7.4. 보안

원격 사용자는 더 이상 스마트 카드에 액세스하도록 반복적으로 확인하지 않습니다.

이전 버전에서는 pcscd 데몬에 대한 polkit 정책에서 사용자 상호 작용을 잘못 요청했습니다. 결과적으로 로컬 및 권한이 없는 사용자가 스마트 카드에 액세스할 수 없어 많은 프롬프트가 발생했습니다. 이번 업데이트를 통해 pcsc-lite 패키지 정책에 더 이상 대화형 프롬프트가 포함되지 않습니다. 결과적으로 원격 카드 사용자는 더 이상 권한 에스컬레이션을 반복적으로 요청하지 않습니다.

FIPS 모드에서 설치하는 경우 64비트 IBM Z 시스템은 더 이상 부팅할 수 없습니다.

이전에는 --no-bootcfg 옵션이 있는 fips-mode-setup 명령이 zipl 도구를 실행하지 않았습니다. fips-mode-setup 이 초기 RAM 디스크(initrd)를 다시 생성하므로 결과 시스템에서 부팅을 위해 zipl 내부 상태를 업데이트해야 하므로 FIPS 모드에 설치한 후 64비트 IBM Z 시스템을 부팅할 수 없는 상태가 됩니다. 이번 업데이트를 통해 --no-bootcfg 로 호출된 경우에도 fips-mode-setup 이 64비트 IBM Z 시스템에서 zipl 을 실행하고 결과적으로 새로 설치된 시스템이 성공적으로 부팅됩니다.

crypto-policies 는 OpenSSL에서 ChaCha20을 비활성화할 수 있습니다.

이전에는 crypto-policies 구성 요소가 잘못된 키워드를 사용하여 OpenSSL에서 ChaCha20 암호를 비활성화했습니다. 결과적으로 OpenSSL의 TLS 1.2에서 ChaCha20을 사용하면 crypto-policies 를 통해 비활성화할 수 없었습니다. 이번 업데이트를 통해 암호화 정책은 - CHACHA20-POLY1305 키워드 대신 -CHACHA20 키워드를 사용합니다. 결과적으로 이제 crypto-policies 를 사용하여 TLS 1.2 및 TLS 1.3 모두에 대해 OpenSSL에서 ChaCha20 암호 사용을 비활성화할 수 있습니다.

systemd 는 /home/사용자/bin에서 파일을 실행할 수 있습니다.

이전에는 SELinux 정책에 해당 액세스를 허용하는 정책 규칙이 포함되지 않았기 때문에 systemd 서비스에서 /home/사용자/bin/ 디렉터리에서 파일을 실행할 수 없었습니다. 그 결과 systemd 서비스가 실패하고 결국 AVC(Access Vector Cache) 거부 감사 메시지가 기록되었습니다. 이번 업데이트에서는 액세스를 허용하는 누락된 SELinux 규칙이 추가되고 systemd 서비스가 이제 /home/사용자/bin/ 에서 명령을 올바르게 실행할 수 있습니다.

다른 프로필에서 제거된 organization별 기본 배너 텍스트

이전 버전에서는 ImageStreamTag 프로필의 배너 텍스트가 기본 텍스트(예: CIS)가 정의되지 않은 다른 프로필에서 기본값으로 사용되었습니다. 그 결과 이러한 프로필을 사용하는 시스템은 DISA에 필요한 특정 텍스트로 구성되었습니다. 이번 업데이트를 통해 일반 기본 텍스트가 생성되고 지침에 맞는 표준 CIS 배너가 정의됩니다. 결과적으로 텍스트 배너가 명시적으로 필요한 지침을 기반으로 한 프로필은 이제 요구 사항에 맞게 조정되고 올바른 텍스트를 설정합니다.

ANSSI Enhanced Profile이 "SELinux State is Enforcing" 규칙을 올바르게 선택합니다.

이전에는 ANSSI Enhanced 프로파일(anssi_bp28_enhanced)이 "SELinux State is Enforcing"(selinux_state) 규칙을 선택하지 않았습니다. 이번 업데이트에서는 규칙 선택을 수정했으며 ANSSI Enhanced Profile이 "SELinux State is Enforcing" 규칙을 선택합니다.

restorecon 및 seunshare SSG 규칙에 대한 설명

이전에는 "CCE-80699-2) 규칙 "Record Any Attempts to Run restorecon"(CCE-80699-2) 및 " seunshare를 실행하기 위한 모든 작업 시간"(CCE-80933-5)이 올바르지 않았습니다. 이번 업데이트를 통해 이러한 규칙의 설명이 자동화된 OVAL 점검과 일치합니다. 결과적으로 설명에서 권장되는 수정 사항을 적용하면 이제 이러한 규칙을 올바르게 수정합니다.

CIS 프로파일은 더 이상 IPv6를 자동으로 비활성화하지 않습니다.

이전에는 RHEL 8의 CIS 프로필에서 "3.6 Disable IPv6" 권장 사항에 대해 부적절한 자동 수정을 제공했습니다. 이 권장 사항은 IPv6를 /etc/modprobe.d/ipv6.conf 를 구성하여 비활성화합니다. 이로 인해 종속 기능 및 서비스에 바람직하지 않은 영향이 있을 수 있습니다. RHEL 8 CIS Benchmark v1.0.1에서 권장 사항 3.6은 수동으로 구현해야 하므로 RHEL8 CIS 프로파일은 이 구성 항목에 대한 수정 사항을 적용하지 않습니다. 결과적으로 CIS 프로파일은 벤치마크와 일치하며 IPv6를 자동으로 비활성화하지 않습니다. CIS에서 권장하는 GRUB2 또는 sysctl 설정을 설정하여 IPv6를 수동으로 비활성화하려면 Red Hat Enterprise Linux에서 IPv6 프로토콜을 비활성화하거나 활성화하는 방법을 참조하십시오.

CIS 프로파일은 더 이상 SSH 서비스를 차단하지 않습니다.

이전에는 xccdf_org.ssgproject.content_rule_file_permissions_sshd_private_key 규칙이 기본적으로 SSH 개인 키에서 권한을 640 으로 설정했습니다. 그 결과 SSH 데몬이 시작되지 않았습니다. 이번 업데이트에서는 CIS 프로필에서 file_permissions_sshd_private_key 규칙이 제거되어 SSH 서비스가 올바르게 작동합니다.

/usr/share/audit/sample-rules 에 있는 파일은 이제 SCAP 규칙에서 승인

이전 버전에서는 SCAP 규칙 xccdf_org.ssgproject.content_rule_audit_ospp_ ECDHE 및 xccdf_org.sgproject.content_rule_audit_audit_uids 에 대한 설명에 따르면 사용자는 /usr/share/audit/sample-rules 에서 적절한 파일을 복사하여 시스템을 준수할 수 있었습니다. 그러나 이러한 규칙에 대한 OVAL 검사가 실패했으며 검사 후 시스템을 준수하지 않은 것으로 표시되었습니다. 이번 업데이트를 통해 OVAL 검사에서 /usr/share/audit/sample-rules 의 파일을 수락하고 SCAP 규칙이 성공적으로 통과합니다.

ANSSI Kickstart는 이제 충분한 디스크 공간을 예약합니다.

이전 버전에서는 GUI를 설치하려면 /usr 파티션에 ANSSI Kickstart보다 많은 디스크 공간이 필요했습니다. 결과적으로 RHEL 8.6 GUI 설치에 실패했습니다. /usr 파일 시스템에 필요한 최소 429MB 이상의 공간이 있음을 나타내는 오류 메시지가 표시되었습니다. 이번 업데이트에서는 /usr 파티션의 디스크 공간을 늘리고 scap-security-guide 에 제공된 ANSSI Kickstart를 사용하여 RHEL 8.6 설치가 성공적으로 완료됩니다.

GRUB2 인수의 수정 사항이 영구적입니다.

이전에는 커널 인수를 설정하는 GRUB2 규칙에 대한 수정 사항이 잘못된 절차를 사용하며 커널 업그레이드 후에도 설정 변경 사항이 유지되지 않았습니다. 그 결과 모든 커널 업그레이드에 수정 사항을 다시 적용해야 했습니다. 이번 업데이트를 통해 수정을 통해 GRUB2를 지속적으로 구성하는 grubby 툴을 사용합니다.

RHEL 8 호스트에서 원격 시스템을 스캔할 때 SCAP -workbench 가 더 이상 중단되지 않음

이전에는 스캔된 시스템으로 콘텐츠 파일을 전송하고 scap-workbench 유틸리티가 검사를 완료할 수 없었습니다. 이는 Qt 하위 프로세스를 차단한 커널의 버그 때문에 발생했습니다. 그 결과 RHEL 8 호스트의 scap-workbench 명령을 사용하여 원격 시스템 스캔이 작동하지 않았습니다. 이번 업데이트를 통해 기본 커널 버그가 수정되어 더 이상 원격 시스템에 파일을 복사하여 성공적으로 완료하지 않습니다.

usbguard-notifier 는 더 이상 저널에 너무 많은 오류 메시지를 기록하지 않습니다.

이전에는 usbguard-daemon IPC 인터페이스에 연결하기 위한 usbguard-notifier 서비스에 프로세스 간 통신(IPC) 권한이 없었습니다. 그 결과 usbguard-notifier 가 인터페이스에 연결하지 못하고 해당 오류 메시지를 저널에 작성했습니다. usbguard-notifier 는 --wait 옵션으로 시작했기 때문에 usbguard-notifier 가 연결 실패 후 각각 IPC 인터페이스에 연결을 시도했기 때문에 기본적으로 로그에 이러한 메시지의 과도한 양이 곧 포함되어 있었습니다.

이제 루트가 아닌 사용자에게 앰비언트 기능이 올바르게 적용됩니다.

안전 조치로 UID(User Identifier)를 root에서 루트가 아닌 사용자로 변경하면 허용된 유효 기능 및 앰비언트 세트의 기능을 알립니다.

usbguard-selinux 패키지는 더 이상 usbguard에 의존하지 않습니다.

이전에는 usbguard-selinux 패키지가 usbguard 패키지에 종속되었습니다. 이로 인해 usbguard 를 설치할 때 이러한 패키지의 다른 종속 항목과 함께 파일 충돌이 발생했습니다. 이로 인해 특정 시스템에 usbguard 가 설치되지 않았습니다. 이 버전에서 usbguard-selinux 는 더 이상 usbguard 에 의존하지 않으므로 yum 이 usbguard 를 올바르게 설치할 수 있습니다.

audisp-remote 가 원격 위치의 가용성을 올바르게 감지합니다.

이전에는 audisp-remote 플러그인이 원격 서비스를 사용할 수 없다는 것을 탐지하지 못했습니다. 그 결과 audisp-remote 프로세스에서 CPU 사용량이 높은 상태가 됩니다. 이번 업데이트를 통해 audisp-remote 를 통해 원격 서비스를 사용할 수 없게 됩니다. 그 결과 프로세스가 더 이상 high-CPU-usage 상태가 되지 않습니다.

Clevis는 자동 잠금 해제 전에 특정 구성에서 더 이상 중지되지 않습니다.

이전 버전에서는 LUKS 암호화 볼륨의 자동 잠금 해제를 수행하는 Clevis 유틸리티가 특정 시스템 구성에서 중지되었습니다. 결과적으로 암호화된 볼륨은 자동으로 잠금 해제되지 않았으며 관리자는 암호를 수동으로 제공해야 했습니다. 경우에 따라 Clevis는 관리자가 Enter를 눌러 암호화된 볼륨을 잠금 해제한 후 다시 시작합니다. 이번 업데이트를 통해 이 유틸리티가 이러한 구성에서 중지되지 않도록 수정되었습니다. 자동 잠금 해제 프로세스가 올바르게 작동합니다.