16장. 보안
Clevis 에서 TPM 2.0 지원
이번 업데이트를 통해 PBD(Policy-Based Decryption)에 대한
Clevis 플러그인 프레임워크는 신뢰할 수 있는 플랫폼 모듈 2.0(TPM 2.0) 칩을 사용하여 암호화하는 클라이언트도 지원합니다. 자세한 내용과 가능한 구성 속성 목록은 clevis-encrypt-tpm2(1) 매뉴얼 페이지를 참조하십시오.
이 기능은 64비트 Intel 또는 64비트 AMD 아키텍처가 있는 시스템에서만 사용할 수 있습니다. (BZ#1472435)
gnutls 3.3.29로 다시 기반
GNU 전송 계층 보안(GnuTLS) 라이브러리는 업스트림 버전 3.3.29로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.
- HSM(하드웨어 보안 모듈)에 대한 PKCS#11 암호화 토큰 인터페이스가 개선됨:
p11tool에 DSA 지원을 추가하고 특정 Atos HSM에서 고정된 키 가져오기를 추가했습니다. - TLS Cipher Block Chaining (CBC) 레코드 패딩에 대한 카운터 측정이 개선되었습니다. 이전 카운터 측정에는 특정 문제가 있었고 공격자가 CPU 캐시에 액세스하고 선택한 CPA(plaintext Attack)를 수행할 때 불충분했습니다.
- 기존
HMAC-SHA384암호화 제품군을 기본적으로 비활성화합니다. (BZ#1561481)
OpenSSL 을 사용한 AES-GCM 작업이 IBM z14에서 더 빨라졌습니다.
이번 업데이트에서는 IBM z14 시스템에서 사용할 수 있는 새로운 CP Assist for cryptographic Functions (CPACF) 지침을 사용하여 암호화 작업을 추가로 가속화할 수 있도록 지원합니다. 그 결과
OpenSSL 라이브러리를 사용한 AES-GCM 작업이 이제 IBM z14 이상 하드웨어에서 더 빠르게 실행됩니다. (BZ#1519396)
sudo 버전 1.8.23으로 변경
sudo 패키지가 업스트림 버전 1.8.23으로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.
- 새로운
cvtsudoers유틸리티는 sudoers2ldif 스크립트와 visudo -x 기능을 모두 대체합니다. sudoers 또는 LDIF 형식으로 파일을 읽고 JSON, LDIF 또는 sudoers 출력을 생성할 수 있습니다. 생성된 출력 파일을 사용자, 그룹 또는 호스트 이름으로 필터링할 수도 있습니다. - 이제 기본
/etc/sudoers파일에 always_query_group_plugin 옵션이 명시적으로 설정됩니다. 이전 버전에서 업그레이드하고 이전 그룹 쿼리 동작을 유지하려면 업그레이드 후 이 설정이 적용되어야 합니다. - 이제 암호가 필요하지 않은 경우에도 PAM 계정 관리 모듈이 실행됩니다.
- 새로운 case_insensitive_user 및 case_insensitive_group sudoers 옵션을 사용하면
sudoers에서 사용자 및 그룹과 대소문자를 구분하지 않는 일치 여부를 제어할 수 있습니다. 대소문자를 구분하지 않는 일치가 이제 기본값입니다. - 이제
runas사용자를 명령줄에서 빈 문자열로 지정하는 데 오류가 발생했습니다. 이전에는 빈runas사용자가 지정되지 않은runas사용자와 동일하게 취급되었습니다. - 이제 iolog_user 또는 iolog_group 옵션이
sudoers로 설정되지 않은 경우 기본적으로 그룹ID를 사용하여 I/O 로그 파일이 생성됩니다. - env_delete 목록에서
*=()*패턴을 제거하여 env_resetsudoers설정이 비활성화된 환경에서 bash 쉘 함수를 보존할 수 있습니다. (BZ#1547974)
usbguard 버전 0.7.4로 변경
usbguard 패키지는 업스트림 버전 0.7.4로 변경되었습니다. 이 버전은 이전 버전에 비해 많은 버그 수정 및 개선 사항을 제공합니다.
- 이제
usbguard-daemon에서 로깅 파일 또는 감사 이벤트 파일을 열지 못하는 경우 오류와 함께 종료됩니다. - 현재 장치 skopeo 알고리즘은 이제 더 안정적입니다. CloudEvent 시간 초과로 인해 더 이상
usbguard-daemon프로세스가 종료되지 않습니다. - usbguard watch 명령에는 이제 수신된 모든 이벤트에 대해 실행 파일을 실행하는 -e 옵션이 포함됩니다. 이벤트 데이터는 환경 변수를 통해 실행 파일에 전달됩니다. (BZ#1508878)
audit 2.8.4로 변경
audit 패키지가 업스트림 버전 2.8.4로 업그레이드되어 이전 버전에 비해 여러 가지 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.
- 내부 상태 덤프에 대한 지원이 추가되었습니다. 이제 service auditd state 명령을 실행하여
감사데몬에 대한 정보를 확인할 수 있습니다. rpm및yum툴에서 생성한SOFTWARE_UPDATE이벤트에 대한 지원이 추가되었습니다.- 원격 로깅 시작 중에 무제한 재시도를 허용합니다. 이는 클라이언트를 부팅할 때 서버가 실행되지 않는 경우에도 시작하는 데 도움이 됩니다.
- 향상된 IPv6 원격 로깅. (BZ#1559032)
RPM 에서 감사 이벤트 제공
이번 업데이트를 통해
RPM(RPM )에서 감사 이벤트를 제공합니다. Linux 감사 시스템을 사용한 시스템 분석에는 소프트웨어 패키지가 설치 또는 업데이트되는 정보가 중요합니다. RPM 에서 root 사용자가 패키지를 설치하거나 업그레이드할 때마다 SOFTWARE_UPDATE 감사 이벤트를 생성합니다. (BZ#1555326)
SELinux에서 Extended_socket_class지원
이번 업데이트에서는 알려진 모든 네트워크 소켓 주소 제품군을 지원하는 다수의 새로운 SELinux 개체 클래스를 사용할 수 있는
extended_socket_class 정책 기능이 도입되었습니다. 또한 이전에 rawip_socket 클래스에 매핑된 ICMP(Internet Control Message Protocol) 및 SCTP(Stream Control Transmission Protocol) 소켓에 별도의 보안 클래스를 사용할 수 있습니다. (BZ#1564775, BZ#1427553)
selinux-policy 이제 mmap() 이 사용될 때 파일 권한을 검사
이번 릴리스에서는
mmap() 시스템 호출에 대한 새로운 권한 검사가 도입되었습니다. mmap() 에 대한 별도의 맵 권한 검사의 목적은 모든 액세스를 재검증하는 데 필요한 특정 파일의 메모리 매핑을 금지하는 정책을 허용하는 것입니다. 이 기능은 도메인 간 솔루션 또는 데이터 복사 없이 인증된 파이프라인과 같이 상태 변경 사항을 반영하기 위해 런타임 시 파일의 레이블을 다시 지정해야 하는 시나리오에 유용합니다.
이 기능은 기본적으로 활성화되어 있습니다. 또한 새로운 SELinux 부울인
domain_can_mmap_files 도 추가되었습니다. domain_can_mmap_files 가 활성화되면 모든 도메인은 모든 파일, 문자 장치 또는 블록 장치에서 mmap() 을 사용할 수 있습니다. domain_can_mmap_files 가 비활성화되어 있으면 mmap() 을 사용할 수 있는 도메인 목록이 제한됩니다. (BZ#1460322)
RHEL7 DISA STIG 프로파일이 STIG 버전 1 릴리스 4와 일치
SCAP 보안 가이드 프로젝트의 이번 업데이트에서 RHEL7DISA(DISA) 정보 시스템 기관(STIG) 프로필은 STIG 버전 1 릴리스 4와 일치합니다. 특정 규칙에는 자동 검사 또는 수정 사항이 포함되어 있지 않습니다. (BZ#1443551)
Libreswan 에서 PKCS #7-formatted X.509 인증서를 지원
이번 업데이트를 통해
Libreswan Virtual Private Network 애플리케이션은 PKCS #7-formatted X.509 인증서도 지원합니다. 이를 통해 Microsoft Windows를 실행하는 시스템과의 상호 운용성이 가능합니다. (BZ#1536404)
libreswan 버전 3.25로 업데이트
libreswan 패키지가 업스트림 버전 3.25로 업그레이드되어 이전 버전에 비해 여러 가지 버그 수정 및 개선 사항을 제공합니다.
이전에는 pfs=no 옵션으로 잘못된 구성이 위조되고 ESP/AH PFS
modp 그룹 (예: esp=aes-sha2;modp2048)이 modp 설정을 로드하고 무시합니다. 이번 업데이트를 통해 PFS 정책이 오류 메시지를 비활성화하므로 ESP DH 알고리즘 MODP2048 을 사용하여 이러한 연결을 로드하지 못합니다. (BZ#1591817)
openssl-ibmca 버전 2.0.0으로 변경
openssl-ibmca 패키지가 업스트림 버전 2.0.0으로 업그레이드되어 이전 버전에 비해 여러 버그 수정 및 개선 사항을 제공합니다.
- ECC(Elliptic-Curve Cryptography) 기능이 지원됩니다.
- 다양한
OpenSSL버전과의 호환성이 향상되었습니다.
z/VM 6.4 시스템의 공유 CEX4C 어댑터와 함께 ECC 기능을 사용하려면 APAR(Authorized Program Analysis Report) VM65942가 필요합니다. (BZ#1519395)
인증이 필요하지 않은 경우에도 sudo 에서 PAM 스택을 실행합니다.
이번 업데이트를 통해
sudo 유틸리티는 정책에 NOPASSWD 옵션이 구성된 경우에도 PAM(Pluggable Authentication Module) 계정 관리 모듈을 실행합니다. 이를 통해 인증 단계 외부에서 PAM 모듈에서 부과하는 제한 사항을 확인할 수 있습니다. 결과적으로 CloudEvent _time과 같은 PAM 모듈이 이제 설명된 시나리오에서 제대로 작동합니다. (BZ#1533964)
cvtsudoers 서로 다른 sudoers 형식 간에 변환
관리자는 새로운
cvtsudoers 유틸리티를 사용하여 다양한 sudoers 보안 정책 파일 형식 간에 규칙을 변환할 수 있습니다. 사용 가능한 옵션 및 사용 예는 cvtsudoers(1) 매뉴얼 페이지를 참조하십시오. (BZ#1548380)
SCAP 보안 가이드에서 OSPP v4.2 지원
scap-security-guide 패키지 업데이트에서는 OSPP(General-Purpose Operating System Protection Profile) v4.2의 핵심 요구 사항을 정의하는 새 프로필이 도입되었습니다. 새로운 프로파일 ID는
ospp42 이고 이전에 출시된 프로필 USGCB (United States Government Configuration Baseline) OSPP v4.0은 ID ospp 와 함께 사용할 수 있습니다. (BZ#1619689)
selinux-policy 이제 5개의 추가 SELinux 부울이 포함되어 있습니다.
이번 selinux-policy 패키지 업데이트로 다음과 같은 SELinux 부울이 도입되었습니다.
keepalived_connect_any-keepalived서비스가 임의의 포트에 연결할 수 있습니다.tomcat_use_execmem-Tomcat서버가 스택을 실행 가능하게 만들 수 있습니다.tomcat_can_network_connect_db-Tomcat이PosgtreSQL포트에 연결할 수 있습니다.redis_enable_notify-redis-sentinel서비스에서 알림 스크립트를 실행할 수 있습니다.
