3.9. 보안
SCAP Security Guide는 CIS RHEL 7 Benchmark v2.2.0과 일치하는 프로파일을 제공합니다.
이번 업데이트를 통해 scap-security-guide
패키지는 CIS Red Hat Enterprise Linux 7 Benchmark v2.2.0에 맞는 프로필을 제공합니다. 이 프로필을 사용하면 CIS(Center for Internet Security)의 지침을 사용하여 시스템 구성을 강화할 수 있습니다. 결과적으로 CIS Ansible 플레이북 및 CIS SCAP 프로필을 사용하여 CIS로 RHEL 7 시스템의 규정 준수를 구성하고 자동화할 수 있습니다.
CIS 프로필의 rpm_verify_permissions
규칙이 제대로 작동하지 않습니다. 알려진 문제 설명 CIS 프로파일에서 rpm_verify_permissions
실패 을 참조하십시오.
SCAP 보안 가이드에서
서비스를 올바르게 비활성화합니다.
이번 업데이트를 통해 SCAP Security Guide
(SSG) 프로필은 시작하지 않아야 하는 서비스를 올바르게 비활성화하고 마스킹합니다. 이렇게 하면 비활성화된 서비스가 다른 서비스에 대한 종속성으로 의도치 않게 시작되지 않습니다. 이러한 변경 전 미국과 같은 SSG 프로파일. C2S(Government Commercial Cloud Services) 프로필은 서비스가 비활성화된 경우에만 비활성화됩니다. 결과적으로 SSG 프로필에 의해 비활성화된 서비스를 먼저 마스크 해제하지 않는 한 시작할 수 없습니다.
RHEL 7 STIG 보안 프로필이 버전 V3R1로 업데이트
RHBA-2020:5451 권고를 통해 SCAP 보안 가이드의 Red Hat Enterprise Linux 7 프로필에 대한 DISA STIG
가 최신 버전 V3R1
로 업데이트되었습니다. 이번 업데이트에서는 더 많은 적용 범위 및 수정 참조 문제가 추가되었습니다. RHEL7 STIG 벤치마크도 보다 안정적이고 DSA(DSA)가 제공하는 RHEL7 STIG 벤치마크에 맞춰 조정됩니다.
이전 버전의 이 프로필이 더 이상 유효하지 않으므로 이 프로필의 현재 버전만 사용해야 합니다. 여러 규칙에 대한 OVAL 검사가 변경되었으며, 이전 버전의 SCAP 보안 가이드를 사용하여 강화된 시스템은 V3R1
버전을 사용하는 검사에 실패합니다. 새 버전의 SCAP 보안 가이드로 수정을 실행하여 규칙을 자동으로 수정할 수 있습니다.
자동 수정을 통해 시스템이 작동하지 않을 수 있습니다. 먼저 테스트 환경에서 수정을 실행합니다.
다음 규칙이 변경되었습니다.
- CCE-80224-9
-
이 SSHD 구성의 기본값이
지연된
에서yes
로 변경되었습니다. 이제 권장 사항에 따라 값을 제공해야 합니다. 이 문제 해결에 대한 정보는 규칙 설명을 확인하거나 수정을 실행하여 자동으로 해결합니다. - CCE-80393-2
- xccdf_org.ssgproject.content_rule_audit_rules_execution_chcon
- CCE-80394-0
- xccdf_org.ssgproject.content_rule_audit_rules_execution_restorecon
- CCE-80391-6
- xccdf_org.ssgproject.content_rule_audit_rules_execution_semanage
- CCE-80660-4
- xccdf_org.ssgproject.content_rule_audit_rules_execution_setfiles
- CCE-80392-4
- xccdf_org.ssgproject.content_rule_audit_rules_execution_setsebool
- CCE-82362-5
- xccdf_org.ssgproject.content_rule_audit_rules_execution_seunshare
- CCE-80398-1
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_chage
- CCE-80404-7
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_chsh
- CCE-80410-4
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_crontab
- CCE-80397-3
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_gpasswd
- CCE-80403-9
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_newgrp
- CCE-80411-2
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_pam_timestamp_check
- CCE-27437-3
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands
- CCE-80395-7
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_passwd
- CCE-80406-2
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_postdrop
- CCE-80407-0
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_postqueue
- CCE-80408-8
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_ssh_keysign
- CCE-80402-1
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_sudoedit
- CCE-80401-3
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_sudo
- CCE-80400-5
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_su
- CCE-80405-4
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_umount
- CCE-80396-5
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_unix_chkpwd
- CCE-80399-9
- xccdf_org.ssgproject.content_rule_audit_rules_privileged_commands_userhelper
DISA STIG 버전 v3r3에 대한 프로파일
DSA(미국 정보 시스템 에이전시)는 RHEL 7 버전 3, 릴리스 3용 STIG(Secure Technical Implementation Guide)의 업데이트된 버전을 발표했습니다. RHBA-2021:2803 권고를 통해 제공되는 업데이트는 다음과 같습니다.
-
기존
xccdf_org.ssgproject.content_profile_stig
프로필 내의 모든 규칙을 최신 STIG 릴리스와 정렬합니다. -
GUI(그래픽 사용자 인터페이스)가 있는 시스템에 대해 새 프로필
xccdf_org.ssgproject.content_profile_stig_gui
를 추가합니다.
scap-security-guide
에서 ANSSI-BP-028 High hardening 레벨 프로파일을 제공합니다.
RHBA-2021:2803 권고가 릴리스되면서 scap-security-guide
패키지는 High hardening 수준에서 ANSSI-BP-028에 대해 업데이트된 프로필을 제공합니다. 이 추가 기능은 모든 ANSSI-BP-028 v1.2 강화 수준에 대한 프로필의 가용성을 완료합니다. 업데이트된 프로필을 사용하여 High hardening 수준에서 GNU/Linux 시스템의 PID(National Security Agency)의 권장 사항을 준수하도록 시스템을 구성할 수 있습니다.
결과적으로 ANSSI Ansible 플레이북 및 ANSSI SCAP 프로필을 사용하여 필요한 ANSSI 강화 수준에 따라 RHEL 7 시스템의 규정 준수를 구성하고 자동화할 수 있습니다. 이전 버전과 함께 제공된 Draft ANSSI High 프로파일은 ANSSI DAT-NT-028에 정렬되었습니다. 프로필 이름과 버전이 변경되었지만 xccdf_org.ssgproject.content_profile_anssi_nt28_high
와 같은 ANSSI 프로필의 ID는 이전 버전과의 호환성을 보장하기 위해 동일하게 유지됩니다.
- 경고
- 자동 수정을 통해 시스템이 작동하지 않을 수 있습니다. 먼저 테스트 환경에서 수정을 실행하는 것이 좋습니다.
RHEL 8 STIG 프로필은 DISA STIG 콘텐츠와 더 잘 일치합니다.
scap-security-guide
(SSG) 패키지에서 사용 가능한 DISA STIG for Red Hat Enterprise Linux 7 프로필(xccdf_org.ssgproject.content_profile_stig
)은 보안 기술 구현 가이드(STIG)의 보안 기술 구현 가이드(STIG)에 따른 시스템을 평가하는 데 사용할 수 있습니다. SSG의 콘텐츠를 사용하여 시스템을 수정할 수 있지만 DISA STIG 자동 콘텐츠를 사용하여 평가해야 할 수 있습니다. RHBA-2022:6576 권고가 릴리스되면서 DISA STIG RHEL 7 프로필이 DISA의 콘텐츠와 더 잘 정렬됩니다. 이로 인해 SSG 수정 후 DISA 콘텐츠에 대한 결과가 줄어듭니다.
다음 규칙의 평가는 여전히 달라집니다.
-
SV-204511r603261_rule - CCE-80539-0 (
auditd_audispd_disk_full_action
) -
SV-204597r792834_rule - CCE-27485-2 (
file_permissions_sshd_private_key
)
또한 DISA의 RHEL 7 STIG 규칙 SV-204405r603261_rule은 SSG RHEL 7 STIG 프로필에서 다루지 않습니다.
(BZ#1967950)
SCAP 규칙 audit_rules_for_ospp
에 추가된 대규모 시스템에 대한 감사 로그 버퍼를 구성하는 경고 메시지
SCAP 규칙 xccdf _org.sgproject.content_rule_audit_rules_for_ospp
는 이제 이 규칙에 의해 구성된 감사 로그 버퍼가 너무 작을 수 있는 대규모 시스템에 성능 경고를 표시하고 사용자 정의 값을 재정의할 수 있습니다. 경고는 더 큰 감사 로그 버퍼를 구성하는 프로세스도 설명합니다. RHBA-2022:6576 권고가 릴리스되어 대규모 시스템을 계속 준수하고 감사 로그 버퍼를 올바르게 설정할 수 있습니다.