11장. 보안
기본 시스템 구성 요소에 TLS 1.2 지원이 추가됨
이번 업데이트에서
Yum
, stunnel
, vsftp
, Git
, Postfix
와 같은 기본 시스템 도구가 TLS 프로토콜의 1.2 버전을 지원하도록 수정되었습니다. 이는 도구가 이전 프로토콜 버전의 보안 공격에 취약하지 않은 지를 확인합니다.
NSS는 기본값으로 TLS 1.2 프로토콜을 사용
최상의 보안 관리를 위해 TLS 1.2 프로토콜이 NSS에서 기본으로 활성화되어 있습니다. 이는 이를 명시적으로 활성화할 필요가 없음을 의미합니다.
pycurl은 TLSv1.1 또는 1.2에 필요한 옵션 제공
이번 업데이트에서
pycurl
은 보안 통신 개선을 위한 TLS 프로토콜의 버전 1.1 또는 1.2 사용에 필요한 옵션을 지원하도록 개선되었습니다.
PHP cURL
모듈은 TLS 1.1 및 TLS 1.2를 지원함
curl
라이브러리에서 사용가능했던 TLS 프로토콜 버전 1.1 및 1.2에 대한 지원이 PHP cURL
확장에 추가되었습니다.
openswan 대신에 libreswan 사용
openswan 패키지가 사용 중지되어 libreswan 패키지가 openswan 대신으로 도입되어 있습니다. libreswan은 Red Hat Enterprise Linux 6에서 보다 안정적이고 안전한 VPN 솔루션으로 사용할 수 있습니다. libreswan은 Red Hat Enterprise Linux 7의 VPN 엔드포인트 솔루션으로 사용할 수 있습니다. openswan은 시스템 업그레이드 동안 libreswan으로 대체됩니다.
openswan 패키지는 리포지터리에서 계속 사용할 수 있습니다. libreswan 대신 openswan을 설치하려면
yum
에서 -x
옵션을 사용하여 openswan을 제외합니다: yum install openswan -x libreswan
SELinux 지원이 GlusterFS에 추가
이번 업데이트에서 SELinux 필수 액세스 제어는 Red Hat Gluster Storage의 일부로 glusterd (GlusterFS Management Service) 및 glusterfsd (NFS server) 프로세스에 대해 제공됩니다.
shadow-utils는 버전 4.1.5.1로 업그레이드됨
사용자 및 그룹 계정을 관리하기 위한 유틸리티를 제공하는 shadow-utils 패키지는 버전 4.1.5.1로 업데이트되었습니다. 이는 Red Hat Enterprise Linux 7에 있는 shadow-utils 버전과 동일합니다. 개선 사항에는 감사 기능이 포함되어 사용자 계정 데이터 베이스에서 더 나은 시스템 관리자 작업 기록을 제공하도록 수정되었습니다. 이러한 패키지에 추가된 새로운 주요 기능은 해당 도구의
--root
옵션을 사용하여 chroot 환경에서 작업을 지원하는 것입니다.
audit은 버전 2.4.5로 업그레이드됨
Linux 커널에서
audit
서브시스템이 생성한 감사 기록을 저장 및 검색하기 위한 사용자 공간 유틸리티를 제공하는 audit 패키지는 버전 2.4.5로 업데이트되었습니다. 이번 업데이트에서는 이벤트를 보다 쉽게 이해할 수 있도록 더 많은 시스템 호출 이름과 인수를 제공하는 이벤트 분석 기능이 개선되었습니다.
이번 업데이트에는
auditd
가 디스크에 이벤트를 기록하는 방식에 있어서 중요 동작이 변경되었습니다. auditd.conf
에 있는 flush
설정에서 data
또는 sync
모드를 사용할 경우 이벤트를 기록하기 위해 auditd
기능에서 성능 저하를 확인할 수 있습니다. 이는 완전 동기화된 기록을 사용해야 한다고 커널에 올바르게 알리지 않았기 때문입니다. 이러한 문제가 수정되어 안정된 동작으로 개선되었지만 성능이 저하되었습니다. 이러한 성능 저하가 허용할 수 없는 수준인 경우 flush
설정을 incremental
로 변경하여 freq
설정이 auditd
을 통해 커널에 디스크의 모든 기록을 동기화하게 하는 빈도수를 제어하게 합니다. freq
설정을 100으로 할 경우 새로운 기록이 주기적으로 디스크에서 플러시되어 안정된 성능을 제공합니다.
LWP의 호스트 이름 및 인증서 확인 지원
기본값으로 비활성화되어 있는 인증서 및 호스트 이름 확인이 Perl 용 World Wide Web 라이브러리 (LWP, 또는 libwww-perl이라고 부름)에서 구현되었습니다. 이를 통해
LWP::UserAgent
Perl 모듈 사용자는 HTTPS 서버 ID를 확인할 수 있습니다. 확인 절차를 활성화하려면 IO::Socket::SSL
Perl 모듈이 설치되어 있고 PERL_LWP_SSL_VERIFY_HOSTNAME
환경 변수가 1
로 설정되어 있거나 애플리케이션이 ssl_opts
옵션을 올바르게 설정하도록 수정합니다. 보다 자세한 내용은 LWP::UserAgent
POD에서 확인하십시오.
Perl Net:SSLeay
는 elliptic-curve 매개 변수 지원
elliptic-curve 매개 변수 지원이 Perl
Net:SSLeay
모듈에 추가되어 OpenSSL 라이브러리에 바인딩이 포함됩니다. 즉 EC_KEY_new_by_curve_name()
, EC_KEY_free*()
, SSL_CTX_set_tmp_ecdh()
, OBJ_txt2nid()
서브루틴이 업스트림에서 포팅되었습니다. 이는 IO::Socket::SSL
Perl 모듈에서 ECDHE (Elliptic Curve Diffie–Hellman Exchange) 키 교환 지원에 필요합니다.
Perl IO::Socket::SSL
은 ECDHE 지원
ECDHE (Elliptic Curve Diffie–Hellman Exchange) 지원이
IO::Socket::SSL
Perl 모듈에 추가되었습니다. 새로운 SSL_ecdh_curve
옵션을 사용하여 OID (Object Identifier) 또는 NID (Name Identifier)에 따라 적절한 커브를 지정할 수 있습니다. 결과적으로 IO::Socket:SSL
을 사용하여 TLS 클라이언트를 구현할 때 기본 elliptic 커브 매개 변수를 덮어쓰기할 수 있습니다.
openscap은 버전 1.2.8로 업그레이드
SCAP 표준 통합 경로를 제공하는 라이브러리 모음인 OpenSCAP이 최신 업스트림 버전인 1.2.8로 업데이트되었습니다. 주요 기능 개선 사항으로 OVAL-5.11 및 OVAL-5.11.1 언어 버전 지원을 포함하여 실행중인 스캔의 상세 정보를 확인할 수 있는 세부 정보 표시 모드, SSH를 통한 스캐닝을 위한 명령
oscap-ssh
및 비활성 가상 시스템 스캐닝을 위한 명령 oscap-vm
의 두 가지 새로운 명령, bz2 아카이브에 대한 기본 지원, HTML 보고 및 가이드 용 최신 인터페이스 등이 포함됩니다.
scap-workbench는 버전 1.1.1로 업그레이드
scap-workbench 패키지는 버전 1.1.1로 업그레이드되어 새로운 SCAP 보안 가이드 통합 대화 상자를 제공합니다. 이를 통해 관리자는 컨텐츠 파일을 선택하지 않고 스캔이 필요한 제품을 선택할 수 있습니다. 새로운 버전은 사용자 정의 창에서 규칙 검사 기능 개선 및 GUI를 사용하여 SCAP 컨텐츠에서 원격 리소스를 가져오는 기능을 포함하여 여러 성능 개선 및 사용자 환경 개선을 제공합니다.
scap-security-guide는 버전 0.1.28로 업그레이드
scap-security-guide 패키지는 최신 업스트림 버전 (0.1.28)로 업그레이드되어 중요한 버그 수정 및 개선 사항을 제공합니다. 이에는 여러 개선 사항 및 Red Hat Enterprise Linux 6 및 7 모두에 대한 완전히 새로운 프로파일이 포함되어 있으며 여러 파일에 대한 자동 검사 및 수정 스크립트, 릴리즈 사이에 일관성이 있는 사용자가 읽을 수 있는 형식의 OVAL ID 또는 프로파일에 수반되는 HTML 형식의 가이드가 추가되어 있습니다.
luci에서 비활성화된 SSLv3 및 RC4 지원
비보안 SSLv3 프로토콜 및 RC4 알고리즘 사용이 웹 기반 고가용성 관리 애플리케이션의
luci
에서 기본값으로 비활성화되어 있었습니다. SSLv3를 다시 활성화할 수 있지만 예측할 수 없는 경우에만 사용 가능하며 세심한 주의를 기울여야 합니다.