6.5. 보안

재귀적 종속성으로 인해 더 이상 OpenSCAP 충돌이 발생하지 않습니다.

systemd 장치에 종속 장치가 있을 수 있기 때문에 OpenSCAP 스캔에 순환적 종속성이 발생하여 스캔이 예기치 않게 종료될 수 있었습니다. 이번 업데이트를 통해 OpenSCAP은 더 이상 이전에 분석한 단위를 분석하지 않습니다. 결과적으로 종속성이 Cyclical인 경우에도 검사가 유효한 결과를 사용하여 완료합니다.

OpenSCAP 스캐너 결과에 더 이상 많은 SELinux 컨텍스트 오류 메시지가 포함되어 있지 않습니다

이전에는 OpenSCAP 스캐너에서 true 오류가 아닌 상황에서도 ERROR 수준에서 SELinux 컨텍스트를 가져올 수 없는 상황을 기록했습니다. 그 결과 스캐너 결과에는 많은 SELinux 컨텍스트 오류 메시지가 포함되었으며, oscap 명령줄 유틸리티와 SCAP Workbench 그래픽 유틸리티 출력을 읽기가 어려웠습니다. openscap 패키지가 수정되었으며 스캐너 결과에 더 이상 많은 SELinux 컨텍스트 오류 메시지가 포함되지 않습니다.

audit_rules_privileged_commands 가 권한 있는 명령에 대해 올바르게 작동합니다

scap-security-guide 패키지에서 audit_rules_privileged_commands 규칙의 업데이트를 적용해도 명령 이름을 구문 분석할 때 특별한 사례를 고려하지 않았습니다. 또한 특정 규칙의 순서에 따라 성공적으로 해결되지 않았습니다. 그 결과 연속 검사에서 규칙을 다시 실패로 보고했지만 보고된 규칙 조합의 수정이 수정되었습니다. 이번 업데이트에서는 규칙 및 규칙 순서의 정규 표현식이 개선되었습니다. 결과적으로 수정 후 권한이 있는 모든 명령이 올바르게 감사됩니다.

SCAP 보안 가이드의 업데이트된 규칙 설명

지원되는 모든 버전의 RHEL에 대해 기본 커널 매개 변수를 안정적으로 결정할 수 없기 때문에 커널 매개 변수 설정을 확인하려면 항상 명시적 구성이 필요합니다. 구성 가이드의 텍스트에서 기본 버전을 준수하는 경우 명시적 설정이 필요하지 않다고 잘못 설명했습니다. 이번 업데이트를 통해 scap-security-guide 패키지의 규칙 설명에서 규정 준수 평가 및 해당 수정을 올바르게 설명합니다.

configure_firewalld_rate_limiting 이 올바르게 속도 제한 연결

이전에 시스템이 모든 트래픽을 허용하도록 구성한 서비스 거부(DoS) 공격으로부터 시스템을 보호하는 configure_firewalld_rate_limiting 규칙. 이번 업데이트를 통해 이 규칙을 수정한 후 시스템이 연결을 올바르게 속도 제한합니다.

dconf_gnome_login_banner_text 가 더 이상 잘못 실패하지 않음

scap-security- guide 패키지에서 이전에 scap-security-guide 패키지에서 dconf_gnome_login_banner_text 규칙 수정이 실패한 경우 구성을 스캔하지 못했습니다. 결과적으로 수정을 적용해도 로그인 배너 구성을 올바르게 업데이트할 수 없었습니다. 이로 인해 예상된 결과와 일치하지 않았습니다. 이번 업데이트를 통해 Bash 및 Ansible 해결이 보다 신뢰할 수 있으며 OVAL 표준을 사용하여 구현된 구성 검사에 맞게 조정됩니다. 결과적으로 수정이 올바르게 작동하고 수정 후 규칙이 전달됩니다.

scap-security-guide Ansible 수정에는 더 이상 다음 인수가 포함되지 않습니다.

이 업데이트 이전에는 scap-security-guide Ansible 해결에 replace 모듈에 follow 인수가 포함될 수 있었습니다. follow 는 Ansible 2.5에서 더 이상 사용되지 않으며 Ansible 2.10에서 제거되므로 이러한 수정을 사용하여 오류가 발생했습니다. RHBA-2021:1383 권고가 릴리스되면서 인수가 제거되었습니다. 결과적으로 scap-security-guide 의 Ansible 플레이북이 Ansible 2.10에서 제대로 작동합니다.

postfix 가 설치되어 있지 않으면 Postfix별 규칙이 더 이상 실패하지 않습니다

이전에는 SCAP Security Guide(SSG)가 시스템에 설치된 postfix 패키지와 독립적으로 Postfix 관련 규칙을 평가했습니다. 결과적으로 SSG는 적용할 수 없는 대신 Postfix 관련 규칙을 실패로 보고했습니다. RHBA-2021:4781 권고가 릴리스되면서 SSG는 postfix 패키지가 설치된 경우에만 Postfix 관련 규칙을 올바르게 평가하고 postfix 패키지가 설치되지 않은 경우 적용할 수 없음을 보고합니다.

서비스 비활성화 규칙이 더 이상 모호하지 않음

이전에는 SCAP 보안 가이드의 서비스 비활성화 유형에 대한 규칙 설명에서 서비스 비활성화 및 마스킹 옵션을 제공했지만 사용자가 서비스를 비활성화하거나 마스킹해야 하는지를 지정하지 않았습니다.

scap-security-guide GNOME dconf 규칙에 대한 수정된 Ansible 수정

이전 버전에서는 GNOME dconf 구성 시스템을 다루는 일부 규칙에 대한 Ansible 수정이 해당 OVAL 검사와 정렬되지 않았습니다. 결과적으로 Ansible은 다음 규칙을 잘못 수정하여 후속 검사에서 실패로 표시합니다.

SELinux는 더 이상 PCP가 응답하지 않는 PMDA 재시작을 차단하지 않습니다

이전에는 pcp_pmie_t 프로세스가 SELinux 정책에서 PMDA(성능 지표 도메인 에이전트)와 통신할 수 있는 규칙이 누락되었습니다. 그 결과 SELinux는 pmsignal 프로세스를 거부하여 응답하지 않는 PMDA를 다시 시작합니다. 이번 업데이트를 통해 정책에 누락된 규칙이 추가되어 PCP(Performance Co-Pilot)에서 응답하지 않는 PMDA를 다시 시작할 수 있습니다.

SELinux는 더 이상 시스템을 중단하거나 전원을 끄기 위해 auditd 를 차단하지 않습니다

이전에는 SELinux 정책에 감사 데몬이 power_unit_file_t systemd 장치를 시작할 수 있는 규칙이 없었습니다. 결과적으로 auditd 는 로깅 디스크 파티션에 남은 공백이 없는 경우와 같은 경우 이를 수행하도록 구성된 경우에도 시스템을 중지하거나 끌 수 없었습니다.

chronyd 서비스에서 SELinux에서 쉘을 실행할 수 있음

이전에는 SELinux 정책에서 쉘을 실행할 수 없으므로 chronyd_t 에서 실행 중인 chronyd 프로세스가 chrony-helper 쉘 스크립트를 실행할 수 없었습니다. 이번 업데이트에서는 SELinux 정책을 통해 chronyd 프로세스가 shell _exec_t라는 레이블이 지정된 쉘을 실행할 수 있습니다. 결과적으로 chronyd 서비스가 MCS(Multi-Level Security) 정책에 따라 성공적으로 시작됩니다.

Tang이 캐시를 안정적으로 업데이트

Tang 애플리케이션에서 키를 생성할 때(예: 처음 설치 시 Tang)는 해당 캐시를 업데이트합니다. 이전에는 이 프로세스가 신뢰할 수 없었으며 애플리케이션 캐시가 Tang 키를 반영하도록 올바르게 업데이트되지 않았습니다. 이로 인해 Clevis에서 Tang 고정을 사용하는 데 문제가 발생했으며 클라이언트는 오류 메시지 Key ivation 키를 사용할 수 없음을 표시했습니다. 이번 업데이트를 통해 키 생성 및 캐시 업데이트 논리가 Tang으로 이동되어 파일이 종속성을 감시하는 것을 제거합니다. 결과적으로 캐시 업데이트 후에도 애플리케이션 캐시가 올바른 상태로 유지됩니다.