8.2. 보안
NSS
SEED 암호가 더 이상 사용되지 않음
NSS
( Mozilla Network Security Services) 라이브러리는 향후 릴리스에서 SEED 암호를 사용하는 TLS 암호화 제품군을 지원하지 않습니다. NSS가 지원을 제거할 때 SEED 암호를 사용하는 배포를 원활하게 전환하려면 다른 암호화 제품군에 대한 지원을 활성화하는 것이 좋습니다.
RHEL에서는 SEED 암호가 이미 비활성화되어 있습니다.
TLS 1.0 및 TLS 1.1은 더 이상 사용되지 않음
TLS 1.0 및 TLS 1.1 프로토콜은 DEFAULT
시스템 전체 암호화 정책 수준에서 비활성화되어 있습니다. 예를 들어 Firefox 웹 브라우저의 비디오 회의 애플리케이션에서 더 이상 사용되지 않는 프로토콜을 사용해야 하는 경우 시스템 전체 암호화 정책을 LEGACY
수준으로 전환합니다.
# update-crypto-policies --set LEGACY
자세한 내용은 RHEL 8의 Strong 암호화 기본값 및 Red Hat 고객 포털 및 update-crypto-policies(8)
도움말 페이지의 약한 암호화 알고리즘 지식베이스 문서를 참조하십시오.
RHEL 8에서 DSA가 더 이상 사용되지 않음
Red Hat Enterprise Linux 8에서는 DSA(Digital Signature Algorithm)가 더 이상 사용되지 않습니다. DSA 키에 의존하는 인증 메커니즘은 기본 구성에서 작동하지 않습니다. OpenSSH
클라이언트는 LEGACY
시스템 전체 암호화 정책 수준에서도 DSA 호스트 키를 허용하지 않습니다.
Bugzilla:1646541[1]
fapolicyd.rules
가 더 이상 사용되지 않음
허용 및 실행 규칙을 포함하는 파일의 /etc/fapolicyd/rules.d/
디렉토리에서 /etc/fapolicyd/fapolicyd.rules
파일을 대체합니다. fagenrules
스크립트는 이 디렉터리의 모든 구성 요소 규칙 파일을 /etc/fapolicyd/compiled.rules
파일에 병합합니다. /etc/fapolicyd/fapolicyd.trust
의 규칙은 여전히 fapolicyd
프레임 워크에서 처리되지만 이전 버전과의 호환성을 위해서만 처리됩니다.
SSL2
Client Hello
가 NSS
에서 더 이상 사용되지 않음
TLS
(Transport Layer Security) 프로토콜 버전 1.2 및 이전 버전에서는SSL
(Secure Sockets Layer) 프로토콜 버전 2와 역호환되는 방식으로 포맷된 Client Hello
메시지와 협상을 시작할 수 있습니다. NSS
(Network Security Services) 라이브러리에서 이 기능에 대한 지원은 더 이상 사용되지 않으며 기본적으로 비활성화되어 있습니다.
이 기능에 대한 지원이 필요한 애플리케이션은 새로운 SSL_ENABLE_V2_COMPATIBLE_HELLO
API를 사용하여 활성화해야 합니다. 이 기능에 대한 지원은 Red Hat Enterprise Linux 8의 향후 릴리스에서 완전히 제거될 수 있습니다.
Bugzilla:1645153[1]
이제 /etc/selinux/config
를 사용하여 SELinux를 비활성화하는 런타임이 더 이상 사용되지 않음
/etc/selinux/config
파일에서 SELINUX=disabled
옵션을 사용하여 SELinux를 비활성화하는 런타임은 더 이상 사용되지 않습니다. RHEL 9에서는 /etc/selinux/config
를 통해서만 SELinux를 비활성화하면 SELinux가 활성화된 상태에서 정책이 로드되지 않고 시스템이 시작됩니다.
시나리오가 SELinux를 완전히 비활성화해야 하는 경우 Red Hat은 SELinux 사용 의 부팅 시 SELinux 모드 변경 섹션에 설명된 대로 selinux=0
매개 변수를 커널 명령줄에 추가하여 SELinux 를 비활성화할 것을 권장합니다.
selinux-policy
에서 제거된 ipa
SELinux 모듈
ipa
SELinux 모듈이 더 이상 유지 관리되지 않기 때문에 selinux-policy
패키지에서 제거되었습니다. 이제 기능이 ipa-selinux
하위 패키지에 포함됩니다.
시나리오에 로컬 SELinux 정책의 ipa
모듈에서 유형 또는 인터페이스를 사용해야 하는 경우 ipa-selinux
패키지를 설치합니다.
Bugzilla:1461914[1]
TPM 1.2가 더 이상 사용되지 않음
신뢰할 수 있는 플랫폼 모듈(TPM) 보안 암호화 프로세서 표준이 2016년 버전 2.0으로 업데이트되었습니다. TPM 2.0은 TPM 1.2에 비해 많은 개선 사항을 제공하며 이전 버전과 호환되지 않습니다. TPM 1.2는 RHEL 8에서 더 이상 사용되지 않으며 다음 주요 릴리스에서 제거될 수 있습니다.
Bugzilla:1657927[1]
crypto-policies
파생 속성이 더 이상 사용되지 않음
사용자 지정 정책에서 crypto-policies
지시문에 대한 범위가 도입되면 다음과 같은 파생된 속성이 더 이상 사용되지 않습니다. tls_cipher
,ssh_cipher
,ssh_group
,ike_protocol
, sha1_in_dnssec
. 또한 범위를 지정하지 않고 프로토콜
속성도 더 이상 사용되지 않습니다. 권장 교체는 crypto-policies(7)
도움말 페이지를 참조하십시오.
RHEL 8 및 9 OpenSSL 인증서 및 서명 컨테이너는 더 이상 사용되지 않음
Red Hat Ecosystem Catalog의 ubi8/openssl
및 ubi9/openssl
리포지토리에서 사용 가능한 OpenSSL 이식 인증서 및 서명 컨테이너는 이제 수요가 부족하기 때문에 더 이상 사용되지 않습니다.
Jira:RHELDOCS-17974[1]