8.7. 보안
Libreswan 이 모든 구성에서 seccomp=enabled 에서 제대로 작동하지 않음
Libreswan SECCOMP 지원 구현에서 허용되는 syscall 세트가 현재 완료되지 않았습니다. 그 결과, ipsecCOMP가 ipsec.conf 파일에서 활성화되면 syscall 필터링은 pluto 데몬의 적절한 기능에 필요한 syscall을 거부합니다. 데몬이 종료되고 ipsec 서비스가 다시 시작됩니다.
이 문제를 해결하려면 seccomp= 옵션을 다시 disabled 상태로 설정합니다. ipsec 을 올바르게 실행하려면 CloudEventCOMP 지원을 비활성화 상태로 유지해야 합니다.
RSA-PSS를 지원하지 않는 PKCS#11 장치는 TLS 1.3과 함께 사용할 수 없습니다.
TLS 프로토콜 버전 1.3에는 HSM(하드웨어 보안 모듈) 또는 스마트 카드와 같은 모든 PKCS#11 장치에서 지원하지 않는 RSA-PSS 서명이 필요합니다. 현재 NSS를 사용하는 서버 애플리케이션은 TLS 1.3을 협상하기 전에 PKCS#11 모듈 기능을 확인하지 않습니다. 결과적으로 RSA-PSS를 지원하지 않는 PKCS#11 장치를 사용하여 인증을 시도합니다. 이 문제를 해결하려면 TLS 1.2를 대신 사용하십시오.
TLS 1.3이 FIPS 모드에서 NSS에서 작동하지 않음
TLS 1.3은 FIPS 모드에서 작동하는 시스템에서 지원되지 않습니다. 결과적으로 상호 운용성을 위해 TLS 1.3이 필요한 연결은 FIPS 모드에서 작동하는 시스템에서 작동하지 않습니다.
연결을 활성화하려면 시스템의 FIPS 모드를 비활성화하거나 피어에서 TLS 1.2에 대한 지원을 활성화합니다.
(BZ#1710372)
OpenSCAP 은 실수로 원격 파일 시스템에 액세스
OpenSCAP 스캐너는 스캔한 파일 시스템이 마운트된 원격 파일 시스템인지 또는 로컬 파일 시스템인지 여부를 올바르게 탐지할 수 없으며 탐지 부분에 다른 버그도 포함되어 있습니다. 결과적으로 스캐너는 평가된 규칙이 로컬 파일 시스템에만 적용되는 경우에도 마운트된 원격 파일 시스템을 읽고 원격 파일 시스템에서 원하지 않는 트래픽을 생성할 수 있습니다.
이 문제를 해결하려면 스캔 전에 원격 파일 시스템을 마운트 해제합니다. 또 다른 옵션은 맞춤 파일을 제공하여 평가된 프로필에서 영향을 받는 규칙을 제외하는 것입니다.
