102[1]

버전 0.11.1에서 제공되는 libssh

libssh SSH 라이브러리는 새로운 기능을 제공하는 0.11.1 버전으로 제공되며, 가장 중요한 것은 다음과 같습니다.

  • 개선된 비동기 SFTP IO
  • OpenSSL 3.0에 대한 PKCS #11 공급자 지원
  • GSSAPI 인증 테스트
  • 프록시 건너뛰기

Jira:RHEL-64319

버전 0.25.5에서 제공되는 p11-kit

p11-kit 패키지는 RHEL 10의 0.25.5 버전으로 제공됩니다. 이 버전은 이전 버전에 대한 개선 사항 및 수정 사항을 제공합니다. 가장 중요한 것은 다음과 같습니다.

  • 재귀 속성에 대한 지원이 p11-kit RPC 프로토콜에 추가되었습니다.
  • 라이브러리의 런타임 버전을 확인하는 함수가 추가되었습니다.
  • 매크로를 통해 버전 정보에 더 이상 액세스할 수 없습니다.
  • 새로운 --id 옵션을 사용하면 generate-keypair 명령으로 생성된 키 쌍에 ID를 할당하거나 import-object 명령을 사용하여 가져올 수 있습니다.
  • 새로운 --provider 옵션을 사용하면 p11-kit 명령을 사용할 때 PKCS #11 모듈을 지정할 수 있습니다.
  • generate-keypair 에서 EdDSA 메커니즘이 인식되지 않은 p11-kit 버그 수정
  • p11-kitC_GetInterface 함수가 지원되지 않을 때 C_GetFunctionList 함수로 대체됩니다.

Jira:RHEL-46898[1]

pkeyutil 에서 캡슐화 및 캡슐화 지원

pkeyutil OpenSSL 하위 명령은 캡슐화 및 캡슐화 암호화 작업을 수행할 수 있습니다. 새로운 PQC (Post-quantum cryptographic) 알고리즘 ML-KEM (FIPS 203)은 캡슐화 및 캡슐화 작업 만 허용하며 이제 putil을 통한 RSASVE 및 ML-KEM과 같은 알고리즘을 사용할 수 있습니다.

Jira:RHEL-54156

GnuTLS에서 인증서 압축 사용 가능

GnuTLS는 클라이언트와 서버 모두 이를 지원하고 활성화하는 경우 RFC 8879에 따라 zlib,brotli 또는 zstd 압축 방법을 사용하여 클라이언트 및 서버 인증서를 압축합니다. 이 방법은 데이터 사용량을 줄이고, 그렇지 않으면 사용자에게 눈에 띄지 않아야 합니다.

Jira:RHEL-42514[1]

OpenSSL의 새로운 no-atexit 옵션

이제 OpenSSL이 no-atexit 옵션으로 빌드되어 OPENSSL_cleanup 함수가 더 이상 atexit 처리기로 등록되지 않습니다. 이 옵션을 사용하면 valgrind 디버깅 도구가 OpenSSL 시작 시 할당된 리소스의 일회성 메모리 누수를 보고할 수 있습니다.

Jira:RHEL-40408

setools 는 4.5.0 버전에서 제공됩니다.

setools 패키지는 RHEL 10의 4.5.0 버전으로 제공됩니다. 이 버전은 버그 수정 및 개선 사항을 제공합니다. 특히 다음과 같습니다.

  • 정보 흐름 분석 및 도메인 전환 분석에 대한 그래픽 결과가 apol,sedtaseinfoflow 툴에 추가되었습니다.
  • apol 의 툴팁 및 세부 정보 팝업이 추가되어 쿼리를 상호 참조하고 컨텍스트에 민감한 도움말과 함께 결과를 분석할 수 있습니다.

Jira:RHEL-29967

RHEL 10은 버전 3.101에서 NSS를 제공합니다.

NSS 암호화 툴킷 패키지는 RHEL 10의 버전 3.101에 제공되며 많은 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.

  • DTLS 1.3 프로토콜이 지원됩니다(RFC 9147).
  • PKCS #12(RFC9579)에 PBMAC1 지원이 추가되었습니다.
  • X25519Kyber768Draft00 하이브리드 post-quantum 키 계약에 대한 실험 지원이 추가되었습니다(-tls-westerbaan-xyber768d00). 향후 릴리스에서 제거됩니다.
  • lib::pkix 는 RHEL 10의 기본 검증기입니다.
  • 2048비트 이상의 키가 있는 RSA 인증서는 시스템 전체 암호화 정책에 따라 SSL 서버에서 작동하지 않습니다.

Jira:RHEL-46839

OpenSSL은 FIPS 호환 PKCS #12 파일을 생성할 수 있습니다.

OpenSSL 보안 통신 제품군이 업데이트되어 RFC9579 문서에 따라 PKCS #12 파일을 생성할 수 있습니다.

Jira:RHEL-36659

DEFAULT 암호화 정책에서 추가 범위를 사용

crypto-policies 패키지에서 이제 추가 범위 @pkcs12,@pkcs12-legacy,@smime, @smime-legacy 를 제공하고 DEFAULT 시스템 전체 암호화 정책에서 사용합니다. NSS(네트워크 보안 서비스)가 기본 암호화 라이브러리인 경우 PKCS #12 및 S/MIME에 사용되는 암호화 알고리즘을 선택하면 이제 시스템 전체 암호화 정책을 따릅니다. 따라서 사용자 지정 정책 및 하위 정책을 사용하여 더 세분화된 알고리즘을 더 쉽게 선택할 수 있습니다. 범위는 다음과 같은 암호, 해시 및 키 교환을 사용합니다. 

cipher@pkcs12 = AES-256-CBC AES-128-CBC
cipher@pkcs12-import = 3DES-CBC+ RC2-CBC+
cipher@smime = AES-256-CBC AES-128-CBC 3DES-CBC
cipher@smime-import = RC2-CBC+
hash@{pkcs12,smime} = SHA2-256 SHA2-384 SHA2-512 SHA3-256 SHA3-384 SHA3-512 \
	SHA2-224 SHA3-224
hash@{pkcs12-import,smime} = SHA1+
key_exchange@smime = RSA DH ECDH
Copy to Clipboard Toggle word wrap

LEGACY 암호화 정책은 DEFAULT 정책보다 덜 엄격한 암호, 해시 및 키 교환을 사용하지만 FUTURE 정책은 더 엄격하게 선택됩니다. 결과적으로 PKCS #12 파일 및 S/MIME 암호화 및 암호 해독을 가져오고 내보내는 데 NSS에서 사용되는 알고리즘을 사용자 지정할 수 있습니다. NSS는 현재 새로 제공된 범위에 연결된 유일한 암호화 라이브러리입니다.

Jira:RHEL-50655

FIPS 모드에서 OpenSSH는 기본적으로 RSA 키를 생성

이전 버전에서는 OpenSSH의 ssh-keygen 유틸리티에서 기본적으로 RSA 키를 생성했습니다. RHEL 10에서 제공되는 버전에서 ssh-keygen 은 기본적으로 FIPS 모드에서 기본적으로 비FIPS 모드 및 RSA 키에 ed25519 키를 생성합니다.

Jira:RHEL-37324

NSS는 FIPS 모드에서 FIPS 호환 PKCS #12 생성

PKCS #12는 무결성 검사를 위해 임시 메커니즘을 사용합니다. PKCS #12 버전 1.1이 게시되었으므로 PKCS #5 버전 2.0에서 더 엄격한 무결성 검사 방법: 암호 기반 메시지 인증 코드 1(PBMAC1)이 생성되었습니다. 이번 업데이트에서는 RFC9579 문서에 따라 PKCS #12 파일의 PBMAC1 지원이 NSS(Network Security Services)에 추가되었습니다. 결과적으로 NSS는 이제 RFC 95%79를 사용하는 .p12 파일을 읽고 사용자가 요청할 때 RFC-9579 호환 메시지 인증 코드(MAC)를 생성할 수 있습니다. 호환성을 위해 NSS는 FIPS 모드가 아닌 경우 기본적으로 이전 MAC을 생성합니다. 새 MAC을 생성하는 방법에 대한 자세한 내용은 시스템의 pk12util(1) 도움말 페이지를 참조하십시오.

Jira:RHEL-39732

버전 0.26.1에서 제공되는 OpenSC

RHEL 10은 업스트림 버전 0.26.1에 opensc 패키지를 제공합니다. 가장 중요한 개선 사항 및 버그 수정은 다음과 같습니다.

  • 암호 해독 후 RSA PKCS #1 v1.5 패딩 제거와 관련된 시간 사이드 채널 누수를 제거하기 위한 추가 수정 사항
  • 통합 OpenSSL 로깅
  • pkcs11-tool 유틸리티에서 HKDF, RSA OEAP 암호화, AES Cryostat 및 AES GMAC 메커니즘 지원
  • 초기화되지 않은 메모리 문제를 대상으로 하는 CVE 문제 해결: CVE-2024-45615, CVE-2024-45616, CVE-2024-45617, CVE-2024-45618, CVE-2024-45619, CVE-2024-45620
  • Chromium 웹 브라우저에서 충돌이 발생한 정렬 메모리 할당 수정
  • TeleSec Chipcard Operating System (TCOS) 카드 드라이버에서 인증서 읽기 수정

Jira:RHEL-71523

opensc 패키지는 openscopensc-lib로 분할됨

RHEL 10에서는 opensc opensc -lib 하위 패키지로 분할되어 Flatpak 애플리케이션에서 스마트 카드를 지원할 수 있습니다.

Jira:RHEL-73314

새로운 패키지: tpm2-openssl

RHEL 10에는 OpenSSL TLS 툴킷의 TPM2 공급자가 포함된 새로운 tpm2-openssl 패키지가 포함되어 있습니다. TPM2 공급자는 OpenSSL API를 통해 Trusted Platform Module (TPM) 2.0 칩의 암호화 키를 사용할 수 있습니다.

Jira:RHEL-30799[1]

감사 이벤트의 규칙 기반 필터링 및 전달

새로운 audisp-filter 플러그인을 사용하면 사용자 정의 ausearch 표현식을 기반으로 특정 감사 이벤트를 유연하게 억제하여 불필요한 출력을 다운스트림 플러그인으로 줄일 수 있습니다.

이 플러그인은 감사와 기타 플러그인 간의 브리지 역할을 합니다. 특정 감사 이벤트를 필터링하고 구성 파일에 지정된 규칙에 해당하는 이벤트만 전달합니다.

따라서 allowlist 또는 blocklist 모드를 사용하여 감사 이벤트를 선택적으로 필터링할 수 있습니다. audisp-filter 를 사용하는 각 플러그인은 일치하는 규칙이 포함된 자체 구성 파일을 정의할 수 있습니다. 일반적인 사용 사례 중 하나는 noisy 또는 irrelevant 감사 이벤트를 제외하고 중요한 이벤트만 syslog 플러그인에 전달하는 것입니다. 이렇게 하면 syslog로 필터링된 이벤트를 기록하여 감사 로그를 보다 쉽게 관리할 수 있습니다.

Jira:RHEL-5199

SELinux 정책에 제한된 추가 서비스

이번 업데이트에서는 다음 systemd 서비스를 제한하는 SELinux 정책에 추가 규칙이 추가되었습니다.

  • iio-sensor-proxy
  • samba-bgqd
  • tlshd
  • gnome-remote-desktop
  • pcm-sensor-server

결과적으로 이러한 서비스는 CIS 서버 수준 2 벤치마크를 위반하는 unconfined_service_t SELinux 레이블로 더 이상 실행되지 않습니다. "SELinux에 의해 데몬 없음 확인" 규칙에서 SELinux 강제 모드에서 성공적으로 실행됩니다.

Jira:RHEL-62355

이제 CentOS Stream 10의 selinux-policy Git 리포지토리에 공개적으로 액세스할 수 있습니다.

CentOS Stream 기여자는 이제 fedora-selinux/selinux-policy Git 리포지토리의 c10s 분기에 기여하여 SELinux 정책 개발에 참여할 수 있습니다. 이러한 기여를 통해 RHEL 10의 SELinux 정책을 개선할 수 있습니다.

Jira:RHEL-33844

버전 3.3.35에서 제공되는 setroubleshoot

setroubleshoot 패키지는 RHEL 10의 버전 3.3.35에 제공됩니다. 이 버전은 다양한 수정 사항 및 개선 사항을 제공합니다. 가장 중요한 것은 다음과 같습니다.

  • CoreOS에서 backtrace가 수정되었습니다.
  • 손상된 AppStream 메타데이터가 업데이트되었습니다.
  • 사용된 아이콘의 경로가 최근 업데이트된 경로로 수정되었습니다.

Jira:RHEL-68957

SELinux 정책에 추가된 추가 libvirt 서비스 규칙

libvirt 서비스와 관련된 다음 SELinux 유형이 SELinux 정책에 추가되었습니다.

  • virt_dbus_t
  • virt_hook_unconfined_t
  • virt_qmf_t
  • virtinterfaced_t
  • virtnetworkd_t
  • virtnodedevd_t
  • virtnwfilterd_t
  • virtproxyd_t
  • virtqemud_t
  • virtsecretd_t
  • virtstoraged_t
  • virtvboxd_t
  • virtvzd_t
  • virtxend_t

Jira:RHEL-46893

EPEL 패키지와 관련된 SELinux 정책 모듈이 selinux-policy-epel로 이동

EPEL(Extra Packages for Enterprise Linux) 리포지토리에 포함된 패키지와 관련된 SELinux 정책 모듈은 RHEL 패키지에서 selinux-policy 패키지에서 새 selinux-policy -epel 패키지로 이동되지 않았습니다. 결과적으로 selinux-policy 가 작으며 시스템은 SELinux 정책을 다시 빌드하고 로드하는 등의 작업을 더 빨리 수행합니다.

Jira:RHEL-73505

버전 3.8에서 제공되는 SELinux 사용자 공간

RHEL 10에는 버전 3.8의 SELinux 사용자 공간 구성 요소가 포함되어 있습니다. 이 버전에서는 이전 버전에 대한 개선 사항 및 수정 사항이 도입되었습니다. 가장 중요한 것은 다음과 같습니다.

  • CIL 출력 모드에 새로운 audit2allow -C 옵션이 추가되었습니다.
  • semanage 유틸리티를 사용하면 추가 시 레코드를 수정할 수 있습니다.
  • semanage 유틸리티는 더 이상 로컬 fcontext 정의를 정렬하지 않습니다.
  • checkpolicy 프로그램은 nodecon 문에 대한 CIDR 표기법을 지원합니다.
  • SELinux 샌드박스 유틸리티는 Wayland 디스플레이 프로토콜을 지원합니다.
  • SELinux 정책을 다시 빌드하는 동안 정책 저장소의 파일 컨텍스트 및 소유권이 보존됩니다.
  • 바이너리 file_contexts.bin 파일의 형식이 변경되었으며 이전 형식을 사용하는 파일은 무시됩니다. 새 형식이 최적화되고 아키텍처에 종속되지 않습니다. SELinux 정책을 다시 빌드하여 새 형식으로 바이너리 file_contexts.bin 파일을 생성할 수 있습니다.
  • selabel_lookup 라이브러리 호출의 성능이 크게 향상되었습니다.

Jira:RHEL-69451

rsyslog는 버전 8.2412.0에서 제공됩니다.

rsyslog 패키지는 RHEL 10.0의 버전 8.2412.0에서 제공됩니다. 다른 수정 사항 및 개선 사항 중에는 규칙 세트를 imjournal 모듈에 바인딩할 수 있습니다. 이 최적화를 통해 입력 단계에서 로그 메시지를 필터링하고 처리할 수 있으므로 기본 메시지 큐의 로드가 줄어듭니다. 이 기능을 사용하면 리소스 사용률을 최소화하여 대용량 로그를 더 원활하게 처리할 수 있습니다.

Jira:RHEL-70110[1]

PKCS #11에 대한 지원과 함께 버전 21에서 제공되는 Clevis

RHEL 10은 버전 21의 clevis 패키지를 제공합니다. 이 버전에는 많은 개선 사항 및 버그 수정이 포함되어 있습니다.

  • PKCS #11 장치(smart 카드)를 사용하여 LUKS 암호화 볼륨을 잠금 해제하기 위해 pkcs11 핀을 제공하는 clevis-pin-pkcs11 하위 패키지를 추가했습니다.
  • clevis-udisks2 하위 패키지에 두 개의 검사를 추가했습니다.
  • "사용 중 주소" 오류를 방지하는 수정 사항이 추가되었습니다.

Jira:RHEL-60113

Jose 는 버전 14에서 제공

jose 패키지는 RHEL 10의 버전 14에서 제공됩니다. jose 유틸리티는 JavaScript Object Signing and Encryption (JOSE) 표준의 C- language 구현입니다. 가장 중요한 개선 사항 및 수정 사항은 다음과 같습니다.

  • SAST(Static Application Security Testing) 프로세스에서 보고된 오류에 대한 수정으로 OpenSSL의 oct JWK Type에 대한 바인딩 기능이 개선되었습니다.
  • 보호된 JSON 웹 암호화(JWE) 헤더에는 더 이상 zip 이 포함되지 않습니다.
  • jose 유틸리티는 높은 압축 해제 청크를 사용하여 잠재적인 서비스 거부(DoS) 공격을 방지합니다.

Jira:RHEL-38084

버전 7.12에서 제공되는 Keylime

RHEL 10은 중요한 수정 사항 및 개선 사항을 제공하는 버전 7.12의 Keylime를 제공합니다. 가장 중요한 것은 다음과 같습니다.

  • 새로운 keylime-policy 툴은 Keylime 런타임 정책과 측정된 부팅 정책의 모든 관리 작업을 통합하고 정책 생성 성능을 향상시킵니다.
  • 검증테넌트 Keylime 구성 요소에는 더 이상 에이전트 구성 요소에 대한 페이로드가 필요하지 않습니다.

Jira:RHEL-75794

버전 5.2에서 제공되는 Libreswan

RHEL 10에서 Libreswan은 업스트림 버전 5.2로 제공됩니다. 이 버전은 많은 버그 수정 및 개선 사항을 제공합니다. 가장 중요한 것은 다음과 같습니다.

  • whack 명령에 대한 duplicate --ctlsocket 옵션이 수정되었습니다(RHEL-75605).
  • 스트림 간에 대한 예상 오류가 수정되었습니다 (RHEL-73236).
  • 프로토포트 구성 구문 분석이 최적화되었습니다(RHEL-74850).
  • ipsec showhostkey 명령의 잘못된 출력이 수정되었습니다(RHEL-75975).
  • ipsec --rereadsecrets 실행 시 크래시가 수정되었습니다 (RHEL-69403).
  • keyingtriesdpd* 옵션은 무시됩니다.
  • 네트워크 네임스페이스에 대한 ipsec-interface-managed=no 옵션이 도입되었습니다.

  • Linux 관련 업데이트:

    • Linux 커널 6.7 이상에서 패킷 오프로드 카운터에 대한 지원이 추가되었습니다.
    • RFC 9347에 따라 IP-TFS(IP 트래픽 흐름 보안) 지원 구현
    • 아웃바운드 SA에서 재생 창을 0으로 설정하여 Linux 커널 6.10+와의 호환성을 보장합니다.
    • 인바운드 보안 연관(SA)에서 nopmtudisc 설정과 관련된 문제를 해결했습니다. IKEv2 개선 사항:
    • RFC 5723 IKE 세션 재개에 대한 지원이 도입되어 재인증 없이 세션 재개가 가능합니다.
    • 키 교환 메커니즘을 개선하기 위해 초안-ietf-ipsecme-ikev2-qr-alt-04 에 대한 지원이 추가되었습니다.
    • 보안을 개선하기 위해 INTERMEDIATE 교환에 PPK(Post-quantum Pre-shared Key)를 구현합니다.
참고
SHA-1과 함께 PKCS #1 1.5 RSA를 사용하는 피어 인증에서는 사용자 지정 암호화 정책 subpolicy를 사용하여 NSS에서 SHA-1 서명을 명시적으로 허용해야 합니다. 이는 authby=rsa-sha1 이 구성되거나 인증된 피어가 RFC 7427을 지원하지 않는 경우 기본 구성으로 필요합니다.

Jira:RHEL-81045

SSH 에서 SSH 로그인 오류 메시지에 대한 추가 세부 정보가 포함된 링크 제공

초기 오류가 발생하는 경우 ssh 명령줄 툴에서는 일반적인 오류 메시지 및 해결 단계에 대한 추가 세부 정보가 포함된 Red Hat 고객 포털 페이지에 대한 링크를 제공합니다. 이렇게 하면 대화형 모드를 사용할 때 SSH 로그인 문제를 해결할 수 있습니다.

Jira:RHEL-62718[1]

nettle 은 버전 3.10.1에서 제공됩니다.

RHEL 10에는 버전 3.10.1의 nettle 라이브러리 패키지가 포함되어 있습니다. 이 버전은 다양한 버그 수정, 최적화 및 개선 사항을 제공합니다.

  • SHA-256 해시, AES-GCM 암호화 및 AES 암호 해독은 일반적으로 64비트 PowerPC에 최적화되었습니다.
  • 새로운 결정적 임의 비트 생성기인 DRBG-CTR-AES256이 추가되었습니다.
  • SHA-3 제품군의 임의의 길이 해시 함수인 SHAKE-128이 추가되었습니다.
  • RSA-OAEP 체계 지원이 추가되었습니다.
  • SHAKE 해시 알고리즘의 증분 인터페이스가 추가되었습니다.

Jira:RHEL-79116[1]

1.3.12에 기반 OpenSCAP

OpenSCAP 패키지는 업스트림 버전 1.3.12에 따라 변경되었습니다. 이 버전에서는 버그 수정 및 다양한 개선 사항을 제공합니다. 자세한 내용은 OpenSCAP 릴리스 노트 를 참조하십시오.

Jira:RHEL-88845

0.1.76에서 제공되는 SCAP 보안 가이드

자세한 내용은 SCAP 보안 가이드 릴리스 노트를 참조하십시오.

Jira:RHEL-74239

맨 위로 이동
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2025 Red Hat