10.2. 보안
취약점 검사 애플리케이션에서 더 이상 사용되지 않는 OVAL
OpenSCAP 제품군에서 처리하는 선언적 보안 데이터를 제공하는 OVAL(Open Vulnerability Assessment Language) 데이터 형식은 더 이상 사용되지 않으며 향후 주요 릴리스에서 제거됩니다. Red Hat은 OVAL의 후속 조치인 CSAF(Common Security Advisory Framework) 형식으로 선언적 보안 데이터를 계속 제공합니다.
Jira:RHELDOCS-17532[1]
libgcrypt
가 더 이상 사용되지 않음
libgcrypt
패키지에서 제공하는 Libgcrypt 암호화 라이브러리는 더 이상 사용되지 않으며 향후 주요 릴리스에서 제거될 수 있습니다. 대신 RHEL 코어 암호화 구성 요소 문서에 나열된 라이브러리를 사용합니다(Red Hat Knowledgebase).
Jira:RHELDOCS-17508[1]
FIPS-mode-setup
이 더 이상 사용되지 않음
시스템을 FIPS 모드로 전환하는 fips-mode-setup
툴은 RHEL 9에서 더 이상 사용되지 않습니다. fips-mode-setup
명령을 사용하여 FIPS 모드가 활성화되었는지 확인할 수 있습니다.
FIPS 140와 호환되는 시스템을 작동하려면 다음 방법 중 하나로 FIPS 모드에서 시스템을 설치합니다.
-
RHEL 설치 중에 커널 명령줄에
fips=1
옵션을 추가합니다. 자세한 내용은 RHEL 설치 관리자의 부팅 옵션 편집 장을 참조하십시오. -
블루프린트의
[customizations]
섹션에fips=yes
지시문을 추가하여 RHEL 이미지 빌더로 FIPS 지원 이미지를 생성합니다. -
bootc-image-builder
툴로 디스크 이미지를 생성하거나 RHEL 문서의 이미지 모드 사용 예제 를fips=1
커널 명령줄 플래그를 추가하고 시스템 전체 암호화 정책을FIPS
로 전환하는 Containerfile과 함께bootc install-to-disk
툴을 사용하여 시스템을 설치합니다.
fips-mode-setup
툴은 다음 주요 릴리스에서 제거됩니다.
인수 없이 update-ca-trust
사용 중단
이전에는 update-ca-trust
명령에서 입력한 인수와 관계없이 시스템 CA(인증 기관) 저장소를 업데이트했습니다. 이번 업데이트에서는 CA 저장소를 업데이트하기 위한 extract
하위 명령이 도입되었습니다. --output
인수를 사용하여 CA 인증서를 추출할 위치를 지정할 수도 있습니다. 이전 버전의 RHEL과의 호환성을 위해 update-ca-trust
를 입력하여 -o
또는 --help
가 아닌 인수와 함께 CA 저장소를 업데이트하고 인수 없이 RHEL 9 동안 계속 지원되지만 다음 주요 릴리스에서 제거됩니다. update-ca-trust extract
로 호출을 업데이트합니다.
Jira:RHEL-54695[1]
Stunnel 클라이언트에서 신뢰할 수 있는 루트 인증서 파일을 가리키는 CAfile
은 더 이상 사용되지 않음
Stunnel이 클라이언트 모드로 구성된 경우 CAfile
지시문은 BEGIN TRUSTED CERTIFICATE
형식의 신뢰할 수 있는 루트 인증서가 포함된 파일을 가리킬 수 있습니다. 이 방법은 더 이상 사용되지 않으며 향후 주요 버전에서 제거될 수 있습니다. 향후 버전에서 stunnel
은 CAfile
지시문의 값을 BEGIN TRUSTED CERTIFICATE
형식을 지원하지 않는 함수에 전달합니다. 결과적으로 CAfile = /etc/pki/tls/certs/ca-bundle.trust.crt
를 사용하는 경우 위치를 CAfile = /etc/pki/tls/certs/ca-bundle.crt
로 변경합니다.
Jira:RHEL-52317[1]
NSS에서 DSA 및 SEED 알고리즘이 더 이상 사용되지 않음
NIST(National Institute of Standards and Technology)에 의해 생성되었으며 NIST에서 완전히 더 이상 사용되지 않는 디지털 서명 알고리즘(DSA)은 NSS(Network Security Services) 암호화 라이브러리에서 더 이상 사용되지 않습니다. RSA, ECDSA, SHB-DSA, ML-DSA 및 FN-DSA와 같은 알고리즘을 대신 사용할 수 있습니다.
한국 정보 보안국(KISA)에서 생성했으며 이전에 업스트림에서 비활성화된 SEED 알고리즘은 NSS 암호화 라이브러리에서 더 이상 사용되지 않습니다.
Jira:RHELDOCS-19004[1]
pam_ssh_agent_auth
가 더 이상 사용되지 않음
pam_ssh_agent_auth
패키지는 더 이상 사용되지 않으며 향후 주요 릴리스에서 제거될 수 있습니다.
Jira:RHELDOCS-18312[1]
Compat-openssl11
이 더 이상 사용되지 않음
OpenSSL 1.1, compat-openssl11
의 호환성 라이브러리는 더 이상 사용되지 않으며 향후 주요 릴리스에서 제거될 수 있습니다. OpenSSL 1.1은 더 이상 유지 관리되지 않으며 OpenSSL TLS 툴킷을 사용하는 애플리케이션은 버전 3.x로 마이그레이션되어야 합니다.
Jira:RHELDOCS-18480[1]
SHA-1은 OpenSSL의undercloud LEVEL=2
에서 더 이상 사용되지 않습니다.
SECLEVEL=2
에서 SHA-1 알고리즘을 사용하는 것은 OpenSSL에서 더 이상 사용되지 않으며 향후 주요 릴리스에서 제거될 수 있습니다.
Jira:RHELDOCS-18701[1]
Stunnel에서 OpenSSL Engines API가 더 이상 사용되지 않음
Stunnel에서 OpenSSL Engines API 사용은 더 이상 사용되지 않으며 향후 주요 릴리스에서 제거될 예정입니다. 가장 일반적인 용도는 openssl-pkcs11
패키지를 통해 PKCS#11을 사용하는 하드웨어 보안 토큰에 액세스하는 것입니다. 새로운 OpenSSL 공급자 API를 사용하는 pkcs11-provider
를 대신 사용할 수 있습니다.
Jira:RHELDOCS-18702[1]
OpenSSL 엔진은 더 이상 사용되지 않음
OpenSSL 엔진은 더 이상 사용되지 않으며 가까운 시일 내에 제거될 예정입니다. 엔진을 사용하는 대신 pkcs11-provider
를 교체로 사용할 수 있습니다.
Jira:RHELDOCS-18703[1]
GnuTLS에서 DSA가 더 이상 사용되지 않음
DSA(Digital Signature Algorithm)는 GnuTLS 보안 통신 라이브러리에서 더 이상 사용되지 않으며 향후 RHEL 주요 버전에서 제거될 예정입니다. DSA는 이전에 NIST(National Institute of Standards and Technology)에서 더 이상 사용되지 않으며 안전한 것으로 간주되지 않습니다. 대신 ECDSA를 사용하여 향후 버전과의 호환성을 보장할 수 있습니다.
Jira:RHELDOCS-19224[1]
scap-workbench
가 더 이상 사용되지 않음
scap-workbench
패키지는 더 이상 사용되지 않습니다. scap-workbench
그래픽 유틸리티는 단일 로컬 또는 원격 시스템에서 구성 및 취약점 검사를 수행하도록 설계되었습니다. 또는 oscap-ssh
명령을 사용하여 oscap
명령 및 원격 시스템을 사용하여 로컬 시스템에서 구성 준수 여부를 스캔할 수 있습니다. 자세한 내용은 구성 규정 준수 검사에서 참조하십시오.
Jira:RHELDOCS-19028[1]
oscap-anaconda-addon
이 더 이상 사용되지 않음
제공된 oscap-anaconda-addon
은 그래픽 설치를 사용하여 기준 준수 RHEL 시스템을 배포하는 수단은 더 이상 사용되지 않습니다. 또는 RHEL 이미지 빌더 OpenSCAP 통합을 사용하여 사전 강화된 이미지를 생성하여 특정 표준을 준수하는 RHEL 이미지를 빌드할 수 있습니다.
Jira:RHELDOCS-19029[1]
SHA-1은 암호화 목적으로 더 이상 사용되지 않습니다.
암호화 목적으로 SHA-1 메시지 다이제스트의 사용은 RHEL 9에서 더 이상 사용되지 않습니다. SHA-1에 의해 생성된 다이제스트는 해시 충돌을 찾기 위해 문서화된 많은 성공적인 공격으로 인해 안전한 것으로 간주되지 않습니다. RHEL 핵심 암호화 구성 요소는 기본적으로 SHA-1을 사용하여 더 이상 서명을 생성하지 않습니다. RHEL 9의 애플리케이션은 보안 관련 사용 사례에서 SHA-1을 사용하지 않도록 업데이트되었습니다.
예외적으로 HMAC-SHA1 메시지 인증 코드와 UUID(Universal Unique Identifier) 값은 SHA-1을 사용하여 계속 생성할 수 있습니다. 이러한 사용 사례에서는 현재 보안 위험이 발생하지 않기 때문입니다. SHA-1은 Kerberos 및 Cryostat-2와 같은 중요한 상호 운용성 및 호환성 문제와 관련된 제한된 경우에 사용할 수도 있습니다. 자세한 내용은 RHEL 9 보안 강화 문서의 FIPS 140-3 섹션과 호환되지 않는 암호화를 사용하는 RHEL 애플리케이션 목록을 참조하십시오.
기존 또는 타사 암호화 서명을 확인하는 데 SHA-1을 사용해야 하는 경우 다음 명령을 입력하여 활성화할 수 있습니다.
# update-crypto-policies --set DEFAULT:SHA1
또는 시스템 전체 암호화 정책을 LEGACY
정책으로 전환할 수 있습니다. LEGACY
는 안전하지 않은 다른 많은 알고리즘도 활성화합니다.
Jira:RHELPLAN-110763[1]
fapolicyd.rules
가 더 이상 사용되지 않음
허용 및 실행 규칙을 포함하는 파일의 /etc/fapolicyd/rules.d/
디렉토리에서 /etc/fapolicyd/fapolicyd.rules
파일을 대체합니다. fagenrules
스크립트는 이 디렉터리의 모든 구성 요소 규칙 파일을 /etc/fapolicyd/compiled.rules
파일에 병합합니다. /etc/fapolicyd/fapolicyd.trust
의 규칙은 여전히 fapolicyd
프레임 워크에서 처리되지만 이전 버전과의 호환성을 위해서만 처리됩니다.
RHEL 9에서 SCP가 더 이상 사용되지 않음
보안 복사 프로토콜(SCP)은 알려진 보안 취약점이 있기 때문에 더 이상 사용되지 않습니다. SCP API는 RHEL 9 라이프사이클에서 계속 사용할 수 있지만 이를 사용하면 시스템 보안이 줄어듭니다.
-
scp
유틸리티에서 SCP는 기본적으로 SSH 파일 전송 프로토콜(SFTP)으로 교체됩니다. - OpenSSH 제품군은 RHEL 9에서는 SCP를 사용하지 않습니다.
-
SCP는
libssh
라이브러리에서 더 이상 사용되지 않습니다.
Jira:RHELPLAN-99136[1]
OpenSSL을 사용하려면 FIPS 모드에서 RSA 암호화를 위한 패딩이 필요합니다.
OpenSSL은 FIPS 모드에서 패딩하지 않고 RSA 암호화를 더 이상 지원하지 않습니다. 패딩이 없는 RSA 암호화는 드문 일이 아니며 거의 사용되지 않습니다. RSA(RSASVE)가 포함된 키 캡슐화는 패딩을 사용하지 않지만 계속 지원됩니다.
OpenSSL이 Engines API 사용 중단
OpenSSL 3.0 TLS 툴킷은 Engines API를 더 이상 사용되지 않습니다. Engines 인터페이스는 공급자 API로 대체됩니다. 애플리케이션과 기존 엔진을 공급자로 마이그레이션하는 작업이 진행 중입니다. 더 이상 사용되지 않는 엔진 API는 향후 주요 릴리스에서 제거될 수 있습니다.
Jira:RHELDOCS-17958[1]
OpenSSL-pkcs11
이 더 이상 사용되지 않음
더 이상 사용되지 않는 OpenSSL 엔진을 Provider API로 지속적으로 마이그레이션하는 과정의 일환으로 pkcs11-provider
패키지는 openssl-pkcs11
패키지 (engine_pkcs11
)를 대체합니다. openssl-pkcs11
패키지는 더 이상 사용되지 않습니다. openssl-pkcs11
패키지는 향후 주요 릴리스에서 제거될 수 있습니다.
Jira:RHELDOCS-16716[1]
RHEL 8 및 9 OpenSSL 인증서 및 서명 컨테이너는 더 이상 사용되지 않음
Red Hat Ecosystem Catalog의 ubi8/openssl
및 ubi9/openssl
리포지토리에서 사용 가능한 OpenSSL 이식 인증서 및 서명 컨테이너는 이제 수요가 부족하기 때문에 더 이상 사용되지 않습니다.
Jira:RHELDOCS-17974[1]
SASL의 digest-MD5는 더 이상 사용되지 않음
SASL(Simple Authentication Security Layer) 프레임워크의 Digest-MD5 인증 메커니즘은 더 이상 사용되지 않으며 향후 주요 릴리스의 cyrus-sasl
패키지에서 제거될 수 있습니다.
Bugzilla:1995600[1]
/etc/system-fips
가 더 이상 사용되지 않음
/etc/system-fips
파일을 통해 FIPS 모드를 나타내는 지원이 제거되었으며 파일은 향후 RHEL 버전에 포함되지 않습니다. FIPS 모드에서 RHEL을 설치하려면 시스템 설치 중에 fips=1
매개변수를 커널 명령줄에 추가합니다. /proc/sys/crypto/fips_enabled
파일을 표시하여 RHEL이 FIPS 모드에서 작동하는지 확인할 수 있습니다.
Jira:RHELPLAN-103232[1]
libcrypt.so.1
이 더 이상 사용되지 않음
libcrypt.so.1
라이브러리는 더 이상 사용되지 않으며 향후 RHEL 버전에서 제거될 수 있습니다.