4.4. 보안
NSS는 더 이상 1023 비트보다 짧은 RSA 키를 지원하지 않습니다.
NSS(Network Security Services) 라이브러리 업데이트에서는 모든 RSA 작업의 최소 키 크기를 128에서 1023비트로 변경합니다. 즉 NSS는 더 이상 다음 기능을 수행하지 않습니다.
- 1023비트보다 짧은 RSA 키를 생성합니다.
- RSA 키를 1023비트 미만으로 사용하여 RSA 서명을 서명하거나 확인합니다.
- RSA 키가 1023비트보다 짧으면 값을 암호화하거나 암호를 해독합니다.
SCAP 보안 가이드는 0.1.63으로 재구축됩니다.
SCAP Security Guide (SSG) 패키지는 업스트림 버전 0.1.63으로 다시 설계되었습니다. 이 버전은 다음과 같은 다양한 개선 사항 및 버그 수정을 제공합니다.
-
sysctl,grub2,ECDHE_pwquality, 빌드 시간 커널 구성에 대한 새로운 규정 준수 규칙이 추가되었습니다. -
이제 PAM 스택을 강화하는 규칙은 구성 도구로
authselect를 사용합니다. 참고: 이러한 변경으로 PAM 스택을 다른 방법으로 편집한 경우 PAM 스택을 강화하는 규칙이 적용되지 않습니다.
CIS RHEL 8 벤치마크 2.0.0에 맞춰 SSG CIS 프로필
SCAP Security Guide (SSG)에는 CIS Red Hat Enterprise Linux 8 Benchmark 버전 2.0.0과 CIS(Center for Internet Security) 프로필을 조정하는 변경 사항이 포함되어 있습니다. 이 벤치마크 버전에서는 새로운 요구 사항, 더 이상 관련이 없는 제거된 요구 사항, 일부 기존 요구 사항을 다시 정렬했습니다. 업데이트는 관련 규칙의 참조와 해당 프로필의 정확성에 영향을 미칩니다.
RHEL 8 STIG 프로파일이 DISA STIG 컨텐츠에 더 적합하게 조정되었습니다.
scap-security-guide (SSG) 패키지에서 사용할 수 있는 Red Hat Enterprise Linux 8용 DISA STIG프로파일(xccdf_org.sgproject.content_profile_stig)은 SAML(Security Technical Implementation Guides)에 따라 시스템을 평가하는 데 사용할 수 있습니다. SSG의 콘텐츠를 사용하여 시스템을 수정할 수 있지만 DISA STIG 자동 콘텐츠를 사용하여 평가해야 할 수도 있습니다. 이번 업데이트를 통해 DISA STIG RHEL 8 프로파일이 DISA의 컨텐츠에 맞게 조정됩니다. 이로 인해 SSG 수정 후 DISA 콘텐츠에 대한 결과가 줄어듭니다.
다음 규칙의 평가는 계속 다릅니다.
-
SV-230264r627750_rule - CCE-80790-9 (
ensure_gpgcheck_globally_disabled) -
SV-230349r833388_rule - CCE-82266-8 (
configure_bashrc_exec_tmux) -
SV-230311r833305_rule - CCE-82215-5 (
sysctl_kernel_core_pattern) -
SV-230546r833361_rule - CCE-80953-3 (
sysctl_kernel_ECDHEma_ptrace_scope) -
SV-230287r743951_rule - CCE-82424-3 (
file_permissions_sshd_private_key) -
SV-230364r627750_rule - CCE-82472-2 (
accounts_password_set_min_life_existing) -
SV-230343r743981_rule - CCE-86107-0 (
account_passwords_pam_faillock_audit)
(BZ#1967947)
/tmp 및 /var/tmp 파티션이 없는 경우 마운트 옵션에 대한 SSG 규칙이 더 이상 잘못 실패하지 않습니다.
이전에는 이러한 파티션이 시스템에 없는 경우 /tmp 및 /var/tmp 파티션의 마운트 옵션에 대한 SCAP Security Guide(SSG) 규칙이 실패 결과를 잘못 보고했습니다.
이번 개선된 기능을 통해 실패하는 대신 이러한 규칙을 적용할 수 없습니다. 이제 파티션이 존재하고 시스템에 올바른 마운트 옵션이 없는 경우에만 규칙이 실패합니다.
이러한 마운트 옵션이 특정 정책에 필요한 경우 이러한 파티션이 존재하는 규칙을 프로필에 있어야 하며 하나의 규칙이 실패해야 합니다.
STIG 보안 프로파일 버전 V1R7로 업데이트
SCAP Security Guide의 DISA STIG for Red Hat Enterprise Linux 8 프로파일이 최신 버전 V1R7 과 일치하도록 업데이트되었습니다.
프로필은 DISA(정보 시스템 기관)에서 제공하는 RHEL 8 STIG(보안 기술 구현 가이드) 수동 벤치마크를 보다 안정적이고 더 잘 조정합니다. 이 반복에서는 sysctl 콘텐츠를 새 STIG에 조정하는 업데이트를 제공합니다.
이전 버전이 더 이상 유효하지 않기 때문에 이 프로필의 현재 버전만 사용해야 합니다.
자동 업데이트 적용으로 인해 시스템이 작동하지 않을 수 있습니다. 테스트 환경에서 먼저 수정을 실행합니다.
Clevis-luks-askpass 가 기본적으로 활성화됨
/lib/systemd/system-preset/90-default.preset 파일에는 enable clevis-luks-askpass.path 설정 옵션과 clevis-systemd 하위 패키지를 설치하면 clevis-luks-askpass.path 단위 파일이 활성화됩니다. 이를 통해 Clevis 암호화 클라이언트는 부팅 프로세스 후반부에 마운트되는 LUKS 암호화 볼륨도 잠금 해제할 수 있습니다. 이번 업데이트 이전에는 관리자가 systemctl enable clevis-luks-askpass.path 명령을 사용하여 이러한 볼륨의 잠금을 해제할 수 있어야 합니다.
Rsyslog 오류 파일의 최대 크기 옵션 추가
새로운 action.errorfile.maxsize 옵션을 사용하여 Rsyslog 로그 처리 시스템에 대한 오류 파일의 최대 바이트 수를 지정할 수 있습니다. 오류 파일이 지정된 크기에 도달하면 Rsyslog는 추가 오류 또는 기타 데이터를 쓸 수 없습니다. 이렇게 하면 오류 파일이 파일 시스템을 채우고 호스트를 사용할 수 없게 됩니다.
fapolicyd rebased to 1.1.3
fapolicyd 패키지가 버전 1.1.3으로 업그레이드되었습니다. 주요 개선 사항 및 버그 수정 사항은 다음과 같습니다.
- 이제 규칙에 주체의 상위 PID(프로세스 ID)와 일치하는 새로운 subject PPID 속성이 포함될 수 있습니다.
- OpenSSL 라이브러리는 해시 계산을 위한 암호화 엔진으로 Libgcrypt 라이브러리를 교체했습니다.
-
이제
fagenrules --load명령이 올바르게 작동합니다.
