8.2. 보안

scap-workbench 제거

scap-workbench 패키지는 RHEL 10에서 제거됩니다. scap-workbench 그래픽 유틸리티는 단일 로컬 또는 원격 시스템에서 구성 및 취약점 검사를 수행하도록 설계되었습니다. 또는 oscap-ssh 명령을 사용하여 oscap 명령 및 원격 시스템을 사용하여 로컬 시스템에서 구성 준수 여부를 스캔할 수 있습니다. 자세한 내용은 구성 규정 준수 검사에서 참조하십시오.

oscap-anaconda-addon 제거

그래픽 설치를 사용하여 기준 준수 RHEL 시스템을 배포할 수 있는 oscap-anaconda-addon 이 RHEL 10에서 제거됩니다. 또는 RHEL 이미지 빌더 OpenSCAP 통합을 사용하여 사전 강화된 이미지를 생성하여 특정 표준을 준수하는 RHEL 이미지를 빌드할 수 있습니다.

CVE OVALv2 피드는 더 이상 제공되지 않음

OpenSCAP 제품군에서 처리하는 선언적 보안 데이터가 포함된 CVE(Common Vulnerabilities and Exposures) OVAL(Open Vulnerability Assessment Language) 버전 2 피드는 RHEL 10용으로 제공되지 않습니다. Red Hat은 Common Security Advisory Framework (CSAF) 형식 및 CVE OVALv2 피드의 후속 조치인 VEX( Vulnerability Exploitability eXchange) 파일에서 선언적 보안 데이터를 계속 제공합니다. OpenSCAP 제품군은 OVAL 모듈을 유지하므로 OVAL 데이터 형식을 계속 사용할 수 있습니다.

DSA 및 SEED 알고리즘이 NSS에서 제거되었습니다.

NIST(National Institute of Standards and Technology)에서 생성된 디지털 서명 알고리즘(DSA)은 NIST(Network Security Services) 암호화 라이브러리에서 완전히 더 이상 사용되지 않습니다. RSA 및 ECDSA와 같은 알고리즘을 대신 사용할 수 있습니다.

FIPS-mode-setup 이 제거됨

RHEL에서 fips-mode-setup 명령이 제거되었습니다. FIPS(Federal Information Processing Standard) 140에서 요구하는 암호화 모듈 자체 점검을 활성화하려면 시스템 설치 중에 FIPS 모드를 활성화합니다. 자세한 내용은 보안 강화 문서의 RHEL을 FIPS 모드로 전환 장을 참조하십시오.

/etc/system-fips 제거

/etc/system-fips 파일을 통해 FIPS 모드를 나타내는 지원이 RHEL에서 제거되었습니다. FIPS 모드에서 RHEL을 설치하려면 시스템 설치 중에 fips=1 매개변수를 커널 명령줄에 추가합니다. /proc/sys/crypto/fips_enabled 파일을 표시하여 RHEL이 FIPS 모드에서 작동하는지 확인할 수 있습니다.

TLS에서 하트비트 제거

공격 면적을 줄이기 위해 TLS에서 HeartBeat 확장에 대한 지원이 제거되었습니다.

TLS에서 SRP 인증 제거

TLS에서 SRP(Secure Remote Password Protocol)를 사용하는 인증은 gnutls 패키지에서 제거되었으며 더 이상 지원되지 않습니다. SRP 인증은 TLS 1.3과 함께 사용할 수 없고 키 교환으로 CBC(Cipher block chaining) 및 SHA-1에 의존하기 때문에 안전하지 않은 것으로 간주됩니다.

Keylime이 더 이상 취소 알림에 대해 HTTP를 지원하지 않음

Keylime 구성 요소에서는 취소 알림 Webhook에 대한 HTTP 프로토콜을 더 이상 지원하지 않습니다. 대신 HTTPS를 사용하십시오. 결과적으로 Keylime 검증기에는 이제 취소 알림 웹 후크 서버 CA 인증서가 필요합니다. trusted_server_ca 구성 옵션에 추가하거나 시스템 신뢰 저장소에 추가할 수 있습니다.

DEFAULT 암호화 정책은 RSA 키 교환이 포함된 TLS 암호를 거부합니다.

RSA 키 교환을 사용하는 TLS 암호는 RHEL 10의 DEFAULT 시스템 전체 암호화 정책에서 더 이상 허용되지 않습니다. 이러한 암호는 완벽한 전달 보안을 제공하지 않으며 다른 키 교환을 사용하는 암호로서 안전하지 않습니다(예: ECDH(Elliptic-curve Diffie-Hellman) 키 교환).

CA-certificates truststore 이동

/etc/pki/tls/certs 신뢰 저장소는 OpenSSL에 더 최적화된 다른 형식으로 변환됩니다. 결과적으로 /etc/pki/tls/certs 의 파일을 직접 사용하는 경우 동일한 데이터가 저장되는 /etc/pki/ca-trust/extracted 디렉터리로 전환합니다. 예를 들어 /etc/pki/tls/certs/ca-bundle.crt 에서 신뢰 번들에 액세스하는 소프트웨어는 대신 /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem 을 사용하여 전환해야 합니다.

LEGACY 암호화 정책에서 TLS에서 SHA-1 서명을 허용하지 않음

RHEL 10의 LEGACY 시스템 전체 암호화 정책은 더 이상 TLS 컨텍스트에서 SHA-1을 사용하는 서명을 생성하거나 확인할 수 없습니다. 따라서 OpenSSL 이외의 라이브러리는 사용 사례에 관계없이 SHA-1을 사용하는 서명을 더 이상 수락하거나 생성하지 않을 수 있습니다. OpenSSL은 시스템이 LEGACY 에 있거나 이 기능이 사용자 지정 하위 정책으로 다시 활성화된 경우 TLS에 사용하지 않을 때 SHA-1을 사용하는 서명을 계속 수락합니다.

pam_ssh_agent_auth is removed

pam_ssh_agent_auth 패키지가 RHEL 10에서 제거되었습니다.

OpenSSL이 더 이상 TLS에서 SHA-1을 허용하지 않음

OpenSSL은 RHEL 10의 TLS에서undercloud LEVEL=2 에서 SHA-1 알고리즘을 허용하지 않습니다. 시나리오에 TLS 1.0/1.1을 사용해야 하는 경우,keystone LEVEL=0 을 명시적으로 설정하고 LEGACY 시스템 전체 암호화 정책으로 전환해야 합니다. LEGACY 정책에서는 TLS 외부에서 SHA-1을 사용하는 애플리케이션이 계속 작동합니다.

Stunnel이 OpenSSL ENGINE API를 지원하지 않음

stunnel TLS 오프로드 및 로드 밸런싱 프록시는 더 이상 사용되지 않는 OpenSSL ENGINE API를 지원하지 않습니다. 가장 일반적인 사용 사례는 openssl-pkcs11 패키지를 통해 PKCS #11을 사용하여 하드웨어 보안 토큰에 액세스하는 것입니다. 교체로 새로운 OpenSSL 공급자 API를 사용하는 pkcs11-provider 를 사용할 수 있습니다.

OpenSSL에서 제거된 OpenSSL 엔진

OpenSSL 엔진은 더 이상 사용되지 않으며 곧 업스트림에서 제거될 예정입니다. 따라서 openssl-pkcs11 패키지가 RHEL 10의 OpenSSL에서 제거되었습니다. 대신 이 버전에서 지원되는 pkcs11-provider 와 같은 공급자를 사용합니다.

Keylime 정책 관리 스크립트가 제거되고 keylime-policy로 교체됨

RHEL 10에서 Keylime은 다음 정책 관리 스크립트를 대체하는 keylime-policy 툴로 제공됩니다.