7.10. 보안
이제 libreswan에서 SECCOMP 활성화 가능
기술 프리뷰로 seccomp=enabled|tolerant|disabled 옵션이 ipsec.conf 구성 파일에 추가되어SECCOMP(Secure Computing mode)를 사용할 수 있습니다. 이렇게 하면 Libreswan 이 실행할 수 있는 모든 시스템 호출을 허용하여 syscall 보안이 향상됩니다. 자세한 내용은 ipsec.conf(5) 도움말 페이지를 참조하십시오.
pk12util 에서 RSA-PSS 키를 사용하여 인증서를 가져올 수 있음
이제 pk12util 툴에서 RSA-PSS 알고리즘으로 서명된 인증서를 기술 프리뷰로 가져올 수 있습니다.
해당 개인 키를 가져오고 서명 알고리즘을 RSA-PSS 로 제한하는 PrivateKeyInfo.privateKeyAlgorithm 필드가 있는 경우 키를 가져올 때 무시됩니다. 자세한 내용은 MZBZ#1413596 에서 참조하십시오.
certutil 에서 RSA-PSS 로 서명된 인증서 지원 개선
certutil 툴의 RSA-PSS 알고리즘으로 서명된 인증서 지원이 개선되었습니다. 주요 개선 사항 및 수정 사항은 다음과 같습니다.
-
이제
--pss옵션이 문서화되었습니다. -
인증서가
RSA-PSS를 사용하도록 제한되면PKCS#1 v1.5알고리즘은 자체 서명 서명에 더 이상 사용되지 않습니다. -
인증서를 나열할 때
subjectPublicKeyInfo필드의 빈RSA-PSS매개변수가 더 이상 유효하지 않음으로 출력되지 않습니다. -
RSA
-옵션이 추가되었습니다.PSS 알고리즘으로 서명된 일반 RSA 인증서를 생성하는 --pss-sign
certutil 에서 RSA-PSS 로 서명된 인증서 지원은 기술 프리뷰로 제공됩니다.
NSS 는 인증서에서 RSA-PSS 서명을 확인할 수 있습니다.
RHEL 7.5 버전의 nss 패키지 이후 NSS( Network Security Services ) 라이브러리는 기술 프리뷰로 인증서의 RSA-PSS 서명을 확인합니다. 이번 업데이트 이전에는 NSS 를 SSL 백엔드로 사용하는 클라이언트는 RSA-PSS 알고리즘으로 서명된 인증서만 제공하는 서버에 TLS 연결을 설정할 수 없었습니다.
기능에는 다음과 같은 제한 사항이 있습니다.
-
/etc/pki/nss-legacy/rhel7.config파일의 알고리즘 정책 설정은RSA-PSS서명에 사용되는 해시 알고리즘에는 적용되지 않습니다. -
RSA-PSS매개변수 제한은 무시되며 단일 인증서만 고려합니다.
usbguard 를 사용하면 화면이 기술 프리뷰로 잠겨 있는 동안 USB 장치를 차단할 수 있습니다.
USBGuard 프레임워크를 사용하면 InsertedDevicePolicy 런타임 매개변수 값을 설정하여 이미 usbguard-daemon 인스턴스를 실행하여 새로 삽입된 USB 장치를 처리하는 방법에 영향을 미칠 수 있습니다. 이 기능은 기술 프리뷰로 제공되며, 기본 선택은 장치를 인증할지 여부를 파악하는 정책 규칙을 적용하는 것입니다.
화면이 잠겨 있는 지식 베이스 문서인 동안 USB 장치 차단을 참조하십시오.
(BZ#1480100)
