Red Hat Summit Red Hat Summit지원콘솔개발자평가판 시작연락처

2.11. 보안 및 액세스 제어

Red Hat Enterprise Linux 6과 Red Hat Enterprise Linux 7 간의 보안, 액세스 제어 및 관련 구성 툴에 대한 변경 사항에 대한 요약은 이 섹션을 참조하십시오.

2.11.1. 새 방화벽(firewalld)
링크 복사

Red Hat Enterprise Linux 6에서 방화벽 기능을 제공합니다. iptables 유틸리티 및 명령줄 또는 그래픽 구성 툴을 통해 구성됨 system-config-firewall. Red Hat Enterprise Linux 7에서는 여전히 방화벽 기능을 제공합니다. iptables. 그러나 관리자는 이제 상호 작용합니다. iptables 동적 방화벽 데몬, firewalld 및 해당 구성 툴을 통해 다음을 수행합니다. firewall-config, firewall-cmd, 및 firewall-applet. (Red Hat Enterprise Linux 7 기본 설치에 포함되지 않음)

firewalld 는 동적이므로 언제든지 구성을 변경할 수 있으며 즉시 구현됩니다. 방화벽의 일부를 다시 로드할 필요가 없으므로 기존 네트워크 연결 중단이 발생하지 않습니다.

Red Hat Enterprise Linux 6과 7의 방화벽의 주요 차이점은 다음과 같습니다.

  • firewalld 구성 세부 정보는 /etc/sysconfig/iptables 에 저장되지 않습니다. 대신 구성 세부 정보는 /usr/lib/firewalld/etc/firewalld 디렉터리의 다양한 파일에 저장됩니다.
  • Red Hat Enterprise Linux 6의 방화벽 시스템이 구성 변경이 수행될 때마다 모든 규칙을 제거하고 다시 적용하는 경우 firewalld 는 구성 차이점만 적용합니다. 결과적으로 firewalld 는 기존 연결을 손실하지 않고도 런타임 중에 설정을 변경할 수 있습니다.

Red Hat Enterprise Linux 7에서 방화벽 구성 및 추가 정보는 보안 가이드 를 참조하십시오.

2.11.1.1. firewalld로 규칙 마이그레이션
링크 복사

중요

Red Hat Enterprise Linux OpenStack Platform과 같은 다른 Red Hat 제품과 함께 Red Hat Enterprise Linux 7을 사용하는 경우 firewalld 로 이동하는 대신 iptables 또는 ip6tables 를 계속 사용하는 것이 더 적합할 수 있습니다.

사용할 방화벽 유틸리티가 확실하지 않은 경우 제품 설명서를 확인하거나 Red Hat 지원에 문의하십시오.

firewalld 를 비활성화하고 iptables 또는 ip6tables 를 계속 사용하는 방법에 대한 지침은 https://access.redhat.com/articles/1229233 에서 확인할 수 있습니다.

Red Hat Enterprise Linux 6에서는 두 가지 방화벽 구성 방법을 제공했습니다.

  • 그래픽 사용 system-config-firewall 규칙을 구성하는 툴입니다. 이 툴은 /etc/sysconfig/system-config-firewall 파일에 구성 세부 정보를 저장했으며 /etc/sysconfig/ iptables /etc/sysconfig/ ip6tables 파일에 iptables 및 ip6tables 서비스에 대한 구성을 생성했습니다.
  • /etc/sysconfig/iptables/etc/sysconfig/ip6tables 파일을 수동으로 편집합니다(상상 또는 에서 생성한 초기 구성 편집). system-config-firewall).

을 사용하여 Red Hat Enterprise Linux 6 방화벽을 설정하는 경우 system-config-firewall시스템을 업그레이드한 후 설치 firewalld을 사용할 수 있습니다. firewall-offline-cmd /etc/sysconfig/system-config-firewall 의 구성을 firewalld 의 기본 영역으로 마이그레이션하는 툴입니다. 

$ firewall-offline-cmd

그러나 설치 후 /etc/sysconfig/iptables 또는 /etc/sysconfig/ip6tables 를 수동으로 생성하거나 편집하는 경우 firewalld, 을 사용하여 새 구성을 생성해야 합니다. firewall-cmd 또는 firewall-configfirewalld 를 사용하거나 비활성화한 후 이전 iptablesip6tables 서비스를 계속 사용합니다. 새 구성 만들기 또는 firewalld 를 비활성화하는 방법에 대한 자세한 내용은 보안 가이드 를 참조하십시오.

2.11.2. PolicyKit 변경 사항
링크 복사

이전에는 PolicyKit에서 .pkla 파일의 키 값 쌍을 사용하여 추가 로컬 권한을 정의했습니다. Red Hat Enterprise Linux 7에는 JavaScript로 로컬 권한 부여를 정의하는 기능이 도입되어 필요한 경우 권한을 스크립팅할 수 있습니다.

polkitd/etc/polkit-1/ rules. d/usr/share/polkit-1/rules.d 디렉토리에서 lexicographic 순서로 .rules 파일을 읽습니다. 두 파일이 동일한 이름을 공유하는 경우 /etc 의 파일은 /usr 에 있는 파일보다 먼저 처리됩니다. 이전 .pkla 파일을 처리할 때 처리된 마지막 규칙이 우선합니다. 새로운 .rules 파일을 사용하면 첫 번째 일치 규칙이 우선합니다.

마이그레이션 후 기존 규칙은 /etc/polkit-1/rules.d/49-polkit-pkla-compat.rules 파일에서 적용합니다. 따라서 lexicographic 순서에서 49-polkit-pkla-compat 이전의 이름을 사용하여 /usr 또는 /etc.rules 파일을 재정의할 수 있습니다. 이전 규칙을 재정의하지 않도록하는 가장 간단한 방법은 49보다 큰 숫자로 다른 모든 .rules 파일의 이름을 시작하는 것입니다.

이에 대한 자세한 내용은 데스크탑 마이그레이션 및 관리 가이드 를 참조하십시오.

2.11.3. 사용자 식별자 변경
링크 복사

Red Hat Enterprise Linux 6에서 기본 사용자 ID는 500 이었습니다. Red Hat Enterprise Linux 7에서 기본 사용자 식별자는 1000 입니다. 이러한 변경에는 업그레이드 프로세스 중에 /etc/login.defs 파일을 교체하는 작업이 포함됩니다.

기본 /etc/login.defs 파일을 수정하지 않은 경우 업그레이드하는 동안 파일이 교체됩니다. 기본 사용자 식별자 번호는 1000 로 변경되고 새 사용자는 1000 이상에서 사용자 식별자가 할당됩니다. 이 변경 이전에 생성된 사용자 계정은 현재 사용자 식별자를 유지하고 예상대로 계속 작동합니다.

기본 /etc/login.defs 파일을 수정한 경우 파일은 업그레이드 중에 교체되지 않으며 기본 사용자 ID 번호는 500으로 유지됩니다.

2.11.4. libuser 변경 사항
링크 복사

Red Hat Enterprise Linux 7부터 libuser 라이브러리는 ldapfiles 모듈 또는 ldapshadow 모듈을 모두 포함하는 구성을 더 이상 지원하지 않습니다. 이러한 모듈을 결합하면 암호 처리가 모호해지고 초기화 프로세스 중에 이러한 구성이 거부됩니다.

libuser 를 사용하여 LDAP에서 사용자 또는 그룹을 관리하는 경우 모듈에서 filesshadow 모듈을 제거하고 설정 파일(기본값:/etc/libuser.conf )의 create_ modules 지시문을 제거해야 합니다.

2.11.5. opencryptoki 키 저장소 변경
링크 복사

이전 버전의 Red Hat Enterprise Linux 사용 opencryptoki 하드웨어에서 보안 키로 암호화된 개인 토큰 오브젝트를 암호화하는 키 저장소 버전 2입니다. Red Hat Enterprise Linux 7은 소프트웨어에서 명확한 키로 개인 토큰 오브젝트를 암호화하는 버전 3을 사용합니다. 즉 버전 2에서 생성한 개인 토큰 오브젝트를 버전 3과 함께 사용하려면 먼저 마이그레이션해야 합니다.

개인 토큰 오브젝트를 마이그레이션하려면 다음 절차를 수행합니다.

  1. 소프트웨어 업데이트 Ensure your version of opencryptoki 최신 상태입니다. 

    # yum update -y opencryptoki

  2. 토큰의 슬롯 번호를 확인하려면 pkcsconf 를 사용하여 토큰의 슬롯 번호를 확인합니다. root로 다음 명령을 실행합니다. 

    # pkcsconf -s
# pkcsconf -t

    토큰의 슬롯 번호를 기록해 둡니다. 슬롯 설명은 (CCA) 로 끝납니다. 정보 필드는 토큰을 IBM CCA 토큰 으로 식별합니다.

  3. 인터페이스 액세스를 중지하면 pkcsslotd 서비스 및 opencryptoki 프로세스를 중지합니다. 

    # systemctl stop pkcsslotd.service

    다음 명령을 사용하여 kill 유틸리티로 중지되는 프로세스를 확인한 다음 적절한 프로세스를 종료합니다. 

    # ps ax | grep pkcsslotd

  4. 마이그레이션하기 전에 데이터 저장소를 백업하고, CCA 데이터 저장소(토큰이 저장된 디렉토리(일반적으로 /var/lib/opencryptoki/ccatok)를 백업합니다. 예를 들어 디렉터리의 사본을 만듭니다. 

    # cp -r /var/lib/opencryptoki/ccatok /var/lib/opencryptoki/ccatok.backup

  5. 마이그레이션 유틸리티 /var/lib/opencryptoki/ccatoki/ccatok 디렉터리로 변경하고 migration 유틸리티를 실행합니다. 

    # cd /var/lib/opencryptoki/ccatok
# pkcscca -m v2objectsv3 -v

    메시지가 표시되면 SO(Security Officer) PIN 및 사용자 PIN을 제공하십시오.

  6. 오래된 공유 메모리 파일을 제거하면 /dev/shm/var.lib.opencryptoki.ccatok 파일을 수동으로 제거하거나 시스템을 재부팅합니다. 

    # rm /dev/shm/var.lib.opencryptoki.ccatok

  7. 운영 인터페이스로 돌아가서 pkcsslotd 서비스를 다시 시작합니다. 

    # systemctl start pkcsslotd.service

마이그레이션에 문제가 발생하면 다음을 확인하십시오.

  • root로 명령을 실행하고 있고 root가 pkcs11 그룹의 멤버인지 확인합니다.
  • pkcsconf 유틸리티가 /usr/lib/pkcs11/methods/ 디렉터리 또는 /usr/sbin/ 디렉터리에 있는지 확인합니다.
  • 토큰 데이터 저장소가 /var/lib/opencryptoki/ccatok/ 디렉터리에 있는지 확인합니다.
  • 슬롯 번호를 입력했는지 확인하고 슬롯 번호가 올바른지 확인합니다.
  • SO(Security Officer) PIN 및 사용자 PIN이 올바른지 확인합니다.
  • 현재 디렉터리에 대한 쓰기 권한이 있는지 확인합니다.
Red Hat logoGithubredditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다. 최신 업데이트를 확인하세요.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

Theme

© 2026 Red Hat맨 위로 이동