6장. File Integrity Operator
6.1. File Integrity Operator 릴리스 노트
OpenShift Container Platform용 File Integrity Operator는 RHCOS 노드에서 파일 무결성 검사를 지속적으로 실행합니다.
이 릴리스 노트에서는 OpenShift Container Platform의 File Integrity Operator 개발을 추적합니다.
File Integrity Operator에 대한 개요는 File Integrity Operator 이해를 참조하십시오.
최신 릴리스에 액세스하려면 File Integrity Operator 업데이트를 참조하십시오.
6.1.1. OpenShift File Integrity Operator 1.3.3
OpenShift File Integrity Operator 1.3.3에서 다음 권고를 사용할 수 있습니다.
이번 업데이트에서는 기본 종속성의 CVE를 해결합니다.
6.1.1.1. 새로운 기능 및 개선 사항
- FIPS 모드에서 실행되는 OpenShift Container Platform 클러스터에서 File Integrity Operator를 설치하고 사용할 수 있습니다.
클러스터의 FIPS 모드를 활성화하려면 FIPS 모드에서 작동하도록 구성된 RHEL 컴퓨터에서 설치 프로그램을 실행해야 합니다. RHEL에서 FIPS 모드 구성에 대한 자세한 내용은FIPS 모드에서 시스템 설치를참조하십시오.
6.1.1.2. 버그 수정
-
이전에는
hostPath: path: /볼륨 마운트와 함께 개인 기본 마운트 전파가 있는 일부 FIO Pod에서 다중 경로를 사용하는 CSI 드라이버가 손상되었습니다. 이 문제가 해결되어 CSI 드라이버가 올바르게 작동합니다. (다중자가 사용 중인 경우 CSI 볼륨 마운트 해제를 차단하는 일부 OpenShift Operator Pod - 이번 업데이트에서는 CVE-2023-39325가 해결되었습니다. (CVE-2023-39325)
6.1.2. OpenShift File Integrity Operator 1.3.2
OpenShift File Integrity Operator 1.3.2에서 다음 권고를 사용할 수 있습니다.
이번 업데이트에서는 기본 종속성의 CVE를 해결합니다.
6.1.3. OpenShift File Integrity Operator 1.3.1
OpenShift File Integrity Operator 1.3.1에 대해 다음 권고를 사용할 수 있습니다.
6.1.3.1. 새로운 기능 및 개선 사항
- FIO에는 이제 OpenShift Container Platform에서 관리할 때 경고 발행을 제외하고 kubelet 인증서가 기본 파일로 포함됩니다. (OCPBUGS-14348)
- FIO는 이제 Red Hat 기술 지원 주소로 이메일을 올바르게 전달합니다. (OCPBUGS-5023)
6.1.3.2. 버그 수정
-
이전에는 노드가 클러스터에서 제거될 때 FIO에서
FileIntegrityNodeStatusCRD를 정리하지 않았습니다. FIO가 노드 제거 시 노드 상태 CRD를 올바르게 정리하도록 업데이트되었습니다. (OCPBUGS-4321) - 이전에는 FIO도 새 노드가 무결성 검사에 실패했음을 잘못 표시했습니다. FIO가 클러스터에 새 노드를 추가할 때 노드 상태 CRD를 올바르게 표시하도록 업데이트되었습니다. 올바른 노드 상태 알림을 제공합니다. (OCPBUGS-8502)
-
이전에는 FIO가
FileIntegrityCRD를 조정할 때 조정이 완료될 때까지 검사가 일시 중지되었습니다. 이로 인해 조정의 영향을 받지 않는 노드에 대한 지나치게 공격적인 재 시작 프로세스가 발생했습니다. 이 문제로 인해 머신 구성 풀에 대한 불필요한 데몬 세트로 인해FileIntegrity와 관련이 없습니다. FIO는 이러한 사례를 올바르게 처리하고 파일 무결성 변경의 영향을 받는 노드의 AIDE 스캔을 일시 중지합니다. (CMP-1097)
6.1.3.3. 확인된 문제
FIO 1.3.1에서 IBM Z 클러스터의 노드를 늘리면 파일 무결성 노드 상태가 실패할 수 있습니다. 자세한 내용은 IBM Power 클러스터에 노드 추가로 인해 파일 무결성 노드 상태가 실패할 수 있습니다.
6.1.4. OpenShift File Integrity Operator 1.2.1
OpenShift File Integrity Operator 1.2.1에서 다음 권고를 사용할 수 있습니다.
- RHBA-2023:1684 OpenShift File Integrity Operator 버그 수정 업데이트
- 이 릴리스에는 업데이트된 컨테이너 종속성이 포함되어 있습니다.
6.1.5. OpenShift File Integrity Operator 1.2.0
OpenShift File Integrity Operator 1.2.0에서 다음 권고를 사용할 수 있습니다.
6.1.5.1. 새로운 기능 및 개선 사항
-
이제 File Integrity Operator CR(사용자 정의 리소스)에 첫 번째 AIDE 무결성 검사를 시작하기 전에 대기할 시간(초)을 지정하는
initialDelay기능이 포함되어 있습니다. 자세한 내용은 FileIntegrity 사용자 정의 리소스 생성을 참조하십시오. -
File Integrity Operator가 이제 안정되어 릴리스 채널이
stable으로 업그레이드되었습니다. 향후 릴리스에서는 Semantic Versioning 을 따릅니다. 최신 릴리스에 액세스하려면 File Integrity Operator 업데이트를 참조하십시오.
6.1.6. OpenShift File Integrity Operator 1.0.0
OpenShift File Integrity Operator 1.0.0에서 다음 권고를 사용할 수 있습니다.
6.1.7. OpenShift File Integrity Operator 0.1.32
OpenShift File Integrity Operator 0.1.32에서는 다음 권고를 사용할 수 있습니다.
6.1.7.1. 버그 수정
- 이전에는 File Integrity Operator에서 발행한 경고가 네임스페이스를 설정하지 않아 경고가 발생한 네임스페이스를 이해하기 어려웠습니다. 이제 Operator에서 적절한 네임스페이스를 설정하여 경고에 대한 자세한 정보를 제공합니다. (BZ#2112394)
- 이전에는 File Integrity Operator가 Operator 시작 시 메트릭 서비스를 업데이트하지 않아 지표 대상에 연결할 수 없었습니다. 이번 릴리스에서는 File Integrity Operator에서 Operator 시작 시 지표 서비스가 업데이트되었는지 확인합니다. (BZ#2115821)
6.1.8. OpenShift File Integrity Operator 0.1.30
OpenShift File Integrity Operator 0.1.30에서 다음 권고를 사용할 수 있습니다.
6.1.8.1. 새로운 기능 및 개선 사항
File Integrity Operator가 다음 아키텍처에서 지원됩니다.
- IBM Power
- IBM Z 및 LinuxONE
6.1.8.2. 버그 수정
- 이전에는 File Integrity Operator에서 발행한 경고가 네임스페이스를 설정하지 않아 경고가 시작된 위치를 파악하기 어려웠습니다. 이제 Operator에서 적절한 네임스페이스를 설정하여 경고에 대한 이해를 높입니다. (BZ#2101393)
6.1.9. OpenShift File Integrity Operator 0.1.24
OpenShift File Integrity Operator 0.1.24에 다음 권고를 사용할 수 있습니다.
6.1.9.1. 새로운 기능 및 개선 사항
-
이제
config.maxBackups속성을 사용하여FileIntegrity사용자 정의 리소스(CR)에 저장된 최대 백업 수를 구성할 수 있습니다. 이 속성은 노드에 유지할 수 있도록 AIDE 데이터베이스 수와re-init프로세스에서 남은 로그 백업을 지정합니다. 구성된 번호 이외의 이전 백업이 자동으로 정리됩니다. 기본값은 5개의 백업으로 설정됩니다.
6.1.9.2. 버그 수정
-
이전 버전에서는 0.1.21 이전 버전에서 0.1.22로 Operator를 업그레이드하면
다시 초기화기능이 실패할 수 있었습니다. 이로 인해 Operator가configMap리소스 라벨을 업데이트하지 못했습니다. 이제 최신 버전으로 업그레이드하면 리소스 레이블이 수정됩니다. (BZ#2049206) -
이전에는 기본
configMap스크립트 콘텐츠를 적용할 때 잘못된 데이터 키가 비교되었습니다. 이로 인해 Operator 업그레이드 후aide-reinit스크립트가 올바르게 업데이트되지 않아re-init프로세스가 실패했습니다. 이제daemonSets가 완료될 때까지 실행되고 AIDE 데이터베이스다시 시작 프로세스가성공적으로 실행됩니다. (BZ#2072058)
6.1.10. OpenShift File Integrity Operator 0.1.22
OpenShift File Integrity Operator 0.1.22에 다음 권고를 사용할 수 있습니다.
6.1.10.1. 버그 수정
-
이전에는 File Integrity Operator가 설치된 시스템에서
/etc/kubernetes/aide.reinit파일로 인해 OpenShift Container Platform 업데이트가 중단될 수 있었습니다. 이는/etc/kubernetes/aide.reinit파일이 있었지만ostree검증 전에 제거된 경우 발생했습니다. 이번 업데이트를 통해 OpenShift Container Platform 업데이트와 충돌하지 않도록/etc/kubernetes/aide.reinit가/run디렉토리로 이동합니다. (BZ#2033311)
6.1.11. OpenShift File Integrity Operator 0.1.21
OpenShift File Integrity Operator 0.1.21에 다음 권고를 사용할 수 있습니다.
6.1.11.1. 새로운 기능 및 개선 사항
-
FileIntegrity검사 결과 및 처리 지표와 관련된 메트릭이 웹 콘솔의 모니터링 대시보드에 표시됩니다. 결과는file_integrity_operator_의 접두사로 레이블이 지정됩니다. -
노드에 1초 이상에 대한 무결성 오류가 있는 경우 Operator 네임스페이스 경고에 제공된 기본
PrometheusRule에 경고가 표시됩니다. 다음과 같은 동적 Machine Config Operator 및 Cluster Version Operator 관련 filepaths는 기본 AIDE 정책에서 제외되어 노드 업데이트 중에 false positives를 방지할 수 있습니다.
- /etc/machine-config-daemon/currentconfig
- /etc/pki/ca-trust/extracted/java/cacerts
- /etc/cvo/updatepayloads
- /root/.kube
- AIDE 데몬 프로세스에는 v0.1.16에 대한 안정성이 개선되어 AIDE 데이터베이스가 초기화될 때 발생할 수 있는 오류에 대한 복원력이 향상됩니다.
6.1.11.2. 버그 수정
- 이전 버전에서는 Operator가 자동으로 업그레이드되면 오래된 데몬 세트가 제거되지 않았습니다. 이번 릴리스에서는 자동 업그레이드 중에 오래된 데몬 세트가 제거됩니다.
