10.2. 보안
libvirt
서비스 4의 SELinux 정책 규칙이 일시적으로 허용 모드로 변경됨
이전에는 레거시 모놀리식 libvirtd
데몬을 새 모듈식 데몬 세트로 교체하도록 SELinux 정책이 변경되었습니다. 이러한 변경으로 인해 여러 시나리오를 테스트해야 하므로 다음 서비스가 SELinux 허용 모드로 일시적으로 변경되었습니다.
-
virtqemud
-
virtvboxd
-
virtstoraged
-
virtsecretd
무해한 AVC 거부를 방지하기 위해 이러한 서비스에 대한 SELinux 정책에 dontaudit
규칙이 추가되었습니다.
Jira:RHEL-77808[1]
암호화 토큰은 pkcs11-provider
를 사용하여 FIPS 모드에서 작동하지 않음
시스템이 FIPS 모드에서 실행되면 pkcs11-provider
OpenSSL 공급자가 올바르게 작동하지 않고 OpenSSL TLS 툴킷이 기본 공급자로 대체됩니다. 결과적으로 OpenSSL이 PKCS #11 키를 로드하지 못하고 이 시나리오에서는 암호화 토큰이 작동하지 않습니다.
해결방법: openssl.cnf
파일의 PKCS #11 섹션에서 pkcs11-module-assume-fips = true
매개변수를 설정합니다. 자세한 내용은 시스템의 pkcs11-provider(7)
도움말 페이지를 참조하십시오. 이 구성 변경으로 pkcs11-provider
는 FIPS 모드에서 작동합니다.
EUS ( Extended Master Secret
TLS Extension)가 FIPS 지원 시스템에서 적용됩니다.
RHSA-2023:3722 권고가 릴리스되면서 TLS 확장 마스터 시크릿
(ECDSA) 확장(RFC 7627)은 FIPS 지원 RHEL 9 및 10 시스템에서 TLS 1.2 연결에 필요합니다. 이는 FIPS-140-3 요구 사항에 따라 수행됩니다. TLS 1.3은 영향을 받지 않습니다.
ECDSA 또는 TLS 1.3을 지원하지 않는 레거시 클라이언트는 이제 RHEL 9 및 10에서 실행되는 FIPS 서버에 연결할 수 없습니다. 마찬가지로 FIPS 모드의 RHEL 9 및 10 클라이언트는 Cryostat 없이 TLS 1.2만 지원하는 서버에 연결할 수 없습니다. 실제로 이러한 클라이언트는 RHEL 6, RHEL 7 및 비 RHEL 레거시 운영 체제의 서버에 연결할 수 없습니다. 이는 OpenSSL의 기존 1.0.x 버전이 ECDSA 또는 TLS 1.3을 지원하지 않기 때문입니다.
또한 FIPS 지원 RHEL 클라이언트에서 VMWare ESX와 같은 하이퍼바이저에 연결하는 것은 이제 하이퍼바이저에서 TLS 1.2 없이 TLS 1.2를 사용하는 경우 공급자 루틴::ems not enabled
오류와 함께 실패합니다. 이 문제를 해결하려면 ECDSA 확장을 사용하여 TLS 1.3 또는 TLS 1.2를 지원하도록 하이퍼바이저를 업데이트합니다. VMWare vSphere의 경우 이는 버전 8.0 이상을 의미합니다.
자세한 내용은 Red Hat Enterprise Linux 9.2 이상에서 적용된 TLS 확장 "확장 마스터 시크릿"을 참조하십시오.