Red Hat Summit10.2. 보안
libvirt 서비스 4의 SELinux 정책 규칙이 일시적으로 허용 모드로 변경됨
이전에는 레거시 모놀리식 libvirtd 데몬을 새 모듈식 데몬 세트로 교체하도록 SELinux 정책이 변경되었습니다. 이러한 변경으로 인해 여러 시나리오를 테스트해야 하므로 다음 서비스가 SELinux 허용 모드로 일시적으로 변경되었습니다.
-
virtqemud -
virtvboxd -
virtstoraged -
virtsecretd
무해한 AVC 거부를 방지하기 위해 이러한 서비스에 대한 SELinux 정책에 dontaudit 규칙이 추가되었습니다.
Jira:RHEL-77808[1]
암호화 토큰은 pkcs11-provider를 사용하여 FIPS 모드에서 작동하지 않음
시스템이 FIPS 모드에서 실행되면 pkcs11-provider OpenSSL 공급자가 올바르게 작동하지 않고 OpenSSL TLS 툴킷이 기본 공급자로 대체됩니다. 결과적으로 OpenSSL이 PKCS #11 키를 로드하지 못하고 이 시나리오에서는 암호화 토큰이 작동하지 않습니다.
해결방법: openssl.cnf 파일의 PKCS #11 섹션에서 pkcs11-module-assume-fips = true 매개변수를 설정합니다. 자세한 내용은 시스템의 pkcs11-provider(7) 도움말 페이지를 참조하십시오. 이 구성 변경으로 pkcs11-provider 는 FIPS 모드에서 작동합니다.
EUS ( Extended Master Secret TLS Extension)가 FIPS 지원 시스템에서 적용됩니다.
RHSA-2023:3722 권고가 릴리스되면서 TLS 확장 마스터 시크릿 (ECDSA) 확장(RFC 7627)은 FIPS 지원 RHEL 9 및 10 시스템에서 TLS 1.2 연결에 필요합니다. 이는 FIPS-140-3 요구 사항에 따라 수행됩니다. TLS 1.3은 영향을 받지 않습니다.
ECDSA 또는 TLS 1.3을 지원하지 않는 레거시 클라이언트는 이제 RHEL 9 및 10에서 실행되는 FIPS 서버에 연결할 수 없습니다. 마찬가지로 FIPS 모드의 RHEL 9 및 10 클라이언트는 Cryostat 없이 TLS 1.2만 지원하는 서버에 연결할 수 없습니다. 실제로 이러한 클라이언트는 RHEL 6, RHEL 7 및 비 RHEL 레거시 운영 체제의 서버에 연결할 수 없습니다. 이는 OpenSSL의 기존 1.0.x 버전이 ECDSA 또는 TLS 1.3을 지원하지 않기 때문입니다.
또한 FIPS 지원 RHEL 클라이언트에서 VMWare ESX와 같은 하이퍼바이저에 연결하는 것은 이제 하이퍼바이저에서 TLS 1.2 없이 TLS 1.2를 사용하는 경우 공급자 루틴::ems not enabled 오류와 함께 실패합니다. 이 문제를 해결하려면 ECDSA 확장을 사용하여 TLS 1.3 또는 TLS 1.2를 지원하도록 하이퍼바이저를 업데이트합니다. VMWare vSphere의 경우 이는 버전 8.0 이상을 의미합니다.
자세한 내용은 Red Hat Enterprise Linux 9.2 이상에서 적용된 TLS 확장 "확장 마스터 시크릿"을 참조하십시오.
NSS 데이터베이스 암호 업데이트로 인해 ML-DSA 시드가 손상됩니다.
ML-DSA 키를 생성하는 것은 키를 도출하기에 충분한 시드로 시작됩니다. 그러나 후속 작업을 가속화하도록 키를 확장할 수도 있습니다. NSS 데이터베이스에 ML-DSA 키가 있거나 생성되거나 가져온 경우 확장된 형식과 시드 둘 다 저장될 수 있습니다. NSS가 데이터베이스 재암호화 처리 방법의 버그로 인해 데이터베이스의 암호를 변경하면 새 암호를 수용하도록 시드 속성이 업데이트되지 않으며 이전 암호에 대한 지식이 있더라도 값이 영구적으로 손실됩니다.
해결방법: 암호를 업데이트하기 전에 키를 내보내고 업데이트 후 다시 가져옵니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}