5.4.4. 보안

SELinux는 corosync에서 사용하는 /dev/shm/ 파일에서 newfstatat() 를 호출하는 systemd-journal-gatewayd 를 더 이상 차단하지 않습니다.

이전 버전에서는 SELinux 정책에 systemd-journal-gatewayd 데몬이 corosync 서비스에서 생성한 파일에 액세스할 수 있도록 하는 규칙이 포함되지 않았습니다. 그 결과 SELinux는 systemd-journal-gatewayd 를 거부하여 corosync 에서 만든 공유 메모리 파일에서 newfstatat() 함수를 호출합니다. 이번 업데이트를 통해 SELinux는 더 이상 corosync 에서 만든 공유 메모리 파일에서 newfstatat() 를 호출하도록 systemd-journal-gatewayd 를 사용하지 않습니다.

Libreswan 은 모든 설정에서 seccomp=enabled 와 함께 작동합니다

이번 업데이트 이전에는 Libreswan SECCOMP 지원의 허용된 syscall 세트가 RHEL 라이브러리의 새로운 사용과 일치하지 않았습니다. 그 결과 ipsec.conf 파일에서 SECCOMP를 활성화하면 syscall 필터링이 pluto 데몬이 제대로 작동하는 데 필요한 syscall도 거부했습니다. 데몬이 종료되고 ipsec 서비스가 다시 시작되었습니다. 이번 업데이트를 통해 새로 필요한 모든 syscall이 허용되었으며 Libreswan은 이제 seccomp=enabled 옵션에서 올바르게 작동합니다.

SELinux는 더 이상 시스템을 중단하거나 전원을 끄기 위해 auditd 를 차단하지 않습니다

이전에는 SELinux 정책에 감사 데몬이 power_unit_file_t systemd 장치를 시작할 수 있는 규칙이 없었습니다. 결과적으로 auditd 는 로깅 디스크 파티션에 남은 공백이 없는 경우와 같은 경우 이를 수행하도록 구성된 경우에도 시스템을 중지하거나 끌 수 없었습니다.

IPTABLES_SAVE_ON_STOP 가 올바르게 작동합니다

이전에는 IP 테이블 내용이 저장된 파일이 잘못된 SELinux 컨텍스트를 수신했기 때문에 iptables 서비스의 IPTABLES_SAVE_ON_STOP 기능이 작동하지 않았습니다. 이로 인해 iptables 스크립트가 권한을 변경하지 못했으며 결과적으로 스크립트에서 변경 사항을 저장하지 못했습니다. 이번 업데이트에서는 iptables.save 및 ip6tables.save 파일에 대한 적절한 컨텍스트를 정의하고 파일 이름 전환 규칙을 생성합니다. 그 결과 iptables 서비스의 IPTABLES_SAVE_ON_STOP 기능이 올바르게 작동합니다.

NSCD 데이터베이스에서 다양한 모드를 사용할 수 있음

the nsswitch_domain 속성의 도메인은 NSCD(Name Service Cache Daemon) 서비스에 액세스할 수 있습니다. 각 NSCD 데이터베이스는 nscd.conf 파일에서 구성되며, shared 속성은 데이터베이스에서 공유 메모리 또는 소켓 모드를 사용하는지 여부를 결정합니다. 이전에는 모든 NSCD 데이터베이스에서 nscd_use_shm 부울 값에 따라 동일한 액세스 모드를 사용해야 했습니다. 이제 Unix 스트림 소켓을 사용하는 것이 항상 허용되므로 NSCD 데이터베이스가 서로 다른 모드를 사용할 수 있습니다.

oscap-ssh 유틸리티는 --sudo를 사용하여 원격 시스템을 스캔할 때 올바르게 작동합니다.

oscap-ssh 툴을 --sudo 옵션과 함께 사용하여 원격 시스템을 SCAP(Security Content Automation Protocol) 스캔을 수행할 때 원격 시스템의 oscap 툴은 스캔 결과 파일을 저장하고 파일을 root 사용자로 임시 디렉터리에 보고합니다. 이전에는 원격 시스템의 umask 설정이 변경되면 oscap-ssh 가 해당 파일에 대한 액세스 권한이 없을 수 있었습니다. 이번 업데이트에서는 문제가 해결되어 oscap 이 파일을 대상 사용자로 저장하고 oscap-ssh 는 일반적으로 파일에 액세스합니다.

OpenSCAP에서 원격 파일 시스템을 올바르게 처리

이전에는 마운트 사양이 두 슬래시로 시작되지 않은 경우 OpenSCAP에서 원격 파일 시스템을 안정적으로 탐지하지 않았습니다. 결과적으로 OpenSCAP은 일부 네트워크 기반 파일 시스템을 로컬로 처리했습니다. 이번 업데이트를 통해 OpenSCAP는 마운트 사양 대신 file-system 유형을 사용하여 파일 시스템을 식별합니다. 결과적으로 OpenSCAP에서 원격 파일 시스템을 올바르게 처리합니다.

OpenSCAP이 더 이상 YAML 다중 줄 문자열에서 빈 줄을 제거하지 않음

이전에는 OpenSCAP에서 생성된 Ansible 해결 방법 내 YAML 다중 줄 문자열에서 비어 있는 줄을 데이터 스트림에서 제거했습니다. 이로 인해 Ansible 해결에 영향을 미치고 openscap 유틸리티가 해당 OVAL(Open Vulnerability and Assessment Language) 확인에 실패하여 잘못된 긍정적인 결과가 생성되었습니다. 이제 문제가 해결되어 openscap 이 더 이상 YAML 다중 줄 문자열에서 빈 행을 제거하지 않습니다.

OpenSCAP에서 메모리가 부족하지 않고 많은 수의 파일이 있는 시스템을 스캔할 수 있음

이전에는 RAM이 적고 많은 수의 파일이 있는 시스템을 스캔할 때 OpenSCAP 스캐너로 인해 시스템에 메모리가 부족한 경우가 있었습니다. 이번 업데이트를 통해 OpenSCAP 스캐너 메모리 관리가 개선되었습니다. 결과적으로 스캐너는 많은 수의 파일을 스캔할 때 RAM이 부족한 시스템에서 더 이상 메모리가 부족하지 않습니다(예: GUI 및 Workstation 을 사용한 패키지 그룹 서버 ).

config.enabled 이제 설명이 올바르게 제어됩니다.

이전 버전에서는 rsyslog 가 문을 구성하는 동안 config.enabled 지시문을 잘못 평가했습니다. 그 결과 include () 를 제외한 각 문에 대해 알 수 없는 오류가 표시되었습니다. 이번 업데이트를 통해 모든 문에 대해 구성이 동일하게 처리됩니다. 결과적으로 config.enabled 는 오류를 표시하지 않고 문을 올바르게 비활성화하거나 활성화합니다.

fapolicyd 가 더 이상 RHEL 업데이트를 금지하지 않음

업데이트가 실행 중인 애플리케이션의 바이너리를 교체하면 커널은 " (deleted)" 접미사를 추가하여 메모리의 애플리케이션 바이너리 경로를 수정합니다. 이전에는 fapolicyd 파일 액세스 정책 데몬이 애플리케이션을 신뢰할 수 없는 것으로 처리하여 다른 파일을 열고 실행할 수 없었습니다. 그 결과 업데이트를 적용한 후 시스템을 부팅할 수 없는 경우가 있었습니다.

이제 e8 프로필을 사용하여 GUI를 사용하여 RHEL 8 시스템을 해결할 수 있습니다.

OpenSCAP Anaconda 애드온을 사용하여 서버에서 시스템을 강화하여 GUI 패키지 그룹을 사용하여 RPM 그룹과 무결성 확인 에서 규칙을 선택하는 프로필이 있는 GUI 패키지 그룹을 사용하면 더 이상 시스템에 극적인 RAM이 필요하지 않습니다. 이 문제의 원인은 OpenSCAP 스캐너였습니다. 자세한 내용은 OpenSCAP로 많은 수의 파일 스캔을 참조하십시오. 이로 인해 시스템에 메모리가 부족합니다. 그 결과, RHEL 8 Essential Eight(e8) 프로필을 사용하여 시스템 강화가 이제 GUI에서 Server with GUI 에서도 작동합니다.