11.5. 보안

ovnd-keygen 이 기본이 아닌 10.0.0.1을 올바르게 처리하지 않음

CloudEvent d-keygen 스크립트는 생성된 키 파일의 파일 권한을 변경하지 않습니다. 결과적으로 다른 사용자에 대한 키를 읽지 못하게 하는 기본 사용자 파일 생성 모드 마스크(octavia-creation mode mask)가 있는 시스템에서 키를 표시하는 대신 CloudEvent -show-keys 명령에서 오류 메시지 Internal Error 500 을 반환합니다.

OpenSSL은 PKCS #11 토큰이 원시 RSA 또는 RSA-PSS 서명 생성을 지원하는지 감지하지 않습니다.

TLS 1.3 프로토콜에는 RSA-PSS 서명을 지원해야 합니다. PKCS #11 토큰이 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 경우, PKCS #11 토큰에 키가 보유하는 경우 OpenSSL 라이브러리를 사용하는 서버 애플리케이션이 RSA 키와 작동하지 않습니다. 그 결과 설명된 시나리오에서 TLS 통신이 실패합니다.

OpenSSL 이 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 PKCS #11 토큰을 잘못 처리

OpenSSL 라이브러리에서 PKCS #11 토큰의 키 관련 기능을 감지하지 않습니다. 결과적으로 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 토큰을 사용하여 서명을 생성할 때 TLS 연결을 설정하지 못합니다.

특정 구문이 사용될 때 SCP가 복사된 파일들

scp 유틸리티는 SCP(Secure copy protocol)에서 더 안전한 SSH 파일 전송 프로토콜(SECDHE)으로 변경되었습니다. 결과적으로 위치에서 동일한 위치로 파일을 복사하면 파일 내용이 지워집니다. 이 문제는 다음 구문에 영향을 미칩니다.

OSCAP Anaconda 애드온은 그래픽 설치에서 맞춤형 프로필을 가져오지 않습니다.

OSCAP Anaconda 애드온은 RHEL 그래픽 설치에서 보안 프로필의 맞춤을 선택하거나 선택 해제할 수 있는 옵션을 제공하지 않습니다. RHEL 8.8부터 아카이브 또는 RPM 패키지에서 설치할 때 애드온은 기본적으로 조정되지 않습니다. 결과적으로 설치에 OSCAP 맞춤형 프로필을 가져오는 대신 다음과 같은 오류 메시지가 표시됩니다.

Ansible 수정을 위해서는 추가 컬렉션이 필요합니다.

ansible-core 패키지를 통해 Ansible Engine을 교체하면 RHEL 서브스크립션과 함께 제공되는 Ansible 모듈 목록이 줄어듭니다. 결과적으로 scap-security-guide 패키지 내에 포함된 Ansible 콘텐츠를 사용하는 수정을 실행하려면 rhc-worker-playbook 패키지의 컬렉션이 필요합니다.

oscap-anaconda-addon 은 CIS가 Network Servers 패키지 그룹을 사용하여 시스템을 강화할 수 없습니다.

CIS 보안 프로파일을 사용하여 RHEL Network Server를 설치할 때 (cis _server_l1,cis_workstation_l1, cis_workstation_l1 , 또는 cis_workstation_l2 )는 Network Servers 패키지 그룹이 선택된 시스템의 경우, oscap-addon 은 오류 메시지 패키지 tftp가 제외된 패키지 목록에 추가되었지만, 현재 소프트웨어 선택에서 제거할 수 없습니다. 설치를 계속 진행하려면 소프트웨어 선택 옵션으로 돌아가서 네트워크 서버 추가 소프트웨어를 선택 취소하여 설치를 완료하고 강화를 완료합니다. 그런 다음 필요한 패키지를 설치합니다.

Keylime이 연결된 PEM 인증서를 허용하지 않음

Keylime가 단일 파일에 연결된 PEM 형식의 여러 인증서로 인증서 체인을 수신하는 경우 키lime-agent-rust Keylime 구성 요소는 서명 확인 중에 제공된 모든 인증서를 올바르게 사용하지 않으므로 TLS 핸드셰이크 오류가 발생합니다. 결과적으로 클라이언트 구성 요소(keylime_verifier 및 keylime_tenant)는 Keylime 에이전트에 연결할 수 없습니다. 이 문제를 해결하려면 여러 인증서 대신 하나의 인증서만 사용하십시오.

Keylime에는 tls_dir = default에 대한 특정 파일이 필요합니다.

tls_dir 변수가 Keylime verifier 또는 등록 기관 구성에서 default 로 설정된 경우 Keylime은 /var/lib/keylime/cv_ca 디렉터리에 cacert.crt 파일이 있는지 확인합니다. 파일이 없으면 keylime_verifier 또는 keylime_registrar 서비스가 시작되지 않고 로그에 다음 메시지를 기록합니다: 예외: 확인자가 CA와 인증서를 생성하지 않은 것으로 표시됩니다. 먼저 verifier를 실행하십시오. 결과적으로 Keylime은 /var/lib/keylime/ca_cv 디렉터리에 배치되어도 다른 파일 이름을 가진 CA(사용자 정의 인증 기관) 인증서를 거부합니다.

기본 SELinux 정책을 사용하면 제한되지 않은 실행 파일이 스택을 실행 가능하게 합니다.

SELinux 정책의 selinuxuser_execstack 부울의 기본 상태는 on입니다. 즉, 제한되지 않은 실행 파일이 스택 실행 파일을 실행할 수 있습니다. 실행 파일은 이 옵션을 사용하지 않아야 하며 잘못 코딩된 실행 파일 또는 가능한 공격을 나타낼 수 있습니다. 그러나 다른 도구, 패키지 및 타사 제품과의 호환성으로 인해 Red Hat은 기본 정책의 부울 값을 변경할 수 없습니다. 시나리오가 이러한 호환성 측면을 사용하지 않는 경우 setsebool -P selinuxuser_execstack off 명령을 입력하여 로컬 정책에서 부울을 해제할 수 있습니다.

STIG 프로필의 SSH 제한 시간 규칙 구성 잘못된 옵션

OpenSSH의 업데이트로 다음의 정보 시스템 기관 (DISA STIG) 프로필의 규칙에 영향을 미쳤습니다.

암호화 정책에서허용하지 않는 경우에도 GnuPG에서 SHA-1 서명을 사용할 수 있도록 잘못 허용

GNU 개인 정보 보호기 (GnuPG) 암호화 소프트웨어는 시스템 전체 암호화 정책에서 정의한 설정에 관계없이 SHA-1 알고리즘을 사용하는 서명을 생성하고 확인할 수 있습니다. 결과적으로 DEFAULT 암호화 정책의 암호화 목적으로 SHA-1을 사용할 수 있으며 서명의 이 안전하지 않은 알고리즘의 시스템 전체 사용 중단과 일치하지 않습니다.

GPG-agent 가 FIPS 모드에서 SSH 에이전트로 작동하지 않음

FIPS 모드가 MD5 다이제스트를 비활성화하더라도 gpg-agent 툴은 ssh-agent 프로그램에 키를 추가할 때 MD5 지문을 생성합니다. 결과적으로 ssh-add 유틸리티가 인증 에이전트에 키를 추가하지 못합니다.

OpenSCAP 메모리 사용량 문제

메모리가 제한된 시스템에서 OpenSCAP 스캐너가 조기 종료되거나 결과 파일이 생성되지 않을 수 있습니다. 이 문제를 해결하려면 검사 프로필을 사용자 지정하여 전체 / 파일 시스템에 재귀를 포함하는 규칙을 선택 취소하면 됩니다.

Kickstart 설치 중 서비스 관련 규칙 수정에 실패할 수 있습니다.

Kickstart 설치 중에 OpenSCAP 유틸리티에서 서비스 활성화 또는 비활성화 상태 수정이 필요하지 않은 것으로 잘못 표시되는 경우가 있습니다. 그 결과 OpenSCAP에서 설치된 시스템의 서비스를 비준수 상태로 설정할 수 있습니다. 이 문제를 해결하려면 Kickstart 설치 후 시스템을 스캔하고 수정할 수 있습니다. 이렇게 하면 서비스 관련 문제가 해결됩니다.

RHEL 9.0-9.3의 OpenSSH는 OpenSSL 3.2.2와 호환되지 않습니다.

RHEL 9.0, 9.1, 9.2 및 9.3에서 제공하는 openssh 패키지는 OpenSSL 버전을 엄격하게 확인합니다. 결과적으로 openssl 패키지를 3.2.2 이상으로 업그레이드하고 openssh 패키지를 버전 8.7p1-34.el9_3.3 또는 이전 버전에 보관하는 경우 sshd 서비스가 OpenSSL 버전 불일치 오류 메시지로 시작되지 않습니다.