15장. 보안
SELinux 사용자 공간 패키지 버전 2.5에 기반
SELinux 사용자 공간 패키지가 업스트림 버전 2.5로 업그레이드되어 이전 버전에 비해 여러 개선 사항, 버그 수정 및 성능 개선이 제공됩니다. SELinux 사용자 공간 2.5의 가장 중요한 새로운 기능은 다음과 같습니다.
- 새로운 SELinux 모듈 저장소는 우선 순위를 지원합니다. 우선순위 개념은 더 높은 우선 순위의 모듈을 사용하여 시스템 모듈을 재정의할 수 있는 기능을 제공합니다.
- SELinux CIL(Common Intermediate Language)은 고급 컴파일러, 분석 도구 및 정책 생성 툴을 통해 읽기, 구문 분석 및 생성할 수 있는 명확하고 간단한 구문을 제공합니다.
- 정책 설치 또는 새 정책 모듈 로드와 같은 시간이 오래 걸리는 SELinux 작업이 이제 상당히 빨라졌습니다.
참고: SELinux 모듈의 기본 위치는 Red Hat Enterprise Linux 7의
/etc/selinux/
디렉터리에 남아 있는 반면 업스트림 버전은 /var/lib/selinux/
를 사용합니다. 마이그레이션에 대해 이 위치를 변경하려면 store-root= 옵션을 /etc/selinux/semanage.conf
파일에 설정합니다. (BZ#1297815)
scap-workbench 버전 1.1.2로 변경
scap-workbench 패키지는 새로운 SCAP 보안 가이드 통합 대화 상자를 제공하는 버전 1.1.2로 변경되었습니다. 대화 상자는 관리자가 콘텐츠 파일을 선택하는 대신 스캔해야 하는 제품을 선택하는 데 도움이 됩니다. 또한 새 버전은 맞춤 창에서 규칙 검색 향상, GUI를 사용하여 SCAP 콘텐츠에서 원격 리소스를 가져올 수 있는 가능성, 시험 실행 기능을 포함하여 다양한 성능 및 사용자 경험 개선을 제공합니다. 시험 실행 기능을 사용하면 검사를 실행하는 대신 oscap 명령줄 인수를 진단 창에 가져올 수 있습니다. (BZ#1202854)
openscap 버전 1.2.10으로 다시 시작
SCAP(Security Content Automation Protocol) 표준을 통합할 수 있는 OpenSCAP 제품군이 최신 업스트림 버전 1.2.10으로 변경되었습니다. openscap 패키지는 OpenSCAP 라이브러리 및
oscap
유틸리티를 제공합니다. 특히 이번 업데이트에서는 atomic scan 명령을 사용하여 컨테이너 스캔 지원이 추가되었습니다. 또한 이 업데이트는 다음과 같은 향상된 기능을 제공합니다.
oscap-vm
, 가상 머신의 오프라인 검사를 위한 툴oscap-chroot
, 임의의 경로에 마운트된 파일 시스템의 오프라인 검사를 위한 툴- OVAL(Open Vulnerability and Assessment Language) 5.11.1 지원
- 원격 .xml.bz2 파일에 대한 네이티브 지원
- 다양한 기준에 따라 HTML 보고서 결과 그룹화
- HTML 보고서 개선 사항
- OVAL 평가를 디버깅하기 위한 상세 모드 (BZ#1278147)
firewalld 버전 0.4.3.2로 변경
firewalld 패키지가 업스트림 버전 0.4.3.2로 업그레이드되어 이전 버전에 비해 여러 가지 개선 사항 및 버그 수정을 제공합니다. 주요 변경 사항은 다음과 같습니다.
- 성능 향상:
firewalld
가 시작되어 동시에 적용되는 규칙을 그룹화하는 새로운 트랜잭션 모델 때문에 훨씬 더 빠르게 다시 시작됩니다. 이 모델에서는iptables
복원 명령을 사용합니다. 또한 성능을 염두에 두고firewall-cmd
,firewall-offline-cmd
,firewall-config
및firewall-applet
도구도 향상되었습니다. - 연결, 인터페이스 및 소스의 향상된 관리 기능: 사용자가
NetworkManager
의 연결에 대한 영역 설정을 제어할 수 있습니다. 또한 인터페이스에 대한 영역 설정은firewalld
및ifcfg
파일에서도 제어됩니다. - 기본 로깅 옵션: 새
LogDenied
설정을 사용하면 사용자가 쉽게 디버그하고 거부된 패킷을 기록할 수 있습니다. ipset
지원:firewalld
는 이제 리치 및 직접 규칙 내에서 영역 소스로 여러 IP 세트를 지원합니다. Red Hat Enterprise Linux 7.3에서firewalld
는 다음ipset
유형만 지원합니다.- hash:net
- hash:ip (BZ# 10.0.0.12802)
audit 버전 2.6.5로 업데이트
audit 패키지에는 Linux 커널의 감사 하위 시스템에서 생성된 감사 레코드를 저장하고 검색하는 데 필요한 사용자 공간 유틸리티가 포함되어 있습니다. audit 패키지가 업스트림 버전 2.6.5로 업그레이드되어 이전 버전에 비해 여러 가지 개선 사항 및 버그 수정을 제공합니다. 주요 변경 사항은 다음과 같습니다.
- 이제
감사
데몬에incremental_async
라는 새로운 플러시 기술이 포함되어 성능을 약 90번 향상시킵니다. - 이제
감사 시스템에
정책으로 구성할 수 있는 규칙이 더 많습니다. 이러한 새로운 규칙 중 일부는 STIG(Security Technical Implementation Guide), PCI 데이터 보안 표준(Security Technical Implementation Guide), PCI 데이터 보안 표준 및 32비트 syscall 발생, 상당한 전력 사용량 또는 모듈 로드와 같은 기타 기능을 지원합니다.감사
auditd.conf
구성 파일 및 auditctl 명령에서 많은 새로운 옵션을 지원합니다.- 이제
감사
시스템에서 UID, GID, syscall,
아키텍처 및 네트워크 주소를 확인하는 보강된 새 로그 형식을 지원합니다. 이렇게 하면 로그가 생성된 위치와 다른 시스템의 로그 분석에 도움이 됩니다. (BZ#1296204)
MACsec(IEEE 802.1AE)이 지원
이번 업데이트를 통해 이더넷을 통한 MACS(Media Access Control Security) 암호화가 지원됩니다. MACsec은 10.0.0.1-AES-128 알고리즘을 사용하여 LAN의 모든 트래픽을 암호화하고 인증합니다. (BZ#1104151)
rsyslog RELP 모듈이 특정 규칙 세트에 바인딩
이번 업데이트를 통해 rsyslog RELP(Reliable Event-Logging Protocol) 모듈은 각 입력 인스턴스에 특정 규칙 세트에 바인딩할 수 있습니다.
input()
인스턴스 규칙 세트는 module()
규칙 세트보다 우선 순위가 높습니다. (BZ#1223566)
rsyslog imfile 모듈에서 와일드카드 파일 이름 지원
rsyslog 패키지는 향상된 다중 스레드 syslog 데몬을 제공합니다. 이번 업데이트를 통해 rsyslog imfile 모듈은 파일 이름 내에서 와일드카드 사용을 지원하고 실제 파일 이름을 메시지의 메타데이터에 추가할 수 있습니다. 이 기능은 rsyslog 에서 디렉터리에서 로그를 읽고 파일 이름을 미리 모르는 경우 유용합니다. (BZ#1303617)
audit.log
의 syscall이 텍스트로 변환됩니다.
이번 업데이트를 통해
auditd
는 audispd
이벤트 멀티플렉터를 통해 시스템 호출 번호를 syslog 데몬으로 전달하기 전에 해당 이름으로 변환합니다. (BZ#1127343)
audit 하위 시스템에서 프로세스 이름으로 필터링할 수 있음
사용자는 많은 새 감사 규칙을 표현할 수 있는 실행 이름( -F exe=<path-to-executable > 옵션 사용)으로 감사할 수 있습니다. 이 기능을 사용하여 네트워크 연결을 여는 bash 쉘과 같은 이벤트를 감지할 수 있습니다. (BZ#1135562)
mod_security_crs 버전 2.2.9로 업데이트
mod_security_crs 패키지가 업스트림 버전 2.2.9로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.
- PHP 악용을 탐지하는 새로운 PHP 규칙(958977)입니다.
JS는 성공적인 XSS 프로브를 식별하기 위해 파일을 덮어씁니다
.- 새로운 XSS 탐지 규칙
- 고정된 session-hijacking 규칙 (BZ#1150614)
opencryptoki 버전 3.5로 다시 기반
opencryptoki 패키지가 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공하는 버전 3.5로 업그레이드되었습니다.
주요 변경 사항은 다음과 같습니다.
openCryptoki
서비스는 없는 경우잠금/
및log/
디렉터리를 자동으로 생성합니다.PKCS#11
API는 모든 토큰에서 SHA 해시가 있는 hash 기반 HMAC(HMAC)를 지원합니다.openCryptoki
라이브러리는OPENCRYPTOKI_TRACE_LEVEL
환경 변수로 설정된 동적 추적을 제공합니다. (BZ#1185421)
gnutls 중앙 인증서 저장소 사용
gnutls 패키지는 SSL, TLS, DTLS와 같은 암호화 알고리즘 및 프로토콜을 구현하는 GNU 전송 계층 보안(GnuTLS) 라이브러리를 제공합니다. 이번 업데이트를 통해 GnuTLS는 p11-kit 패키지를 통해 Red Hat Enterprise Linux의 중앙 인증서 저장소를 사용합니다. 이제 CA(인증 기관) 업데이트와 인증서 블랙리스트가 런타임에 애플리케이션에 표시됩니다. (BZ#1110750)
firewall-cmd 명령은 추가 세부 정보를 제공할 수 있습니다.
이번 업데이트를 통해 firewalld 는 서비스, 영역,
ICMP
유형에 대한 세부 정보를 표시합니다. 또한 사용자가 소스 XML 파일의 전체 경로를 나열할 수 있습니다. firewall-cmd 의 새로운 옵션은 다음과 같습니다.
- [--permanent] --info-zone=zone
- [--permanent] --info-service=service
- [--permanent] --info-icmptype=icmptype (BZ#1147500)
ReadWriteMany_faillock
은 이제 unlock_time=never
로 구성할 수 있습니다.
libica 버전 2.6.2로 변경
libica 패키지가 업스트림 버전 2.6.2로 업데이트되어 이전 버전에 비해 여러 가지 버그 수정 및 개선 사항을 제공합니다. 특히 이번 업데이트에서는 업데이트된 보안 사양 NIST SP 800-90A에 따라 DRBG(Deterministic Random Bit Generator)에 대한 향상된 지원을 포함하여 의사 난수 생성 지원이 추가되었습니다. (BZ#1274390)
새로운 lastlog
옵션
이제
lastlog
유틸리티에 새로운 --clear 및 --set 옵션이 있어 시스템 관리자가 never logged in
value 또는 현재 시간으로 사용자의 lastlog 항목을 재설정할 수 있습니다. 즉, 비활성 상태로 인해 잠겼던 사용자 계정을 다시 활성화할 수 있습니다. (BZ#1114081)
libreswan 3.15 버전으로 업데이트
Libreswan
은 Linux용 IPsec(Internet Protocol Security) 및IKE(Internet Key Exchange) 구현입니다. libreswan 패키지가 업스트림 버전 3.15로 업그레이드되어 이전 버전에 비해 여러 가지 개선 사항 및 버그 수정을 제공합니다. 주요 변경 사항은 다음과 같습니다.
- SHA2 알고리즘을 사용할 때 RFC 요구 사항을 충족하도록 nonce 크기가 증가합니다.
Libreswan
은 이제 연결 오류 발생 시NetworkManager
도우미를 호출합니다.- 인증서의 모든
CRLdistributionpoint
가 이제 처리됩니다. Libreswan
은 더 이상 존재하지 않는 IPsec Security associations (SAs)를 삭제하려고 시도하지 않습니다.pluto
IKE 데몬에는 이제CAP_DAC_READ_S lookCH 기능이
있습니다.- 온
디맨드 터널이 사용될 때 Pluto
는 더 이상 충돌하지 않습니다. 이제 gRPC_acct_mgmt
가 올바르게 설정되어 있습니다.- 회귀 문제가 해결되어 keyingtries=0 이 있는 터널은 터널을 무기한 설정하려고 합니다.
- 유지되도록 구성된 삭제된 터널을 다시 설정하기 전에 지연이 1초 미만입니다. (BZ#1389316)
nettle 의 SHA-3 구현이 FIPS 202를 준수합니다.
nettle 거의 모든 컨텍스트에서 쉽게 적용할 수 있도록 설계된 암호화 라이브러리입니다. 이번 업데이트를 통해 FIPS (Federal Information Processing Standard) 202 초안을 준수하도록 Secure Hash Algorithm 3 (SHA-3) 구현이 업데이트되었습니다. (BZ#1252936)
scap-security-guide 버전 0.1.30으로 다시 기반
scap-security-guide 프로젝트는 최종 시스템의 보안 관점에서 시스템 구성에 대한 가이드를 제공합니다. 패키지가 0.1.30 버전으로 업그레이드되었습니다. 주요 개선사항은 다음과 같습니다.
- CNSS(National Security Systems) 지침 No. 1253 프로파일이 Red Hat Enterprise Linux 7에 대해 포함 및 업데이트되었습니다.
- U.S. CIS(Center for Internet Security) 벤치마크에서 얻은 C2S(Associal Cloud Services) 프로파일이 제공됩니다.
- 이제
해결
스크립트가 벤치마크에 직접 포함되어 외부 쉘 라이브러리가 더 이상 필요하지 않습니다. - Red Hat Enterprise Linux 7에 대한DISA(Security Technical Implementation Guide) 프로파일이 Red Hat Enterprise Linux 6의 DISA STIG 프로필과 동일하게 업데이트되었습니다.
- 이제 Red Hat Enterprise Linux 7에서 Criminal Information Services (CJIS) 보안 정책 프로파일 작성을 사용할 수 있습니다. (BZ#1390661)