15장. 보안
새로운 패키지: tang, clevis, jose, luksmeta
네트워크 Bound 디스크 암호화(NBDE)를 사용하면 시스템을 재부팅할 때 암호를 수동으로 입력하지 않고도 물리적 및 가상 머신에서 하드 드라이브의 루트 볼륨을 암호화할 수 있습니다.
- Tang은 데이터를 네트워크 존재에 바인딩하는 서버입니다. 여기에는 원격 서비스에 바인딩하기 위한 암호화 작업을 제공하는 데몬이 포함됩니다. tang 패키지는 RuntimeClass 프로젝트의 서버 측면을 제공합니다.
- Clevis는 자동화된 암호 해독을 위한 플러그인 프레임워크입니다. 데이터의 자동 암호 해독 또는 LUKS 볼륨의 자동 잠금 해제를 제공하는 데 사용할 수 있습니다. clevis 패키지는 RuntimeClass 프로젝트의 클라이언트 측면을 제공합니다.
- José는 JavaScript 오브젝트 서명 및 암호화 표준의 C- language 구현입니다. jose 패키지는 clevis 및 tang 패키지에 종속되어 있습니다.
- LUKSMeta는 LUKSv1 헤더에 메타데이터를 저장하기 위한 간단한 라이브러리입니다. luksmeta 패키지는 clevis 및 tang 패키지에 종속되어 있습니다.
tang-nagios 및 clevis-udisk2 하위 패키지는 기술 프리뷰로만 사용할 수 있습니다. (BZ#1300697, BZ#1300696, BZ#1399228, BZ#1399229)
새 패키지: usbguard
USBGuard 소프트웨어 프레임워크는 장치 속성을 기반으로 기본 화이트리스트 및 블랙리스트 기능을 구현하여 침입형 USB 장치에 대한 시스템 보호 기능을 제공합니다. 사용자 정의 정책을 적용하기 위해 USBGuard 는 Linux 커널 USB 장치 권한 부여 기능을 사용합니다. USBGuard 프레임워크는 다음 구성 요소를 제공합니다.
- 동적 상호 작용 및 정책 적용을 위한 프로세스 간 통신(IPC) 인터페이스가 있는 데몬 구성 요소
- 실행 중인 USBGuard 인스턴스와 상호 작용하는 명령줄 인터페이스
- USB 장치 권한 부여 정책을 작성하는 규칙 언어
- 공유 라이브러리에서 구현된 데몬 구성 요소와 상호 작용 위한 C++ API(BZ#1395615)
openssh 버전 7.4로 다시 기반
openssh 패키지가 업스트림 버전 7.4로 업데이트되어 다음과 같은 여러 개선 사항, 새로운 기능 및 버그 수정이 제공됩니다.
SFTP에서 중단된 업로드의 재개에 대한 지원이 추가되었습니다.- 인증 실패 메시지의 확장 로그 형식을 추가했습니다.
- SHA-256 알고리즘을 사용하는 새 지문 유형을 추가했습니다.
- 외부 PIN 항목 장치가 있는 PKCS#11 장치 사용에 대한 지원이 추가되었습니다.
OpenSSH서버에서 SSH-1 프로토콜에 대한 지원 삭제- 레거시
v00 인증서형식에 대한 지원 삭제 ssh유틸리티에 대한 PubkeyAcceptedKeyTypes 및 HostKeyAlgorithms 구성 옵션을 추가하여 키 유형을 선택적으로 비활성화할 수 있도록 sshd 데몬을 추가했습니다.OpenSSH클라이언트에 AddKeysToAgent 옵션을 추가했습니다.- ProxyJump ssh 옵션과 해당 -J 명령줄 플래그를 추가했습니다.
- Diffie-Hellman 2K, 4K 및 8K 그룹에 대한 키 교환 방법에 대한 지원이 추가되었습니다.
ssh_config파일에 대해 Include 지시어를 추가했습니다.- UseLogin 옵션에 대한 지원 삭제
- 서버에서 사전 인증 압축 지원이 제거되었습니다.
- 이제 seccomp 필터가 사전 인증 프로세스에 사용됩니다. (BZ#1341754)
audit 버전 2.7.6으로 다시 시작
audit 패키지가 업스트림 버전 2.7.6으로 업데이트되어 다음과 같은 향상된 기능, 새로운 기능 및 버그 수정이 제공됩니다.
- 이제
auditd서비스가 시작될 때 로깅 디렉터리 권한을 자동으로 조정합니다. 이렇게 하면 패키지 업그레이드를 수행한 후 디렉터리 권한을 올바르게 유지할 수 있습니다. ausearch유틸리티에는 새로운 --format 출력 옵션이 있습니다. --format 텍스트 옵션은 발생하는 상황을 설명하는 영어 문장으로 이벤트를 제공합니다. --format csv 옵션은 CSV(Comma Separated Value) 형식의 출력되는 일부 메타데이터 필드 외에도 오브젝트, 개체, 작업, 결과 등에 로그를 정규화합니다. 이는 이벤트 정보를 데이터베이스, 스프레드트 또는 기타 분석 프로그램으로 푸시하여 감사 이벤트를 보고, 차트 또는 분석하는 데 적합합니다.auditctl유틸리티는 --reset-lost 명령줄 옵션을 통해 커널에서 손실된 이벤트 카운터를 재설정할 수 있습니다. 이렇게 하면 0일로 값을 재설정할 수 있으므로 손실된 이벤트를 더 쉽게 확인할 수 있습니다.ausearch및aureport에는 이제 시스템이 부팅 된 이후 이벤트를 찾을 수 있는 --start 명령줄 옵션에 대한 부팅 옵션이 있습니다.ausearch및aureport는 새 --escape 명령줄 옵션을 제공하여 감사 필드를 위해 어떤 종류의 이스케이프가 수행되는지 더 잘 제어할 수 있습니다. 현재raw,tty,shell,shell_quote이스케이프를 지원합니다.auditctl에서는 더 이상 entry 필터를 사용하여 규칙을 허용하지 않습니다. Red Hat Enterprise Linux 5 이후에는 이 필터가 지원되지 않았습니다. 이번 릴리스 이전에는 Red Hat Enterprise Linux 6 및 7에서auditctl에서 모든 항목 규칙을 종료 필터로 이동하여 항목 필터가 더 이상 사용되지 않음을 경고했습니다. (BZ#1381601)
opensc 버전 0.16.0으로 다시 기반
라이브러리 및 유틸리티의
OpenSC 세트는 스마트 카드 작업에 대한 지원을 제공합니다. OpenSC 는 암호화 작업을 지원하는 카드에 중점을 두고 인증, 메일 암호화 또는 디지털 서명에 사용할 수 있습니다.
Red Hat Enterprise Linux 7.4의 주요 개선 사항은 다음과 같습니다.
OpenSC는CAC(Common Access Card) 카드에 대한 지원을 추가합니다.OpenSC는PKCS#11API를 구현하며 이제CoolKeyrevision 기능을 제공합니다. opensc 패키지는 coolkey 패키지를 대체합니다.
coolkey 패키지는 Red Hat Enterprise Linux 7의 라이프 사이클 기간 동안 계속 지원되지만 opensc 패키지를 통해 새로운 하드웨어 사용은 제공됩니다. (BZ#1081088, BZ#1373164)
openssl 버전 1.0.2k로 다시 시작
openssl 패키지가 업스트림 버전 1.0.2k로 업데이트되어 다음과 같은 여러 개선 사항, 새로운 기능 및 버그 수정이 제공됩니다.
- DTLS(Datagram Transport Layer Security TLS) 프로토콜 버전 1.2에 대한 지원이 추가되었습니다.
- TLS의 ECDHE 키 교환에 대한 자동 elliptic 곡선 선택 지원이 추가되었습니다.
- Application-Layer Protocol Negotiation (ALPN)에 대한 지원이 추가되었습니다.
- RSA-PSS, RSA-OAEP, ECDH 및 X9.42 DH 체계에 대한 CMS (Cryptographic Message Syntax) 지원이 추가되었습니다.
이 버전은 이전 Red Hat Enterprise Linux 7 릴리스의
OpenSSL 라이브러리 버전에서 API 및 ABI와 호환됩니다. (BZ#1276310)
openssl-ibmca 버전 1.3.0으로 다시 기반
openssl-ibmca 패키지가 업스트림 버전 1.3.0으로 업데이트되어 이전 버전에 비해 여러 버그 수정 및 개선 사항이 추가되었습니다. 주요 변경 사항은 다음과 같습니다.
- SHA-512에 대한 지원이 추가되었습니다.
- 암호화 방법은
ibmca엔진이 시작될 때 동적으로 로드됩니다. 이를 통해libica라이브러리를 통해 하드웨어에서 지원되는 경우ibmca가 직접 암호화 방법을 사용할 수 있습니다. - 스트림 암호화 모드를 사용한 블록 크기 처리 버그가 수정되었습니다. (BZ#1274385)
OpenSCAP 1.2는 NIST 인증입니다.
OpenSCAP 1.2SCAP(Security Content Automation Protocol) 스캐너는 미국 정부에서 Red Hat Enterprise Linux 6 및 7의 평가 구성 및 취약점 스캐너로 NIST(표준 및 기술) 인증을 받았습니다. OpenSCAP 은 보안 자동화 콘텐츠를 올바르게 분석하고 평가하며 NIST가 민감한 보안 불일치 환경에서 실행하기 위해 필요한 기능 및 문서를 제공합니다. 또한 OpenSCAP 은 Linux 컨테이너를 평가하는 첫 번째 NIST 인증 구성 스캐너입니다. 사용 사례에 따라 PCI 및 DoD 보안 기술 구현 가이드(STIG) 규정 준수를 위한 Red Hat Enterprise Linux 7 호스트 구성과 CVE(Common Vulnerabilities and Exposures) 데이터를 사용하여 알려진 취약점 검사를 수행하는 것이 포함됩니다. (BZ#1363826)
libreswan 버전 3.20으로 다시 시작
libreswan 패키지는 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공하는 업스트림 버전 3.20으로 업그레이드되었습니다. 주요 개선 사항은 다음과 같습니다.
- 모든 호스트에서 간단한 구성을 사용하여 많은 수의 호스트를 포함하는 IPsec 배포를 활성화하는 Opportunistic IPsec (Mesh Encryption)에 대한 지원이 추가되었습니다.
- FIPS는 더 강화되었습니다.
- Virtualtunnel Interface (VTI)를 사용하여 라우팅 기반 VPN 지원이 추가되었습니다.
- 루트가 아닌 구성에 대한 지원이 개선되었습니다.
- OCSP(Online Certificate Status Protocol) 및 CRL(Certificate Revocation Lists) 지원이 개선되었습니다.
- 새로운 whack 명령 옵션 추가: --fipsstatus,--fetchcrls,--globalstatus, --shuntstatus.
- NAT Opportunistic Encryption (OE) Client Address Translation: leftcat=yes 에 대한 지원이 추가되었습니다.
- 트래픽 흐름 기밀 메커니즘에 대한 지원이 추가되었습니다. tfc=.
- RFC 4307bis 및 RFC 7321bis에 따라 암호 기본 설정이 업데이트되었습니다.
- Extended sequence Numbers (ESN): esn=yes 에 대한 지원이 추가되었습니다.
- 재생 창 비활성화 및 증가에 대한 지원 추가: replay-window=. (BZ#1399883)
감사 이제 세션 ID 기반 필터링 지원
이번 업데이트를 통해 Linux 감사 시스템에서는 sessionid 값을 기반으로 감사 메시지를 필터링하는 사용자 규칙을 지원합니다. (BZ#1382504)
libseccomp 에서 IBM Power 아키텍처 지원
이번 업데이트를 통해
libseccomp 라이브러리는 IBM Power, 64비트 IBM Power 및 64비트 little-endian IBM Power 아키텍처를 지원하여 GNOME 리베이스를 활성화합니다. (BZ#1425007)
AUDIT_KERN_MODULE 은 모듈 로드를 기록합니다.
AUDIT_KERN_MODULE 보조 레코드가 init_module(), finit_module() 및 delete_module() 함수의 AUDIT_SYSCALL 레코드에 추가되었습니다. 이 정보는 audit_context 구조에 저장됩니다. (BZ#1382500)
OpenSSH 는 이제 공개 키 서명에 SHA-2를 사용합니다.
이전에는
OpenSSH 에서 RSA 및 DSA 키를 사용하는 공개 키 서명에 SHA-1 해시 알고리즘을 사용했습니다. SHA-1은 더 이상 안전한 것으로 간주되지 않으며 새로운 SSH 프로토콜 확장에서는 SHA-2를 사용할 수 있습니다. 이번 업데이트를 통해 SHA-2는 공개 키 서명의 기본 알고리즘입니다. SHA-1은 이전 버전과의 호환성 목적으로만 사용할 수 있습니다. (BZ#1322911)
firewalld 에서 추가 IP 세트 지원
이
firewalld 서비스 데몬 업데이트를 통해 다음 ipset 유형에 대한 지원이 추가되었습니다.
- hash:ip,port
- hash:ip,port,ip
- hash:ip,port,net
- hash:ip,mark
- hash:net,net
- hash:net,port
- hash:net,port,net
- hash:net,iface
동시에 소스 및 대상의 조합을 제공하는 다음
ipset 유형은 firewalld 의 소스로 지원되지 않습니다. 이러한 유형을 사용하는 IP 세트는 firewalld 에서 생성되지만 사용량은 직접 규칙으로 제한됩니다.
- hash:ip,port,ip
- hash:ip,port,net
- hash:net,net
- hash:net,port,net
ipset 패키지가 업스트림 버전 6.29에 다시 시작되었으며 다음
ipset 유형이 추가로 지원됩니다.
- hash:mac
- hash:net,port,net
- hash:net,net
- hash:ip,mark (BZ#1419058)
firewalld 는 이제 풍부한 규칙에서 ICMP 유형에 대한 작업 지원
이번 업데이트를 통해
firewalld 서비스 데몬을 사용하면 허용, 로그 및 표시 작업이 포함된 풍부한 규칙에ICMP(Internet Control Message Protocol) 유형을 사용할 수 있습니다. (BZ#1409544)
firewalld 에서 비활성화된 자동 도우미 할당 지원
이 업데이트의
firewalld 서비스 데몬에서는 비활성화된 자동 도우미 할당 기능을 지원합니다. 자동 도우미 할당을 해제하는 경우에도 추가 규칙을 추가하지 않고 firewalld 도우미를 사용할 수 있습니다. (BZ#1006225)
nss nss-util 은/는 기본적으로 SHA-256을 사용합니다.
이번 업데이트를 통해 디지털 서명을 만들 때 강력한 해시 알고리즘을 사용하도록 NSS 라이브러리의 기본 구성이 변경되었습니다. RSA, EC 및 2048비트(또는 긴) DSA 키를 사용하면 SHA-256 알고리즘이 사용됩니다.
감사 필터 제외 규칙에 추가 필드가 포함됩니다.
exclude 필터가 향상되었으며 이제
msgtype 필드뿐만 아니라 pid,uid,gid,auid,sessionID, SELinux 유형을 포함합니다. (BZ#1382508)
PROCTITLE 에서 감사 이벤트에서 전체 명령을 제공합니다.
이번 업데이트에서는 감사 이벤트에 추가된
PROCTITLE 레코드가 도입되었습니다. PROCTITLE 은 실행 중인 전체 명령을 제공합니다. PROCTITLE 값이 인코딩되므로 감사 이벤트 구문 분석기를 우회할 수 없습니다. PROCTITLE 값은 사용자 공간 날짜에 의해 조작되기 때문에 여전히 신뢰할 수 없습니다. (BZ#1299527)
nss-softokn 버전 3.28.3으로 업데이트
nss-softokn 패키지가 업스트림 버전 3.28.3으로 업그레이드되었으며 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.
- TLS(RFC 7905), 인터넷 키 교환 프로토콜(IKE), IPsec(RFC 7634)에서 사용하는 ChaCha20- Poly1305(RFC 7539) 알고리즘에 대한 지원이 추가되었습니다.
- 키 교환 목적으로 Curve25519/X25519 곡선에 대한 지원이 추가되었습니다.
- Extended Master Secret (RFC 7627) 확장에 대한 지원이 추가되었습니다. (BZ#1369055)
libica 버전 3.0.2로 업데이트
libica 패키지가 업스트림 버전 3.0.2로 업그레이드되었으며 이전 버전에 비해 여러 수정 사항이 제공됩니다. 주요 추가 기능은 다음과 같습니다.
- FIPS (Federal Information Processing Standards) 모드 지원
- Deterministic Random Bit Generator에 대한 지원 강화 및 업데이트된 보안 사양 NIST SP 800-90A를 준수하는 pseudorandom 번호 생성 지원 (BZ#1391558)
opencryptoki 버전 3.6.2로 다시 시작
opencryptoki 패키지가 업스트림 버전 3.6.2로 업그레이드되었으며 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.
OpenSSL1.1 지원 추가- 더 이상 사용되지 않는
OpenSSL인터페이스를 교체했습니다. - 더 이상 사용되지 않는 libica 인터페이스 교체
- IBM CryptoConcurrency (ICA)의 성능 개선
rc=8에 대한 지원이 추가되었습니다.오류 메시지가 추가되었습니다. (BZ#1391559)icsf토큰에 reasoncode=2028
AUDIT_NETFILTER_PKT 이벤트가 정규화되었습니다.
AUDIT_NETFILTER_PKT 감사 이벤트가 간소화되고 메시지 필드가 일관된 방식으로 표시됩니다. (BZ#1382494)
p11tool 은 저장된 ID를 지정하여 오브젝트 작성 지원
이번 업데이트를 통해
p11tool GnuTLS PKCS#11 툴은 저장된 ID를 지정하여 오브젝트를 작성하는 새로운 --id 옵션을 지원합니다. 그러면 p11tool 보다 더 많은 애플리케이션에서 작성한 오브젝트를 처리할 수 있습니다. (BZ#1399232)
새 패키지: nss-pem
이번 업데이트에서는 이전에 nss 패키지의 일부인 nss-pem 패키지가 별도의 패키지로 도입되었습니다. nss-pem 패키지는 PKCS#11 모듈로 구현된 NS(Network Security Services)용 PEM 파일 리더를 제공합니다. (BZ#1316546)
pmrfc3164 는 에서 pmrfc3164sd 를 대체합니다. rsyslog
rsyslog 패키지 업데이트로 BSD
syslog 프로토콜 형식의 로그를 구문 분석하는 데 사용되는 pmrfc3164sd 모듈(RFC 3164)은 공식 pmrfc3164 모듈로 교체되었습니다. 공식 모듈은 pmrfc3164sd 기능을 완전히 다루지 않으므로 rsyslog 에서 계속 사용할 수 있습니다. 그러나 가능한 경우 새로운 pmrfc3164 모듈을 사용하는 것이 좋습니다. pmrfc3164sd 모듈은 더 이상 지원되지 않습니다. (BZ#1431616)
libreswan 이제 right=%opportunisticgroup지원
이번 업데이트에서는 Libreswan 구성의 conn 부분에 있는 올바른 옵션에 대한 %opportunisticgroup 값이 지원됩니다. 이렇게 하면 X.509 인증을 사용하는 opportunistic IPsec이 가능하므로 대규모 환경에서 관리 오버헤드가 크게 줄어듭니다. (BZ#1324458)
ca-certificates Mozilla Firefox 52.2 ESR 요구 사항 충족
최신 Mozilla Firefox ESR(Extended Support Release)과 함께 게시된 대로 NNS(Network Security Services) 코드 및 CA(인증 기관) 목록이 업데이트되었습니다. 업데이트된 CA 목록은 PKI(Internet Public Key Infrastructure)에 사용되는 인증서와의 호환성을 향상시킵니다. 인증서 검증 거부를 방지하기 위해 Red Hat은 2017년 6월 12일에 업데이트된 CA 목록을 설치할 것을 권장합니다. (BZ#1444413)
nss Mozilla Firefox 52.2 ESR 요구 사항 충족
최신 Mozilla Firefox ESR(Extended Support Release)과 함께 게시된 대로 인증 기관(CA) 목록이 업데이트되었습니다. 업데이트된 CA 목록은 PKI(Internet Public Key Infrastructure)에 사용되는 인증서와의 호환성을 향상시킵니다. 인증서 검증 거부를 방지하기 위해 Red Hat은 2017년 6월 12일에 업데이트된 CA 목록을 설치할 것을 권장합니다. (BZ#1444414)
scap-security-guide 버전 0.1.33로 업데이트
scap-security-guide 패키지가 업스트림 버전 0.1.33으로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 특히 이 새 버전에서는 기존 규정 준수 프로필을 개선하고 적용 범위를 확장하여 다음 두 가지 새 구성 기준선을 포함합니다.
- PCI-DSS v3 Control Baseline에 대한 지원 연장
- 미국 정부 공산 클라우드 서비스 (C2S)에 대한 지원 연장
- 공인 클라우드 공급자용 Red Hat Corporate Profile 연장.
- Red Hat Enterprise Linux 7 프로파일에 대한 DISA(Security Technical Implementation Guide)에 대한 지원이 추가되어 Red Hat Enterprise Linux V1R1 프로파일의 DISAReplicas에 대한 지원이 추가되었습니다.
- 비기본 정보 시스템 및 조직 (NIST 800-171) 프로필에서 분류되지 않은 정보에 대한 지원이 추가되었습니다. Red Hat Enterprise Linux 7은 Red Hat Enterprise Linux 7을 CAUI(Controlled Unclassified Information) 보안을 위해 확인된 NIST 특수 발행 800-53 컨트롤로 구성합니다.
- 미국 정부 구성 기준선(USGCB/STIG) 프로필에 대한 지원이 추가되어 미국 S와의 파트너십을 통해 개발되었습니다. 국가 표준 및 기술 (NIST), U. S. 국방부, 국가안보국, Red Hat.
USGCB/STIG 프로필은 다음 문서에서 구성 요구 사항을 구현합니다.
- 국가 보안 시스템 지시 사항 1253 (CNSSI 1253)
- NIST Controlled Unclassified Information (NIST 800-171)
- 중간 영향 시스템 (NIST 800-53)에 대한 NIST 800-53 제어 선택
- U. S. 정부 구성 기준선 (USGCB)
- General Purpose Operating Systems v4.0 (OSPP v4.0)의 NIAP 보호 프로필
- DISA 운영 체제 보안 요구 사항 가이드 (OS SRG)
이전에 여러 개의 프로필이 제거되거나 병합되었습니다. (BZ#1410914)
