6.2. 보안
RHEL에서 암호화된 DNS는 기술 프리뷰로 사용 가능
암호화된 DNS를 활성화하여 DoT(DNS-over-TLS)를 사용하는 DNS 통신을 보호할 수 있습니다. 암호화된 DNS(eDNS)는 비보안 프로토콜에 대한 대체 없이 모든 DNS 트래픽 엔드 투 엔드를 암호화하고ZTA(0개의 신뢰 아키텍처) 원칙에 맞게 정렬합니다.
eDNS를 사용하여 새 설치를 수행하려면 커널 명령줄을 사용하여 DoT 사용 DNS 서버를 지정합니다. 이렇게 하면 설치 프로세스, 부팅 시간 및 설치된 시스템에서 암호화된 DNS가 활성화됩니다. 사용자 정의 CA 인증서 번들이 필요한 경우 Kickstart 파일의 %certificate
섹션을 사용하여만 설치할 수 있습니다. 현재 사용자 정의 CA 번들은 Kickstart 설치를 통해서만 설치할 수 있습니다.
기존 시스템에서 eDNS의 로컬 DNS 확인자(unbound)를 관리하는 새 DNS 플러그인 dnsconfd
를 사용하도록 NetworkManager를 구성합니다. 초기 부팅 프로세스에 대해 eDNS를 구성하고 선택적으로 사용자 정의 CA 번들을 설치하는 커널 인수를 추가합니다.
또한 IdM(Identity Management) 배포는 DoT를 지원하는 통합 DNS 서버와 함께 암호화된 DNS를 사용할 수도 있습니다.
자세한 내용은 암호화된 DNS를 사용한 시스템 DNS 트래픽 보안을 참조하십시오.
Jira:RHELDOCS-20059[1], Jira:RHEL-67913
Gnu
TLS에서 kTLS를 기술 프리뷰로 사용
업데이트된 gnutls
패키지는 커널 TLS(kTLS)를 사용하여 암호화된 채널에서 데이터 전송을 기술 프리뷰로 가속화할 수 있습니다. kTLS를 활성화하려면 modprobe
명령을 사용하여 tls.ko
커널 모듈을 추가하고 다음 콘텐츠를 사용하여 시스템 전체 암호화 정책에 대한 새 구성 파일 /etc/crypto-policies/local.d/gnutls-ktls.txt
를 생성합니다.
[global] ktls = true
[global]
ktls = true
현재 버전은 TLS KeyUpdate
메시지를 통해 트래픽 키 업데이트를 지원하지 않으므로 AES-GCM 암호화suite의 보안에 영향을 미칩니다. 자세한 내용은 RFC 7841 - TLS 1.3 문서를 참조하십시오.
Jira:RHELPLAN-128129[1]
OpenSSL 클라이언트는 QUIC 프로토콜을 기술 프리뷰로 사용할 수 있습니다.
OpenSSL은 클라이언트 측의 QUIC 전송 계층 네트워크 프로토콜을 기술 프리뷰로 OpenSSL 버전 3.2.2에 리베이스와 함께 사용할 수 있습니다.
Jira:RHELDOCS-18935[1]
io_uring
인터페이스는 기술 프리뷰로 사용 가능
io_uring
은 새롭고 효과적인 비동기 I/O 인터페이스이며 이제 기술 프리뷰로 사용할 수 있습니다. 이 기능은 기본적으로 비활성화되어 있습니다. kernel.io_uring_disabled
sysctl 변수를 다음 값 중 하나로 설정하여 이 인터페이스를 활성화할 수 있습니다.
0
-
모든 프로세스는
io_uring
인스턴스를 정상적으로 생성할 수 있습니다. 1
-
권한이 없는 프로세스에 대해
io_uring
생성이 비활성화됩니다.CAP_SYS_ADMIN
기능을 통해 호출 프로세스의 권한을 부여하지 않는 한io_uring_setup
이-EPERM
오류로 실패합니다. 기존io_uring
인스턴스를 계속 사용할 수 있습니다. 2
-
모든 프로세스에 대해
io_uring
생성이 비활성화됩니다.io_uring_setup
은 항상-EPERM
. 기존io_uring
인스턴스를 계속 사용할 수 있습니다. 이 설정은 기본 설정입니다.
이 기능을 사용하려면 익명 inode에서 mmap
시스템 호출을 활성화하는 업데이트된 SELinux 정책 버전이 필요합니다.
애플리케이션은 io_uring
명령 pass-through를 사용하여 nvme
와 같은 기본 하드웨어에 직접 명령을 실행할 수 있습니다.
Jira:RHEL-11792[1]