47장. 보안
usbguard 는 화면을 기술 프리뷰로 잠글 때 USB 장치를 차단할 수 있습니다.
USBGuard 프레임워크를 사용하면 이미 실행 중인 usbguard-daemon 인스턴스가 InsertedDevicePolicy 런타임 매개변수 값을 설정하여 새로 삽입된 USB 장치를 처리하는 방법에 영향을 미칠 수 있습니다. 이 기능은 기술 프리뷰로 제공되며 기본 옵션은 장치를 승인할지 여부를 파악하는 정책 규칙을 적용하는 것입니다.
화면에 기술 자료 문서 https://access.redhat.com/articles/3230621 (BZ#1480100)가 잠긴 동안 USB 장치 차단 을 참조하십시오.
pk12util RSA-PSS로 서명된 인증서를 가져올 수 있음
pk12util 툴에서는 RSA-PSS 알고리즘으로 서명된 인증서를 기술 프리뷰로 가져올 수 있습니다.
해당 개인 키를 가져오고 서명 알고리즘을
RSA-PSS 로 제한하는 PrivateKeyInfo.privateKeyAlgorithm 필드가 있는 경우 키를 브라우저로 가져올 때 무시됩니다. 자세한 내용은 https://bugzilla.mozilla.org/show_bug.cgi?id=1413596 을 참조하십시오. (BZ#1431210)
certutil 에서 RSA-PSS 로 서명된 인증서 지원이 향상되었습니다.
certutil 툴에서 RSA-PSS 알고리즘으로 서명된 인증서 지원이 개선되었습니다. 주요 개선 사항 및 수정 사항은 다음과 같습니다.
- 이제 --pss 옵션이 문서화되어 있습니다.
- 인증서가
RSA-PSS를 사용하도록 제한되면PKCS#1 v1.5알고리즘은 자체 서명 서명에 더 이상 사용되지 않습니다. subjectPublicKeyInfo필드의 빈RSA-PSS매개변수는 인증서를 나열할 때 더 이상 유효하지 않은 것으로 출력되지 않습니다.RSA-PSS알고리즘으로 서명된 일반 RSA 인증서를 생성하는 --pss-sign 옵션이 추가되었습니다.
NSS 가 인증서에서 RSA-PSS 서명을 확인할 수 있음
이제 새 버전의 nss 패키지를 통해 NSS(
Network Security Services ) 라이브러리에서 인증서에 대한 RSA-PSS 서명을 기술 프리뷰로 제공합니다. 이번 업데이트 이전에는 SSL 백엔드로 NSS 를 사용하는 클라이언트는 RSA-PSS 알고리즘으로 서명된 인증서만 제공하는 서버에 TLS 연결을 설정할 수 없었습니다.
기능에는 다음과 같은 제한 사항이 있습니다.
/etc/pki/nss-legacy/rhel7.config파일의 알고리즘 정책 설정은RSA-PSS서명에 사용되는 해시 알고리즘에는 적용되지 않습니다.RSA-PSS매개변수 제한은 인증서 체인 간 무시되며 단일 인증서만 고려합니다. (BZ#1432142)
SECCOMP는 이제 에서 활성화할 수 있습니다. libreswan
기술 프리뷰로 seccomp=enabled|tolerant|disabled 옵션이
ipsec.conf 구성 파일에 추가되어SECCOMP(Secure Computing mode)를 사용할 수 있습니다. 이렇게 하면 Libreswan 이 실행할 수 있는 모든 시스템 호출을 허용 목록에 추가하여 syscall 보안이 향상됩니다. 자세한 내용은 ipsec.conf(5) 매뉴얼 페이지를 참조하십시오. (BZ#1375750)
