6.8. 보안
SELinux 정책 다시 로드로 인해 더 이상 잘못된 ENOMEM이 발생하지 않음
이전에 SELinux 정책을 다시 로드하면 내부 보안 컨텍스트 조회 테이블이 응답하지 않았습니다. 결과적으로 정책을 다시 로드하는 동안 커널에 새 보안 컨텍스트가 발생하면 false "Out of memory"(ENOMEM) 오류와 함께 작업이 실패했습니다. 이번 업데이트를 통해 내부 SID(Security Identifier) 조회 테이블이 다시 설계되어 더 이상 정지되지 않습니다. 결과적으로 커널은 SELinux 정책을 다시 로드하는 동안 잘못된 ENOMEM 오류를 반환하지 않습니다.
NSS가 IPsec과 함께 사용하기 위해 X.509 인증서를 올바르게 처리
이전에는 NSS 라이브러리에서 IPsec과 함께 사용할 X.509 인증서를 제대로 처리하지 않았습니다. 그 결과, X.509 인증서에 serverAuth 및 clientAuth 속성이 포함되지 않은 EKU(Extended Key Usage) 속성이 있는 경우 Libreswan IPsec 구현에서 인증서 검증을 잘못 거부했습니다. 이번 업데이트를 통해 NSS의 IPsec 프로필이 수정되어 Libreswan에서 설명된 인증서를 허용할 수 있습니다.
NSS는 RSA-PSS 키로 생성된 RSA PKCS#1 v1.5 서명을 더 이상 허용하지 않습니다.
RSA-PSS 키는 RSA-PSS 서명만 생성하고 PKCS#1 v1.5 알고리즘을 사용하는 키로 만든 서명을 생성하는 데 사용할 수 있습니다. 이전에는 NSS(Network Security Services) 라이브러리에서 해당 개인 키를 사용하여 만든 서명을 검증할 때 서버에서 사용하는 RSA 공개 키 유형을 확인하지 않았습니다. 결과적으로 NSS는 RSA-PSS 키를 사용하여 만든 경우에도 RSA PKCS#1 v1.5 서명을 유효한 것으로 승인했습니다.
버그가 수정되었으며 NSS 라이브러리에서 해당 개인 키를 사용하여 만든 서명을 검증할 때 서버에서 사용하는 RSA 공개 키 유형을 올바르게 확인합니다. 결과적으로 이 시나리오의 서명은 NSS에서 더 이상 허용되지 않습니다.
사용자를 전환할 때 권한 있는 키에 더 이상 액세스에 실패하지 않음
이전에는 AuthorizedKeysCommand* 구성 옵션을 사용하여 권한 있는 키를 검색하기 위해 사용자를 변경할 때 OpenSSH의 그룹 정보 캐시가 정리되지 않았습니다. 결과적으로 잘못된 그룹 정보로 인해 권한 있는 키에 액세스하지 못했습니다. 이 버그는 수정되었으며 사용자가 변경되면 권한 있는 키에 액세스할 수 있습니다.
scap-security-guide 에서 컨테이너 및 컨테이너 이미지에 적용되지 않는 규칙을 올바르게 건너뜁니다.
SCAP Security Guide 콘텐츠를 사용하여 컨테이너 및 컨테이너 이미지를 스캔할 수 있습니다. 컨테이너 및 컨테이너 이미지에 적용할 수 없는 규칙은 특정 CPE 식별자로 표시됩니다. 결과적으로 이러한 규칙의 평가를 자동으로 건너뛰고 컨테이너 및 컨테이너 이미지를 스캔할 때 적용되지 않습니다.
SCAP 보안 가이드의 Ansible 플레이북이 일반적인 오류로 인해 더 이상 실패하지 않음
SCAP 보안 가이드 콘텐츠에 포함된 Ansible 작업은 누락된 구성 파일, 존재하지 않는 파일 또는 제거된 패키지와 같은 특정 일반적인 사례를 처리할 수 없었습니다. 결과적으로 SCAP 보안 가이드의 Ansible 플레이북을 사용하거나 oscap 명령으로 생성된 경우 ansible-playbook 명령이 모든 오류로 종료되었습니다. 이번 업데이트를 통해 일반적인 사례를 처리하도록 Ansible 작업이 업데이트되었으며 플레이북을 실행하는 동안 공통 오류가 발생하더라도 SCAP 보안 가이드의 Ansible 플레이북을 성공적으로 실행할 수 있습니다.
SCAP 보안 가이드가 dconf 구성을 올바르게 확인
이번 업데이트 이전에는 SCAP Security Guide 프로젝트에서 사용된 OVAL(Open Vulnerability and Assessment Language) 검사가 dconf 바이너리 데이터베이스를 직접 확인하지 않았지만 각 키 파일만 확인했습니다. 이로 인해 스캔 결과에 false positives 또는 음수가 발생할 수 있습니다. 이번 업데이트를 통해 SCAP Security Guide 는 추가 검사 구성 요소를 추가하여 dconf 바이너리 데이터베이스가 해당 키 파일과 관련하여 최신 상태인지 확인합니다. 결과적으로 복잡한 검사에서 dconf 구성을 올바르게 확인합니다.
SELinux에서 gssd_t 프로세스가 다른 프로세스의 커널 키링에 액세스할 수 있도록 허용
이전에는 SELinux 정책에서 gssd_t 유형에 대한 허용 규칙이 누락되었습니다. 결과적으로 강제 모드에서 SELinux는 gssd_t 로 실행되는 프로세스가 다른 프로세스의 커널 키링에 액세스하지 못하도록 하고 예를 들어 sec=krb5 마운트를 차단할 수 있습니다. 이 규칙이 정책에 추가되었으며 gssd_t 로 실행되는 프로세스는 다른 프로세스의 인증 키에 액세스할 수 있습니다.
SELinux는 더 이상 모든 비보안 디렉토리 관리에서 snapperd 를 차단하지 않음
이번 업데이트 이전에는 SELinux 정책에 snapper 데몬(snapper데몬)에 대한 허용 규칙이 누락되었습니다. 그 결과 snapper가 강제 모드에서 SELinux를 사용하여 새 스냅샷에 대한 구성 파일을 btrfs 볼륨에 생성할 수 없었습니다. 이번 업데이트를 통해 누락된 규칙이 추가되어 SELinux를 통해 모든 비보안 디렉토리를 관리할 수 있습니다.
sudo I/O 로깅 기능도 SELinux 제한 사용자에 대해 작동합니다.
이번 SELinux 정책 업데이트 이전에는 사용자 도메인에서 일반 의사 터미널 인터페이스를 사용할 수 있는 규칙이 누락되었습니다. 그 결과 SELinux-confined 사용자에 대해 sudo 유틸리티의 I/O 로깅 기능이 작동하지 않았습니다. 누락된 규칙이 정책에 추가되어 설명된 시나리오에서 I/O 로깅 기능이 더 이상 실패하지 않습니다.
(BZ#1564470)
LDAP를 사용하여 구성된 sudo 에서 sudoRunAsGroup 을 올바르게 처리합니다.
이전에는 LDAP를 사용하여 구성된 sudo 툴이 sudoRunAsGroup 특성이 정의되고 sudoRunAsUser 특성이 정의되지 않은 경우 올바르게 처리되지 않았습니다. 그 결과 root 사용자가 대상 사용자로 사용되었습니다. 이번 업데이트를 통해 sudoers.ldap(5) 도움말 페이지에 설명된 동작과 일치하도록 sudoRunAsGroup 처리가 수정되었으며 이제 설명된 시나리오에서 sudo 가 제대로 작동합니다.
