6.2. 보안
ip vrf 를 사용하여 가상 라우팅을 관리하는 규칙이 SELinux 정책에 추가됩니다.
ip vrf 명령을 사용하여 다른 네트워크 서비스의 가상 라우팅을 관리할 수 있습니다. 이전에는 selinux-policy 에 이 사용을 지원하는 규칙이 포함되어 있지 않았습니다. 이번 업데이트를 통해 SELinux 정책 규칙을 사용하면 ip 도메인에서 httpd,sshd, named 도메인으로 명시적으로 전환할 수 있습니다. 이러한 전환은 ip 명령에서 setexeccon 라이브러리 호출을 사용하는 경우 적용됩니다.
Jira:RHEL-9981[1]
SELinux 정책을 사용하면 staff_r 제한된 사용자가 sudo crontab을 실행할 수 있습니다.
이전에는 SELinux 정책에 제한된 사용자가 sudo crontab 명령을 실행할 수 있는 규칙이 없었습니다. 결과적으로 staff_r 역할의 제한된 사용자는 sudo crontab 을 사용하여 다른 사용자의 crontab 일정을 편집할 수 없었습니다. 이번 업데이트에서는 정책에 규칙이 추가되어 staff_r 사용자는 sudo crontab 을 사용하여 다른 사용자의 crontab 스케줄을 편집할 수 있습니다.
SELinux 정책에는 추가 서비스 및 애플리케이션에 대한 규칙이 포함되어 있습니다.
이 버전의 selinux-policy 패키지에는 추가 규칙이 포함되어 있습니다. 특히 sysadm_r 역할의 사용자는 다음 명령을 입력할 수 있습니다.
-
sudo traceroute -
sudo tcpdump -
sudo dnf
Jira:RHEL-15398, Jira:RHEL-1679, Jira:RHEL-9947
unconfined_login 이 off로 설정된 경우 SELinux 정책에서 제한되지 않은 사용자에 대한 SSH 로그인을 거부합니다.
이전에는 unconfined_login 부울이 off 로 설정된 경우 SELinux 정책에 제한되지 않은 사용자를 거부하는 규칙이 없었습니다. 결과적으로 unconfined_login 을 off 로 설정하면 사용자가 SSHD를 제한되지 않은 도메인으로 사용하여 로그인할 수 있었습니다. 이번 업데이트에서는 SELinux 정책에 규칙이 추가되어 unconfined_login 이 꺼지면 사용자가 sshd 를 통해 unconfined로 로그인할 수 없습니다.
SELinux 정책으로 rsyslogd 가 제한된 명령을 입력할 수 있음
이전에는 SELinux 정책에 rsyslogd 데몬이 systemctl 과 같은 SELinux 제한 명령을 입력할 수 있는 규칙이 누락되었습니다. 결과적으로 omprog 지시문의 인수로 명령이 실행되지 않았습니다. 이번 업데이트에서는 SELinux 정책에 규칙을 추가하여 omprog 의 인수로 실행되는 /usr/libexec/rsyslog 디렉터리의 실행 파일이 syslogd_unconfined_script_t unconfined 도메인에 있습니다. 결과적으로 omprog finish 인수로 명령이 성공적으로 실행됩니다.
대규모 SSHD 구성 파일이 더 이상 로그인을 방지하지 않음
이전에는 SSHD 구성 파일이 256KB보다 크면 시스템에 로그인할 때 오류가 발생했습니다. 그 결과 원격 시스템에 연결할 수 없었습니다. 이번 업데이트에서는 파일 크기 제한이 제거되므로 사용자가 SSHD 구성 파일이 256KB보다 큰 경우 시스템에 로그인할 수 있습니다.
