4.6. 보안
Libreswan이 4.3으로 다시 기반
libreswan 패키지가 버전 4.3으로 업그레이드되었습니다. 이전 버전에 대한 주요 변경 사항은 다음과 같습니다.
- IKE 및 ESP over TCP 지원(RFC 8229)
- IKEv2 레이블이 지정된 IPsec 지원
- IKEv2 leftikeport/rightikeport 지원
- 중간 교환에 대한 실험적 지원
- 로드 밸런싱에 대한 확장 리디렉션 지원
- 상호 운용성 향상을 위해 기본 IKE 수명이 1시간에서 8시간으로 변경되었습니다.
-
:ip섹션은 더 이상 필요하지 않습니다.sec.secrets파일의RSA - 고정 Windows 10 rekeying
- ECDSA 인증을 위한 인증서 전송 수정
- MOBIKE 및 NAT-T에 대한 수정 사항
IPsec VPN이 TCP 전송 지원
이번 libreswan 패키지 업데이트에서는 RFC 8229에 설명된 대로 TCP 캡슐화를 통한 IPsec 기반 VPN 지원이 추가되었습니다. 또한 ESP(Security Payload) 및 UDP를 사용하여 트래픽을 방지하는 네트워크에 IPsec VPN을 설정하는 데 도움이 됩니다. 결과적으로 관리자는 TCP를 대체 또는 기본 VPN 전송 프로토콜로 사용하도록 VPN 서버와 클라이언트를 구성할 수 있습니다.
(BZ#1372050)
Libreswan에서 라벨이 지정된 IPsec에 대해 IKEv2 지원
Libreswan Internet Key Exchange (IKE) 구현에는 이제 IPsec용 보안 레이블에 대한 IKEv2(Internet Key Exchange 버전 2) 지원이 포함됩니다. 이번 업데이트를 통해 IKEv1과 함께 보안 레이블을 사용하는 시스템을 IKEv2로 업그레이드할 수 있습니다.
(BZ#1025061)
libpwquality 1.4.4로 업데이트
libpwquality 패키지는 1.4.4 버전으로 업데이트되었습니다. 이 릴리스에는 여러 버그 수정 및 번역 업데이트가 포함되어 있습니다. 특히 다음 설정 옵션이 the pwquality.conf 파일에 추가되었습니다.
-
재시도 -
enforce_for_root -
local_users_only
p11 키트 가 0.23.19로 업데이트
p11-kit 패키지가 버전 0.23.14에서 0.23.19 버전으로 업그레이드되었습니다. 새 버전은 여러 버그를 수정하고 다양한 개선 사항을 제공합니다.
- CVE-2020-29361, CVE-2020-29362, CVE-2020-29363 보안 문제 해결.
-
p11-kit은 이제 meson 빌드 시스템을 통해 빌드를 지원합니다.
(BZ#1887853)
pyOpenSSL 을 19.0.0으로 업데이트
pyOpenSSL 패키지가 업스트림 버전 19.0.0으로 업데이트되었습니다. 이 버전은 버그 수정 및 개선 사항을 제공하며 특히 다음과 같습니다.
-
openssl버전 1.1.1으로 개선된 TLS 1.3 지원. -
X509Store.add_cert로 중복 인증서를 추가하려고 할 때 더 이상 오류가 증가하지 않습니다 - 구성 요소에서 NUL 바이트를 포함하는 X509 인증서 처리 개선
(BZ#1629914)
SCAP 보안 가이드가 0.1.54로 업데이트
scap-security-guide 패키지는 여러 버그 수정 및 개선 사항을 제공하는 업스트림 버전 0.1.54로 업데이트되었습니다. 가장 중요한 것은 다음과 같습니다.
- OSPP(Operations System Protection Profile )가 Red Hat Enterprise Linux 8.4용 범용 운영 체제 보호 프로필에 따라 업데이트되었습니다.
- 프랑스AN SSI (National Security Agency)의 ANSSI BP-028 권장 사항을 기반으로 하는 ANSSI 프로필이 도입되었습니다. 콘텐츠에는 Minimum, Intermediary 및 Enhanced hardening 수준의 규칙을 구현하는 프로필이 포함되어 있습니다.
- STIG(보안 기술 구현 가이드) 보안 프로필이 업데이트되었으며 최근 릴리스된 버전 V1R1의 규칙을 구현합니다.
OpenSCAP을 1.3.4로 업데이트
OpenSCAP 패키지가 업스트림 버전 1.3.4로 업데이트되었습니다. 주요 수정 사항 및 개선 사항은 다음과 같습니다.
- 대량의 파일이 있는 시스템이 메모리 부족을 야기하는 특정 메모리 문제를 해결했습니다.
- 이제 OpenSCAP에서 GPFS를 원격 파일 시스템으로 처리합니다.
- 정의 간에 순환 종속성을 사용하여 OVAL을 올바르게 처리합니다.
-
향상된
yamlfilecontent: 업데이트된yaml-filter, 맵의 값 세트로 작업할 수 있도록 스키마 및 프로브를 확장했습니다. - 수많은 경고(GCC 및 Clang)를 수정했습니다.
- 수많은 메모리 관리 픽스.
- 수많은 메모리 누수 픽스.
- 이제 XCCDF 파일의 플랫폼 요소가 XCCDF 사양에 따라 올바르게 해결됩니다.
- 개선된 호환성 uClibc.
- 로컬 및 원격 파일 시스템 감지 방법 개선.
-
캐시를 수동으로 여는 대신
pkgCacheFile을 사용하도록 수정된dpkginfo프로브. - 이제 OpenSCAP 스캔 보고서가 유효한 HTML5 문서입니다.
- 파일 프로브에서 원하지 않는 반복이 고정되었습니다.
RHEL 8 STIG 보안 프로필이 버전 V1R1로 업데이트
RHBA-2021:1886 권고가 릴리스되면서 SCAP 보안 가이드의 DISA STIG for Red Hat Enterprise Linux 8 프로필이 최신 버전 V1R1 에 맞게 업데이트되었습니다. RHEL 8 STIG(Security Technical Implementation Guide) 매뉴얼 벤치마크가 보다 안정적이고 효과적으로 조정됩니다. 첫 번째 반복은 STIG와 관련하여 약 60%의 적용 범위를 제공합니다.
초안 프로필이 더 이상 유효하지 않으므로 이 프로필의 현재 버전만 사용해야 합니다.
자동 수정을 통해 시스템이 작동하지 않을 수 있습니다. 먼저 테스트 환경에서 수정을 실행합니다.
서버와 GUI 설치와 호환되는 새로운 DISA STIG 프로파일
GUI를 사용한 DISA STIG 라는 새 프로필이 RHBA-2021:4098 권고 릴리스와 함께 SCAP 보안 가이드에 추가되었습니다. 이 프로필은 DISA STIG 프로필에서 파생되며 GUI 패키지 그룹과 서버를 선택한 RHEL 설치와 호환됩니다. DISA STIG는 그래픽 사용자 인터페이스를 제거해야 했기 때문에 이전의 기존 stig 프로파일은 GUI와 호환되지 않았습니다. 그러나 평가 중에 보안 책임자가 올바르게 문서화한 경우 이 값을 재정의할 수 있습니다. 결과적으로 새 프로필은 DISA STIG 프로필에 정렬된 GUI를 사용하여 RHEL 시스템을 서버로 설치할 때 도움이 됩니다.
이제 ANSSI-BP-028 최소, 중간 및 강화 수준에 대한 프로파일을 SCAP 보안 가이드에서 사용할 수 있습니다.
새 프로필을 사용하면 Minimal, Intermediary 및 Enhanced hardening 레벨에서 GNU/Linux 시스템의 GNU/Linux 시스템용 AMD(National Security Agency)의 권장 사항까지 시스템을 강화할 수 있습니다. 결과적으로 ANSSI Ansible 플레이북 및 ANSSI SCAP 프로필을 사용하여 필요한 ANSSI 강화 수준에 따라 RHEL 8 시스템의 규정 준수를 구성하고 자동화할 수 있습니다.
scap-workbench 가 sudo 권한을 사용하여 원격 시스템을 스캔할 수 있음
scap-workbench GUI 툴은 이제 암호 없는 sudo 액세스를 사용하여 원격 시스템 스캔을 지원합니다. 이 기능을 사용하면 루트의 자격 증명을 제공하여 보안 위험이 줄어듭니다.
scap-workbench 를 암호 없는 sudo 액세스 및 해결 옵션과 함께 사용할 때는 주의하십시오. Red Hat은 OpenSCAP 스캐너만을 위한 안전한 사용자 계정을 지정할 것을 권장합니다.
rhel8-tang 컨테이너 이미지를 사용할 수 있습니다
이번 릴리스에서는 registry.redhat.io 카탈로그에서 rhel8/rhel8-tang 컨테이너 이미지를 사용할 수 있습니다. 컨테이너 이미지는 OCP(OpenShift Container Platform) 클러스터 또는 별도의 가상 시스템에서 실행되는 Clevis 클라이언트에 대해 Tang-server 암호 해독 기능을 제공합니다.
(BZ#1913310)
Clevis가 버전 15로 업데이트
clevis 패키지가 업스트림 버전 15로 업데이트되었습니다. 이 버전은 이전 버전에 비해 많은 버그 수정 및 개선 사항을 제공합니다. 특히 다음과 같습니다.
-
Clevis는 이제 일반 initramfs를 생성하고 더 이상
rd.neednet=1매개 변수를 커널 명령줄에 자동으로 추가하지 않습니다. -
Clevis는 이제
ssspin을 사용하는 잘못된 구성을 올바르게 처리하고clevis는 sss 하위 명령을 암호화하여 오류 원인을 나타내는 출력을 반환합니다.
Clevis가 더 이상 자동으로 add rd.neednet=1을 추가하지 않음
Clevis는 기본적으로 호스트별 구성 옵션 없이 일반적인 initrd (초기 ramdisk)를 올바르게 생성합니다. 결과적으로 Clevis는 더 이상 커널 명령줄에 rd.neednet=1 매개 변수를 자동으로 추가하지 않습니다.
구성이 이전 기능을 사용하는 경우 --hostonly-cmdline 인수를 사용하여 dracut 명령을 입력하거나 /etc/dracut 파일을 생성하고 .conf.d에 clevis.confhostonly_cmdline=yes 옵션을 파일에 추가할 수 있습니다. Tang 바인딩은 initrd 빌드 프로세스 중에 있어야 합니다.
새 패키지: rsyslog-udpspoof
rsyslog-udpspoof 하위 패키지가 RHEL 8에 다시 추가되었습니다. 이 모듈은 일반 UDP 전달자와 유사하지만 syslog 패킷에서 소스 IP를 유지 관리하는 동안 다양한 네트워크 세그먼트 간에 syslog 를 릴레이할 수 있습니다.
fapolicyd 가 1.0.2로 업데이트
fapolicyd 패키지는 업스트림 버전 1.0.2로 업데이트되었습니다. 이 버전은 이전 버전에 비해 많은 버그 수정 및 개선 사항을 제공합니다. 특히 다음과 같습니다.
다음을 통해
무결성검사를 활성화하기 위한 무결성 구성 옵션이 추가되었습니다.- 파일 크기 비교
- SHA-256 해시 비교
- 무결성 측정 아키텍처(IMA) 하위 시스템
-
fapolicydRPM 플러그인은 이제 YUM 패키지 관리자 또는 RPM 패키지 관리자에서 처리하는 모든 시스템 업데이트를 등록합니다. - 이제 규칙에 GID가 제목에 포함될 수 있습니다.
-
이제 디버그 및
syslog메시지에 규칙 번호를 포함할 수 있습니다.
RPM 트랜잭션 중 변경 사항에 대한 새로운 RPM 플러그인 알림
이번 rpm 패키지 업데이트에서는 fapolicyd 프레임워크를 RPM 데이터베이스와 통합하는 새로운 RPM 플러그인이 도입되었습니다. 플러그인은 RPM 트랜잭션 중에 설치 및 변경된 파일에 대한 fapolicyd 를 알립니다. 결과적으로 fapolicyd 는 이제 무결성 검사를 지원합니다.
RPM 플러그인은 YUM 트랜잭션에 국한되지 않고 RPM에 의한 변경 사항을 다루므로 YUM 플러그인을 대체합니다.
