32장. 보안
사용자가 찾을 수 없는 경로의 chroot에 의존하는 구성이 올바르게 작동합니다.
Red Hat Enterprise Linux 7.3에서는
OpenSSH 툴의 chroot 프로세스가 SELinux 시스템 정책을 강화할 수 있도록 변경되었으며 chroot 를 실행하기 전에 루트 UID가 삭제되었습니다. 그 결과 사용자-검색 불가능한 경로의 chroot를 사용하는 기존 구성이 작동하지 않았습니다. openssh 패키지의 이번 업데이트로 변경 사항이 취소되었습니다. 또한 관리자가 selinuxuser_use_ssh_chroot 부울을 활성화하는 경우 제한된 사용자가 OpenSSH chroot 를 사용하도록 허용하여 SELinux 시스템 정책에서 문제가 해결되었습니다. 이제 설명된 구성이 Red Hat Enterprise Linux 7.2와 동일한 방식으로 작동합니다. (BZ#1418062)
firewalld 가 모든 ICMP 유형 지원
이전에는 인터넷 제어 메시지 프로토콜(ICMP) 유형 목록이 완료되지 않았습니다. 결과적으로
packet-too-big 와 같은 일부 ICMP 유형을 차단하거나 허용할 수 없었습니다. 이번 업데이트를 통해 추가 ICMP 유형에 대한 지원이 추가되어 firewalld 서비스 데몬에서 모든 ICMP 유형을 처리할 수 있습니다. (BZ#1401978)
docker.pp 가 container.pp 로 교체 selinux-policy
이번 업데이트 이전에는 container-selinux 패키지의
container.te 파일에 해당하는 컨테이너 인터페이스 및 docker.if 파일을 가리키는 Docker 인터페이스가 포함되어 있었습니다. 그 결과 container.te 파일을 컴파일할 때 컴파일러가 중복 인터페이스에 대해 경고했습니다. 이번 업데이트를 통해 selinux-policy 패키지의 docker.pp 파일이 container.pp 파일로 교체되었으며 설명된 시나리오에서는 경고가 더 이상 발생하지 않습니다. (BZ#1386916)
최근 추가된 커널 클래스 및 권한 selinux-policy
이전에는 커널에 여러 개의 새로운 클래스와 권한이 추가되었습니다. 결과적으로 시스템 정책에 정의되지 않은 이러한 클래스와 권한으로 인해 SELinux 거부 또는 경고가 발생했습니다. 이번 업데이트를 통해 최근 추가된 모든 커널 클래스와 사용 권한이 selinux-policy 패키지에 정의되었으며 거부 및 경고가 더 이상 발생하지 않습니다. (BZ#1368057)
nss 이제 PKCS#12 파일을 올바르게 처리
이전에는 pk12util 도구를 사용하여 PKCS#5 v2.0 형식을 사용하는 강력한 암호가 있는 PKCS#12 파일의 인증서를 나열할 때 출력이 없었습니다. 또한 pk12util 을 사용하여 SHA-2 Message Authentication Code(MAC)가 있는 PKCS#12 파일의 인증서를 나열하는 경우 MAC 오류가 보고되었지만 인증서가 출력되지 않았습니다. 이번 업데이트를 통해 PKCS#12 파일의 가져오기 및 내보내기가
OpenSSL 처리와 호환되도록 변경되고 PKCS#12 파일은 이제 설명된 시나리오에서 올바르게 처리됩니다. (BZ#1220573)
OpenSCAP 에서 유용한 메시지 및 경고만 생성합니다.
이전 버전에서는 기본 검사 출력 설정이 변경되었으며 디버그 메시지도 표준 출력에 출력되었습니다. 그 결과
OpenSCAP 출력은 오류와 경고로 가득 차 있었습니다. 출력은 읽기 어려웠고 SCAP Workbench 도 이러한 메시지를 처리할 수 없었습니다. 이번 업데이트를 통해 기본 출력 설정 변경이 취소되었으며 이제 OpenSCAP 에서 유용한 출력을 생성합니다. (BZ#1447341)
AIDE 에서 syslog 형식으로 기록
이번 업데이트를 통해 syslog_format 옵션을 사용하는
AIDE 탐지 시스템이 rsyslog-compatible 형식으로 기록됩니다. 다중 줄 로그는 원격 rsyslog 서버에서 구문 분석하는 동안 문제를 발생시킵니다. 새로운 syslog_format 옵션을 사용하여 AIDE 는 이제 단일 줄로 기록된 모든 변경 사항을 로깅할 수 있습니다. (BZ#1377215)
OpenSCAP 보안 강화 프로필을 사용하여 설치를 진행
이번 업데이트 이전에는 scap-security-guide 패키지의 오타로 인해
Anaconda 설치 프로그램이 머신을 종료하고 다시 시작되었습니다. 결과적으로 Red Hat Enterprise Linux 7.4 설치 과정에서 Criminal Justice Information Services (CJIS)와 같은 보안 강화 프로파일을 선택할 수 없었습니다. 오타가 수정되었으며 OpenSCAP security-hardening 프로필을 사용하여 설치합니다. (BZ#1450731)
OpenSCAP 및 SSG가 RHV-H 시스템을 올바르게 스캔할 수 있습니다.
이전에는 OpenSCAP 및 SCAP 보안 가이드(SSG) 툴을 사용하여 RHV-H(Red Hat Virtualization Host)로 작동하는 Red Hat Enterprise Linux 시스템을 스캔하여 적용할 수
없는 결과를 반환했습니다. 이번 업데이트를 통해 OpenSCAP과 SSG는 RHV-H를 Red Hat Enterprise Linux로 올바르게 식별하여 OpenSCAP 및 SSG가 RHV-H 시스템을 제대로 스캔할 수 있도록 합니다. (BZ#1420038)
OpenSCAP 에서 CVE OVAL 피드에서 압축되지 않은 XML 파일도 처리
이전에는
OpenSCAP 도구가 피드에서 압축된 CVE OVAL 파일만 처리할 수 있었습니다. 결과적으로 Red Hat에서 제공하는 CVE OVAL 피드를 취약점 스캔의 기반으로 사용할 수 없습니다. 이번 업데이트를 통해 OpenSCAP 은 ZIP 및 BZIP2 파일뿐만 아니라 CVE OVAL 피드에서 압축되지 않은 XML 파일도 지원하며 CVE OVAL 기반 스캔은 추가 단계 없이 제대로 작동합니다. (BZ#1440192)
