6.2. File Integrity Operator 릴리스 정보
OpenShift Container Platform용 File Integrity Operator는 RHCOS 노드에서 파일 무결성 검사를 지속적으로 실행합니다.
이 릴리스 노트에서는 OpenShift Container Platform의 File Integrity Operator 개발을 추적합니다.
File Integrity Operator에 대한 개요는 File Integrity Operator 이해를 참조하십시오.
최신 릴리스에 액세스하려면 File Integrity Operator 업데이트를 참조하십시오.
6.2.1. OpenShift File Integrity Operator 1.3.4
OpenShift File Integrity Operator 1.3.4에 대해 다음 권고를 사용할 수 있습니다.
6.2.1.1. 버그 수정
이전에는 multus 인증서 교체로 인해 File Integrity Operator에서 NodeHasIntegrityFailure 경고를 발행했습니다. 이번 릴리스에서는 경고 및 실패 상태가 올바르게 트리거됩니다. (OCPBUGS-31257)
6.2.2. OpenShift File Integrity Operator 1.3.3
OpenShift File Integrity Operator 1.3.3에서 다음 권고를 사용할 수 있습니다.
이번 업데이트에서는 기본 종속성의 CVE를 해결합니다.
6.2.2.1. 새로운 기능 및 개선 사항
FIPS 모드에서 실행되는 OpenShift Container Platform 클러스터에서 File Integrity Operator를 설치하고 사용할 수 있습니다.
중요클러스터의 FIPS 모드를 활성화하려면 FIPS 모드에서 작동하도록 구성된 RHEL(Red Hat Enterprise Linux) 컴퓨터에서 설치 프로그램을 실행해야 합니다. RHEL에서 FIPS 모드를 구성하는 방법에 대한 자세한 내용은 RHEL을 FIPS 모드로 전환 을 참조하십시오.
FIPS 모드에서 부팅된 RHEL(Red Hat Enterprise Linux CoreOS) 또는 RHCOS(Red Hat Enterprise Linux CoreOS)를 실행하는 경우 OpenShift Container Platform 코어 구성 요소는 x86_64, ppc64le 및 s390x 아키텍처에서만 FIPS 140-2/140-3 Validation에 대해 NIST에 제출된 RHEL 암호화 라이브러리를 사용합니다.
6.2.2.2. 버그 수정
-
이전에는
hostPath: path: /볼륨 마운트와 함께 개인 기본 마운트 전파가 있는 일부 FIO Pod에서 다중 경로를 사용하는 CSI 드라이버가 손상되었습니다. 이 문제가 해결되어 CSI 드라이버가 올바르게 작동합니다. (다중자가 사용 중인 경우 CSI 볼륨 마운트 해제를 차단하는 일부 OpenShift Operator Pod - 이번 업데이트에서는 CVE-2023-39325가 해결되었습니다. (CVE-2023-39325)
6.2.3. OpenShift File Integrity Operator 1.3.2
OpenShift File Integrity Operator 1.3.2에서 다음 권고를 사용할 수 있습니다.
이번 업데이트에서는 기본 종속성의 CVE를 해결합니다.
6.2.4. OpenShift File Integrity Operator 1.3.1
OpenShift File Integrity Operator 1.3.1에 대해 다음 권고를 사용할 수 있습니다.
6.2.4.1. 새로운 기능 및 개선 사항
- FIO에는 이제 OpenShift Container Platform에서 관리할 때 경고 발행을 제외하고 kubelet 인증서가 기본 파일로 포함됩니다. (OCPBUGS-14348)
- FIO는 이제 Red Hat 기술 지원 주소로 이메일을 올바르게 전달합니다. (OCPBUGS-5023)
6.2.4.2. 버그 수정
-
이전에는 노드가 클러스터에서 제거될 때 FIO에서
FileIntegrityNodeStatusCRD를 정리하지 않았습니다. FIO가 노드 제거 시 노드 상태 CRD를 올바르게 정리하도록 업데이트되었습니다. (OCPBUGS-4321) - 이전에는 FIO도 새 노드가 무결성 검사에 실패했음을 잘못 표시했습니다. FIO가 클러스터에 새 노드를 추가할 때 노드 상태 CRD를 올바르게 표시하도록 업데이트되었습니다. 올바른 노드 상태 알림을 제공합니다. (OCPBUGS-8502)
-
이전에는 FIO가
FileIntegrityCRD를 조정할 때 조정이 완료될 때까지 검사가 일시 중지되었습니다. 이로 인해 조정의 영향을 받지 않는 노드에 대한 지나치게 공격적인 재 시작 프로세스가 발생했습니다. 이 문제로 인해 머신 구성 풀에 대한 불필요한 데몬 세트로 인해FileIntegrity와 관련이 없습니다. FIO는 이러한 사례를 올바르게 처리하고 파일 무결성 변경의 영향을 받는 노드의 AIDE 스캔을 일시 중지합니다. (CMP-1097)
6.2.4.3. 확인된 문제
FIO 1.3.1에서 IBM Z® 클러스터의 노드를 늘리면 파일 무결성 노드 상태가 실패할 수 있습니다. 자세한 내용은 IBM Power® 클러스터에 노드 추가로 인해 파일 무결성 노드 상태가 실패할 수 있습니다.
6.2.5. OpenShift File Integrity Operator 1.2.1
OpenShift File Integrity Operator 1.2.1에 대해 다음 권고를 사용할 수 있습니다.
- RHBA-2023:1684 OpenShift File Integrity Operator 버그 수정 업데이트
- 이 릴리스에는 업데이트된 컨테이너 종속 항목이 포함되어 있습니다.
6.2.6. OpenShift File Integrity Operator 1.2.0
OpenShift File Integrity Operator 1.2.0에 대해 다음 권고를 사용할 수 있습니다.
6.2.6.1. 새로운 기능 및 개선 사항
-
이제 File Integrity Operator CR(사용자 정의 리소스)에 첫 번째 AIDE 무결성 검사를 시작하기 전에 대기할 시간(초)을 지정하는
initialDelay기능이 포함되어 있습니다. 자세한 내용은 FileIntegrity 사용자 정의 리소스 생성을 참조하십시오. -
File Integrity Operator가 안정되어 릴리스 채널이
stable로 업그레이드되었습니다. 향후 릴리스에서는 Semantic Versioning 을 따릅니다. 최신 릴리스에 액세스하려면 File Integrity Operator 업데이트를 참조하십시오.
6.2.7. OpenShift File Integrity Operator 1.0.0
OpenShift File Integrity Operator 1.0.0에 다음 권고를 사용할 수 있습니다.
6.2.8. OpenShift File Integrity Operator 0.1.32
OpenShift File Integrity Operator 0.1.32에 대해 다음 권고를 사용할 수 있습니다.
6.2.8.1. 버그 수정
- 이전에는 File Integrity Operator에서 발행한 경고가 네임스페이스를 설정하지 않아 경고가 시작된 네임스페이스를 이해하기 어려웠습니다. 이제 Operator에서 적절한 네임스페이스를 설정하여 경고에 대한 자세한 정보를 제공합니다. (BZ#2112394)
- 이전에는 File Integrity Operator가 Operator 시작 시 메트릭 서비스를 업데이트하지 않아 지표 대상에 연결할 수 없었습니다. 이번 릴리스에서는 File Integrity Operator가 Operator 시작 시 지표 서비스가 업데이트되도록 합니다. (BZ#2115821)
6.2.9. OpenShift File Integrity Operator 0.1.30
OpenShift File Integrity Operator 0.1.30에서 다음 권고를 사용할 수 있습니다.
6.2.9.1. 새로운 기능 및 개선 사항
File Integrity Operator는 다음 아키텍처에서 지원됩니다.
- IBM Power®
- IBM Z® 및 IBM® LinuxONE
6.2.9.2. 버그 수정
- 이전에는 File Integrity Operator에서 발행한 경고가 네임스페이스를 설정하지 않아 경고가 시작된 위치를 이해하기 어려웠습니다. 이제 Operator에서 적절한 네임스페이스를 설정하여 경고에 대한 이해가 증가합니다. (BZ#2101393)
6.2.10. OpenShift File Integrity Operator 0.1.24
OpenShift File Integrity Operator 0.1.24에 대해 다음 권고를 사용할 수 있습니다.
6.2.10.1. 새로운 기능 및 개선 사항
-
이제
config.maxBackups특성을 사용하여FileIntegrityCR(사용자 정의 리소스)에 저장된 최대 백업 수를 구성할 수 있습니다. 이 속성은 노드에서 유지할re-init프로세스에서 남아 있는 AIDE 데이터베이스 및 로그 백업의 수를 지정합니다. 구성된 번호 이외의 이전 백업이 자동으로 정리됩니다. 기본값은 5개의 백업으로 설정됩니다.
6.2.10.2. 버그 수정
-
이전에는 0.1.21 이전 버전에서 0.1.22 이전 버전에서 Operator를 업그레이드하면
다시 초기화기능이 실패할 수 있었습니다. 이로 인해 Operator가configMap리소스 레이블을 업데이트하지 못했습니다. 이제 최신 버전으로 업그레이드하면 리소스 레이블이 수정되었습니다. (BZ#2049206) -
이전 버전에서는 기본
configMap스크립트 콘텐츠를 실행할 때 잘못된 데이터 키가 비교되었습니다. 이로 인해 Operator 업그레이드 후aide-reinit스크립트가 제대로 업데이트되지 않아다시초기화 프로세스가 실패했습니다. 이제daemonSets가 완료될 때까지 실행되고 AIDE 데이터베이스다시 초기화프로세스가 성공적으로 실행됩니다. (BZ#2072058)
6.2.11. OpenShift File Integrity Operator 0.1.22
OpenShift File Integrity Operator 0.1.22에 대해 다음 권고를 사용할 수 있습니다.
6.2.11.1. 버그 수정
-
이전에는 File Integrity Operator가 설치된 시스템이
/etc/kubernetes/aide.reinit파일로 인해 OpenShift Container Platform 업데이트를 중단할 수 있었습니다. 이는/etc/kubernetes/aide.reinit파일이 있지만 나중에ostree검증 전에 제거된 경우 발생했습니다. 이번 업데이트를 통해/etc/kubernetes/aide.reinit가/run디렉터리로 이동되어 OpenShift Container Platform 업데이트와 충돌하지 않습니다. (BZ#2033311)
6.2.12. OpenShift File Integrity Operator 0.1.21
OpenShift File Integrity Operator 0.1.21에 대해 다음 권고를 사용할 수 있습니다.
6.2.12.1. 새로운 기능 및 개선 사항
-
FileIntegrity검사 결과 및 처리 메트릭과 관련된 지표는 웹 콘솔의 모니터링 대시보드에 표시됩니다. 결과는file_integrity_operator_접두사로 레이블이 지정됩니다. -
노드에 1초 이상 무결성 오류가 있는 경우 경고와 함께 Operator 네임스페이스 경고에 기본
PrometheusRule이 제공됩니다. 다음 동적 Machine Config Operator 및 Cluster Version Operator 관련 파일 경로는 노드 업데이트 중 잘못된 긍정을 방지하기 위해 기본 AIDE 정책에서 제외됩니다.
- /etc/machine-config-daemon/currentconfig
- /etc/pki/ca-trust/extracted/java/cacerts
- /etc/cvo/updatepayloads
- /root/.kube
- AIDE 데몬 프로세스는 v0.1.16보다 안정성이 향상되었으며 AIDE 데이터베이스가 초기화될 때 발생할 수 있는 오류에 더 탄력적입니다.
6.2.12.2. 버그 수정
- 이전에는 Operator가 자동으로 업그레이드되면 오래된 데몬 세트가 제거되지 않았습니다. 이번 릴리스에서는 자동 업그레이드 중에 오래된 데몬 세트가 제거됩니다.
