13장. 보안
TLS 1.2 지원 기본 시스템 구성 요소에 추가
이러한 업데이트를 통해
yum,stunnel,vsftpd,Git 또는 Cryostat와 같은 기본 시스템 도구가 1.2 버전의 TLS 프로토콜을 지원하도록 수정되었습니다. NSS는 기본적으로 TLS 버전 1.2 프로토콜 활성화
최신 모범 사례를 충족하기 위해 NSS에서 TLS(Transport Layer Security) 1.2 프로토콜이 기본적으로 활성화되어 있습니다. 즉, NSS 라이브러리 기본값을 사용하는 애플리케이션에서 더 이상 명시적으로 활성화할 필요가 없습니다.
TLS 연결 측에서 TLS 1.2를 사용하도록 설정하면 이 프로토콜 버전이 자동으로 사용됩니다. (BZ#1272504)
pycurl 에서 TLSv1.1 또는 1.2가 필요한 옵션을 제공합니다.
이번 업데이트를 통해
pycurl 이 TLS 프로토콜의 1.1 또는 1.2 버전을 사용해야 하는 옵션을 지원하도록 개선되어 통신 보안이 향상되었습니다. (BZ#1260406)
PHP cURL 모듈은 TLS 1.1 및 TLS 1.2를 지원합니다.
libres wan 에 더 이상 사용되지 않는 Openswan
wan 에 더 이상 사용되지 않는 Opens
openswan 패키지가 더 이상 사용되지 않으며 libreswan 패키지가
openswan 을 직접 대체합니다. Libreswan 은 Red Hat Enterprise Linux 6를 위한 보다 안정적이고 안전한 VPN 솔루션입니다. Libreswan 은 Red Hat Enterprise Linux 7용 VPN 엔드포인트 솔루션으로 이미 사용 가능합니다. Openswan 은 시스템을 업그레이드하는 동안 libreswan 으로 대체됩니다. openswan 에서 libreswan 으로 마이그레이션하는 방법에 대한 지침은 https://access.redhat.com/articles/2089191 를 참조하십시오.
openswan 패키지는 리포지토리에서 계속 사용할 수 있습니다.
libreswan 대신 openswan 을 설치하려면 yum 의 -x 옵션을 사용하여 libreswan:yum install openswan -x libreswan. (BZ#1266222)
GlusterFS에 대한 SELinux 지원 추가
이번 업데이트를 통해 glusterd(GlusterFS 관리 서비스) 및 glusterfsd(NFS 서버) 프로세스에 대해 SELinux 필수 액세스 제어가 Red Hat Gluster Storage의 일부로 제공됩니다. (BZ#1241112)
shadow-utils 버전 4.1.5.1로 업데이트
사용자 및 그룹 계정을 관리하기 위한 유틸리티를 제공하는 shadow-utils 패키지는 버전 4.1.5.1로 변경되었습니다. 이는 Red Hat Enterprise Linux 7의 shadow-utils 버전과 동일합니다. 사용자 계정 데이터베이스에 대한 system-administrator 작업의 더 나은 레코드를 제공하도록 수정된 감사 개선이 포함되어 있습니다. 이 패키지에 추가된 새로운 주요 기능은 각 툴의
--root 옵션을 사용하여 chroot 환경에서의 작동을 지원합니다. (BZ#1257643)
버전 2.4.5에 대한 감사 기반 감사
Linux 커널의 감사 하위 시스템에서 생성한 감사 레코드를 저장하고 검색하는 데 필요한 사용자 공간 유틸리티를 제공하는
audit 패키지는 버전 2.4.5로 다시 기반되었습니다. 이번 업데이트에서는 이벤트를 더 쉽게 이해할 수 있도록 더 많은 시스템 호출 이름과 인수를 제공하는 향상된 이벤트 해석 기능이 포함되어 있습니다.
이번 업데이트에서는
auditd 가 이벤트를 디스크에 기록하는 방식에서 중요한 동작이 변경되었습니다. auditd.conf 의 플러시 설정에 데이터 또는 동기화 모드를 사용하는 경우 auditd에서 이벤트를 기록하는 기능이 저하되는 것을 확인할 수 있습니다. 플러시 설정을 incremental 로 변경해야 하며 freq 설정은 auditd 가 커널에 모든 레코드를 디스크에 동기화하도록 지시하는 빈도를 제어합니다. 100 의 freq 설정은 새 레코드가 주기적으로 디스크에 플러시되는 동안 좋은 성능을 제공해야 합니다. (BZ#1257650)
LWP에서 호스트 이름 및 인증서 확인을 지원
기본적으로 비활성화된 인증서 및 호스트 이름 확인은 World Wide Web library for Perl(LWP, libwww-perl이라고도 함)에서 구현되었습니다. 이를 통해
LWP::UserAgent Perl 모듈 사용자가 HTTPS 서버의 ID를 확인할 수 있습니다. 확인을 활성화하려면 IO::Socket::SSL Perl 모듈이 설치되어 있고 PERL_LWP_SSL_VERIFY_HOSTNAME 환경 변수가 1 로 설정되어 있는지 또는 ssl_opts 옵션을 올바르게 설정하도록 애플리케이션이 수정되었는지 확인합니다. 자세한 내용은 LWP::UserAgent POD를 참조하십시오. (BZ#745800)
Perl Net:SSLeay 에서 타원 곡선 매개변수 지원
elliptic-curve 매개변수에 대한 지원이 OpenSSL 라이브러리에 대한 바인딩이 포함된 Perl
Net:SSLeay 모듈에 추가되었습니다. 즉 EC_KEY_new_by_curve_name(), EC_KEY_free*(), SSL_CTX_set_tmp_ecdh() 및 OBJ_txt2nid() 하위routines가 업스트림에서 이식되었습니다. 이는 IO::Socket::SSL Perl 모듈에서 Elliptic Curve Diffie-Hellman Exchange(ECDHE) 키 교환을 지원하는 데 필요합니다. (BZ#1044401)
Perl IO::Socket::SSL 에서 ECDHE 지원
Elliptic Curve Diffie-Hellman Exchange(ECDHE)에 대한 지원이
IO::Socket::SSL Perl 모듈에 추가되었습니다. 새로운 SSL_ecdh_curve 옵션은 OID(Object Identifier) 또는 이름 식별자(NID)로 적절한 곡선을 지정하는 데 사용할 수 있습니다. 결과적으로 IO::Socket:SSL 을 사용하여 TLS 클라이언트를 구현할 때 기본 elliptic 곡선 매개변수를 재정의할 수 있습니다. (BZ#1078084)
OpenSCAP 버전 1.2.8로 재조정
SCAP 표준 통합 경로를 제공하는 라이브러리 세트인 OpenSCAP은 최신 업스트림 버전을 기반으로 1.2.8로 변경되었습니다. 주요 개선 사항에는 OVAL-5.11 및 OVAL-5.11.1 언어 버전 지원, 자세한 정보 표시 모드 도입, 검사 실행 세부 정보, oscap-ssh 및 oscap-vm 등 SSH를 통한 스캔 및 비활성 가상 시스템 스캔, bz2 아카이브 기본 지원, HTML 보고서 및 가이드에 대한 최신 인터페이스 등이 있습니다. (BZ#1259037)
버전 1.1.1에 기반 SCAP -workbench 업데이트
scap-workbench 패키지는 새 SCAP 보안 가이드 통합 대화 상자를 제공하는 버전 1.1.1로 변경되었습니다. 관리자가 콘텐츠 파일을 선택하는 대신 검사해야 하는 제품을 선택하는 데 도움이 될 수 있습니다. 새 버전에서는 맞춤 창에서 향상된 규칙과 GUI를 사용하여 SCAP 콘텐츠에서 원격 리소스를 가져올 수 있는 가능성을 포함하여 여러 성능 및 사용자 경험 개선 사항도 제공합니다. (BZ#1269551)
scap-security-guide 리버전 0.1.28
scap-security-guide 패키지는 여러 중요한 수정 사항 및 개선 사항을 제공하는 최신 업스트림 버전 (0.1.28)을 기반으로 변경되었습니다. 여기에는 Red Hat Enterprise Linux 6 및 7 모두에 대해 몇 가지 개선되거나 완전히 새로운 프로필이 모두 포함된 많은 규칙에 대해 자동화된 검사 및 수정 스크립트, 릴리스 간에 일관된 OVAL ID 또는 각 프로필과 함께 HTML 형식의 가이드가 포함됩니다. (BZ#1267509)
luci에서 SSLv3 및 RC4 지원 비활성화
안전하지 않은 SSLv3 프로토콜 및 RC4 알고리즘의 사용은 웹 기반 고가용성 관리 애플리케이션인
luci 에서 비활성화되어 있습니다. 기본적으로 TLSv1.0 이상 프로토콜 버전만 허용되며 자체 관리 인증서에 사용되는 다이제스트 알고리즘이 SHA256으로 업데이트되었습니다. SSLv3을 다시 활성화할 수 있지만( /etc/sysconfig/luci 구성 파일의 관련 섹션에서 allow_insecure 옵션의 주석을 제거하여) 이 옵션은 예기치 않고 예측할 수 없는 경우에만 사용되며 주의해서 사용해야 합니다.
이번 업데이트에서는 가장 중요한 SSL/TLS 속성(알려진
allow_insecure외에도): 인증서 쌍 및 암호 목록의 경로도 추가되었습니다. 이러한 설정은 전역적으로 사용하거나 보안 채널(HTTPS 웹 UI 액세스 및 ricci 인스턴스와의 연결) 모두에 대해 독립적으로 사용할 수 있습니다. (BZ#1156167)
