6장. 보안

sudo 유틸리티는 sudoers 항목의 /etc/nsswitch.conf 파일을 참조하고 파일에서 조회하거나 LDAP를 사용할 수 있습니다. 이전에는 sudoers 항목의 첫 번째 데이터베이스에서 일치 항목이 발견되면 다른 데이터베이스(파일 포함)에서 조회 작업이 계속되었습니다. Red Hat Enterprise Linux 6.4에서는 사용자가 sudoers 항목의 일치 항목이 충분한 데이터베이스를 지정할 수 있는 옵션이 /etc/nsswitch.conf 파일에 추가되었습니다. 이렇게 하면 다른 데이터베이스를 쿼리할 필요가 없으므로 대규모 환경에서 sudoers 항목의 성능이 향상됩니다. 이 동작은 기본적으로 활성화되어 있지 않으며 선택한 데이터베이스 후에 [SUCCESS= return] 문자열을 추가하여 구성해야 합니다. 이 문자열 앞에 직접 일치하는 데이터베이스가 발견되면 다른 데이터베이스를 쿼리하지 않습니다.

pam_cracklib 모듈이 여러 개의 새 암호 강도 검사를 추가하도록 업데이트되었습니다.

여러 tmpfs 마운트가 있는 시스템에서는 모든 시스템 메모리를 차지하지 않도록 크기를 제한해야 합니다. PAM이 /etc/namespace.conf 구성 파일에서 mntopts=size= <size> 옵션을 사용하여 tmpfs polyinstantiation을 사용할 때 tmpfs 파일 시스템 마운트의 최대크기를 지정하도록 업데이트되었습니다.

특정 인증 정책에서는 특정 기간 동안 사용되지 않는 계정 잠금을 지원해야 합니다. Red Hat Enterprise Linux 6.4는 pam_lastlog 모듈에 추가 기능을 도입하여 사용자가 구성 가능한 일수 후에 계정을 잠글 수 있습니다.

IBM System z에서 IBM eServer Cryptographic Accelerator(ICA) 하드웨어에 액세스하는 데 필요한 기능 및 유틸리티 세트가 포함된 libica 라이브러리는 CPACF(Central Processor Assist Assist Assist Access for Cryptographic Function)의 메시지 보안 지원 확장 4 명령을 지원하는 새로운 알고리즘을 사용하도록 수정되었습니다. DES 및 3DES 블록 암호의 경우 다음 작업 모드가 지원됩니다.

AES 블록 암호의 경우 다음 작업 모드가 지원됩니다.

복잡한 암호화 알고리즘의 가속화는 IBM System z 머신의 성능을 크게 향상시킵니다.

IBM System z에서 압축 성능을 개선하도록 범용 손실 없는 데이터 압축 라이브러리인 zlib 라이브러리가 업데이트되었습니다.

이제 iptables 및 ip6tables 서비스에서 기본 구성을 적용할 수 없는 경우 대체 방화벽 구성을 할당하는 기능을 제공합니다. /etc/sysconfig/iptables 의 방화벽 규칙을 적용하는 데 실패하면 대체 파일이 적용됩니다. 대체 파일의 이름은 /etc/sysconfig/iptables.fallback 으로 지정되며 iptables-save 파일 형식( /etc/sysconfig/iptables과 동일)을 사용합니다. 대체 파일의 애플리케이션도 실패하면 추가 폴백이 없습니다. 대체 파일을 생성하려면 표준 방화벽 구성 툴을 사용하고 파일 이름을 대체 파일로 바꾸거나 복사합니다. ip6tables 서비스에 동일한 프로세스를 사용하고 “iptables” 를 “ip6tables” 로만 바꿉니다.