6장. 보안

sudo 유틸리티는 sudoer 항목의 /etc/nsswitch.conf 파일을 참조하고 이를 파일에서나 LDAP를 사용하여 검색할 수 있습니다. 이전에는 sudoer 항목 중 첫 번째 데이터베이스에 일치 항목이 검색될 경우 검색 동작은 다른 데이터베이스 (파일 포함)에서 계속 진행되었습니다. Red Hat Enterprise Linux 6.4에서는 /etc/nsswitch.conf 파일에 옵션이 추가되어 사용자는 sudoer 일치 항목이 충분해도 데이터베이스를 지정할 수 있습니다. 이는 다른 데이터 베이스를 쿼리할 필요가 없게되므로 대규모 환경에서 sudoer 항목 검색 성능이 향상됩니다. 이 동작은 기본값으로 활성화되지 않으므로 선택한 데이터베이스 이후에 [SUCCESS=return] 문자열을 추가하여 설정해야 합니다. 이 문자열 앞에 오는 데이터베이스에서 일치 항목을 발견하면 다른 데이터베이스는 쿼리되지 않습니다.

pam_cracklib 모듈이 업데이트되어 여러 개의 새 암호 강도를 확인하는 것이 추가되었습니다:

여러 tmpfs 마운트를 갖는 시스템에서 이러한 마운트에 의한 시스템 전체 메모리의 점거를 저지하기 위해 마운트 크기를 제한해야 합니다. PAM은 업데이트되어 tmpfs 다중 인스턴스를 사용하는 경우 /etc/namespace.conf 설정 파일에 있는 mntopts=size=<size> 옵션을 사용하여 tmpfs 파일 시스템 마운트의 최대 크기를 지정할 수 있습니다.

일정 기간 동안 사용되지 않는 계정을 잠금하는 경우 특정 인증 지원이 필요합니다. Red Hat Enterprise Linux 6.4에서는 pam_lastlog 모듈에 추가 기능을 도입하여 설정 가능한 기간을 지난 후 사용자는 계정을 잠금할 수 있습니다.

IBM System z에서 ICA (IBM eServer Cryptographic Accelerator) 하드웨어를 액세스할 수 있는 기능 및 유틸리티 모음이 포함된 libica 라이브러리가 수정되었습니다. 이로 인해 CPACF (Central Processor Assist for Cryptographic Function)에서 Message Security Assist Extension 4 명령을 지원하는 새로운 알고리즘을 사용할 수 있게 되었습니다. DES 및 3DES 블록 암호화의 경우 다음과 같은 동작 모드가 지원됩니다:

AES 블록 암호의 경우 다음과 같은 동작 모드가 지원됩니다:

이러한 복잡한 암호화 알고리즘의 가속으로 인해 IBM System z 시스템의 성능이 크게 향상되었습니다.

다목적형 무손실 데이터 압축 라이브러리라는 zlib 라이브러리가 업데이트되어 IBM System z에서 압축 성능이 향상되었습니다.

iptables 및 ip6tables 서비스는 기본 설정을 적용할 수 없는 경우에 대체할 방화벽 설정을 할당할 수 있습니다. /etc/sysconfig/iptables에서 방화벽 규칙 적용을 실패할 경우 대체 파일이 있으면 이 파일이 적용되는 것입니다. /etc/sysconfig/iptables.fallback이라는 대체 파일로 iptables-save 파일 형식을 사용합니다. (/etc/sysconfig/iptables와 동일) 대체 파일 적용에 실패할 경우, 더 이상 대체할 파일은 없게 됩니다. 대체 파일을 생성하려면 표준 방화벽 설정 도구를 사용하여 파일을 fallback이라는 이름으로 저장하거나 복사합니다. ip6tables 서비스의 경우에도 “iptables”를 “ip6tables”로 변경하고 동일한 절차를 사용합니다.