8.5. 보안
검사 및 수정에서 SCAP 감사 규칙 감사 키를 올바르게 무시
이전에는 감사 키(-k 또는 -F 키) 없이 정의된 감사 감시 규칙에 다음과 같은 문제가 발생했습니다.
- 규칙의 다른 부분이 올바른지도 규칙이 비준수로 표시되었습니다.
- Bash 수정을 통해 조사 규칙의 경로와 권한을 수정했지만 감사 키를 올바르게 추가하지 않았습니다.
-
수정에서는 종종 누락된 키를 수정하지 않아
수정된값이 아닌오류를 반환합니다.
이는 다음 규칙에 영향을 미쳤습니다.
-
audit_rules_login_events -
audit_rules_login_events_faillock -
audit_rules_login_events_lastlog -
audit_rules_login_events_tallylog -
audit_rules_usergroup_modification -
audit_rules_usergroup_modification_group -
audit_rules_usergroup_modification_gshadow -
audit_rules_usergroup_modification_opasswd -
audit_rules_usergroup_modification_passwd -
audit_rules_usergroup_modification_shadow -
audit_rules_time_watch_localtime -
audit_rules_mac_modification -
audit_rules_networkconfig_modification -
audit_rules_sysadmin_actions -
audit_rules_session_events -
audit_rules_sudoers -
audit_rules_sudoers_d
이번 업데이트를 통해 검사 및 Bash 및 Ansible 수정에서 감사 키가 제거되었습니다. 결과적으로 확인 및 수정 중에 키 필드로 인한 불일치가 더 이상 발생하지 않으며 감사자는 이러한 키를 임의로 선택하여 감사 로그를 더 쉽게 검색할 수 있습니다.
crypto-policies 이 더 이상 불필요한 심볼릭 링크를 생성하지 않음
시스템 설치 중에 crypto-policies 스크립트는 FIPS 모드의 /usr/share/crypto-policies/DEFAULT 파일 또는 /usr/share/crypto-policies/FIPS 에서 심볼릭 링크를 생성하고 /etc/crypto-policies/back-ends 디렉터리에 저장합니다. 이전에는 crypto-policies 에 디렉토리가 잘못 포함되었으며 /usr/share/crypto-policies/DEFAULT 또는 /usr/share/crypto-policies/FIPS 디렉터리를 가리키는 /etc/crypto-policies/back-ends/.config symlink를 생성했습니다. 이번 업데이트를 통해 암호화 정책은 디렉터리에서 심볼릭 링크를 생성하지 않으므로 불필요한 심볼릭 링크를 생성하지 않습니다.
crypto-policies 에서 BIND의 NSEC3DSA 를 비활성화합니다.
이전에는 시스템 전체 암호화 정책에서 BIND 구성에서 NSEC3DSA 알고리즘을 제어하지 않았습니다. 결과적으로 현재 보안 요구 사항을 충족하지 않는 NSEC3DSA 는 DNS 서버에서 비활성화되지 않았습니다. 이번 업데이트를 통해 모든 암호화 정책은 기본적으로 BIND 구성에서 NSEC3DSA 를 비활성화합니다.
Libreswan은 더 이상 FUTURE 및 FIPS 암호화 정책에서 SHA-1 서명 확인을 거부하지 않습니다.
이전에는 업데이트에서 4.9로 업데이트에서 Libreswan은 FUTURE 및 FIPS 암호화 정책에서 SHA-1 서명 확인을 거부했으며 authby=rsasig 또는 authby=rsa-sha1 연결 옵션을 사용하면 피어 인증이 실패했습니다. 이번 업데이트에서는 Libreswan이 crypto-policies 설정을 처리하는 방법을 완화하여 이 동작을 되돌립니다. 결과적으로 SHA-1 서명 확인을 사용하여 authby=rsasig 및 authby=rsa-sha1 연결 옵션을 사용할 수 있습니다.
crontab bash 스크립트가 잘못된 컨텍스트에서 더 이상 실행되지 않음
이전에는 에라타 RHBA-2022:7691 에 게시된 버그 수정에서 너무 일반적인 전환 규칙을 사용했습니다. 결과적으로 crontab 파일에서 실행되는 bash 스크립트는 system_cronjob_t 컨텍스트 대신 rpm_script_t 컨텍스트에서 실행되었습니다. 이번 업데이트를 통해 이제 bash 스크립트가 올바른 컨텍스트에서 실행됩니다.
SELinux-policy 에서 SAP Host Agent의 서비스 실행 지원
이전에는 SELinux 정책이 SAP Host Agent 및 기타 서비스와 상호 작용하는 insights-client 서비스를 지원하지 않았습니다. 그 결과 Red Hat Insights가 시작될 때 일부 명령이 제대로 작동하지 않았습니다. 이번 업데이트를 통해 SELinux 정책은 SAP 서비스 실행을 지원합니다. 결과적으로 Insights에서 시작된 SAP 서비스가 성공적으로 실행됩니다.
SELinux-policy 를 사용하면 pmcd 에서 개인 memfd: 오브젝트를 실행할 수 있습니다.
이전에는 SELinux 정책에서 PCP(Performance Co-Pilot) 프레임워크의 pmcd 프로세스에서 개인 메모리 파일 시스템 오브젝트(memfd:)를 실행할 수 없었습니다. 결과적으로 SELinux는 PMDA(Performance Metric Domain Agent) BPF Compiler Collection(BCC) 서비스를 거부하여 memfd: 오브젝트를 실행합니다. 이번 업데이트에서는 SELinux 정책에 pcmd 에 대한 새 규칙이 포함되어 있습니다. 결과적으로 pmcd 는 SELinux가 강제 모드에서 memfd: 오브젝트를 실행할 수 있습니다.
SELinux 정책을 사용하면 sysadm_r 에서 subscription-manager를 사용할 수 있습니다.
이전에는 sysadm_r SELinux 역할의 사용자가 subscription-manager 유틸리티의 일부 하위 명령을 실행할 수 없었습니다. 결과적으로 하위 명령은 메모리 장치를 읽지 못했습니다. 이번 업데이트에서는 sysadm_t 유형이 /dev/mem 를 읽을 수 있도록 하는 SELinux 정책에 새 규칙이 추가되었습니다. 결과적으로 subscription-manager 하위 명령이 실패하지 않습니다.
이제 Samba-dcerpcd 프로세스가 nscd에서 올바르게 작동합니다.
이전에는 SELinux 정책으로 인해 samba-dcerpcd 프로세스가 nscd 프로세스와 통신할 수 없었습니다. 결과적으로 nscd 서비스가 활성화되었을 때 samba-dcerpcd 서비스가 제대로 작동하지 않았습니다. 이번 업데이트를 통해 SELinux 정책이 samba-dcerpcd 에 대한 새 규칙으로 업데이트되었습니다.
이제 V LOCK 이 제한된 사용자에게 제대로 작동합니다.
이전에는 SELinux 정책으로 인해 제한된 사용자가 vlock 을 사용할 수 없었습니다. 결과적으로 vlock 명령이 제한된 사용자에게 제대로 작동하지 않았습니다. 이번 업데이트를 통해 제한된 사용자를 위한 새로운 규칙으로 SELinux 정책이 업데이트되었습니다.
제한된 사용자가 이제 보고된 거부 없이 로그인 가능
이전에는 SELinux 정책에서 GUI를 사용하여 SELinux 제한 사용자에 로그인하는 데 필요한 모든 권한을 허용하지 않았습니다. 그 결과 AVC 거부가 감사되었으며 dbus 또는 detect audio 와 같은 일부 서비스가 제대로 작동하지 않았습니다. 이번 업데이트를 통해 제한된 사용자를 위한 새로운 규칙으로 SELinux 정책이 업데이트되었습니다.
insights-client now has additional permissions in the SELinux policy
업데이트된 insights-client 서비스에는 이전 버전의 selinux-policy 패키지에 포함되지 않은 추가 권한이 필요합니다. 그 결과 특정 insights-client 구성 요소가 강제 모드에서 SELinux에서 올바르게 작동하지 않았으며 시스템이 AVC(Access Vector cache) 오류 메시지를 보고했습니다. 이번 업데이트에서는 SELinux 정책에 누락된 권한이 추가되었습니다. 결과적으로 insights-client 가 AVC 오류를 보고하지 않고 올바르게 작동합니다.
SELinux 정책에서 사용자 공유에 대한 iPXE 액세스를 허용합니다.
이전에는 samba-dcerpcd 프로세스가>-< 서비스와 분리되었지만 사용자 공유에 액세스할 수 없었습니다. 그 결과 CloudEvent 클라이언트 가 사용자 shares에서 파일에 액세스할 수 없었습니다. 이번 업데이트에서는 samba_enable_home_dirs 부울이 활성화된 경우 samba-dcerpcd 바이너리의 사용자 홈 콘텐츠를 관리하기 위한 SELinux 정책에 규칙을 추가합니다. 결과적으로 samba-dcerpcd 는 samba_enable_home_dirs 가 있는 경우 사용자 공유에 액세스할 수 있습니다.
이제 SELinux 정책을 통해 IPMItool이 실행될 때 제한된 관리자가 ipmi 장치에 액세스할 수 있습니다.
이전 버전에서는 SELinux 정책에서 IPMItool 유틸리티를 실행할 때 제한된 관리자가 ipmi 장치를 읽고 쓰는 것을 허용하지 않았습니다. 결과적으로 제한된 관리자가 ipmitool 을 실행할 때 실패했습니다. 이번 업데이트에서는 sysadm_r SELinux 역할에 할당된 관리자에게 allow 규칙이 selinux-policy 에 추가되었습니다. 결과적으로 제한된 관리자가 ipmitool 을 실행하면 제대로 작동합니다.
SCAP 보안 가이드 규칙 file_permissions_sshd_private_key 는 STIG 구성 RHEL-08-010490과 일치합니다.
이전 버전에서는 규칙 file_permissions_sshd_private_key 를 구현하면 모드 0644 를 사용하여 ssh_keys 그룹에서 개인 SSH 키를 읽을 수 있었지만 DISA STIG 버전 RHEL-08-010490에서는 모드 0600 이 있어야 개인 SSH 키가 필요했습니다. 그 결과 DISA의 자동화된 STIG 벤치마크와의 평가가 RHEL-08-010490 설정에 실패했습니다.
이번 업데이트에서는 개인 SSH 키에 대한 예상 권한을 조정하기 위해 DISA와 협력했으며 이제 개인 키에 모드 0644 이하의 허용 권한이 있어야 합니다. 그 결과 file_permissions_sshd_private_key 규칙 및 구성 RHEL-08-010490이 조정되었습니다.
sudo_require_reauthentication SCAP Security Guide 규칙은 sudoers에서 올바른 간격을 허용합니다.
이전 버전에서는 xccdf_org.ssgproject.content_rule_sudo_require_reauthentication 규칙을 확인하는 버그로 인해 timestamp_timeout 키와 디렉터리의 특정 간격이 필요했습니다. 결과적으로 유효한 구문과 호환 구문으로 인해 규칙이 잘못 실패했습니다. 이번 업데이트를 통해 /etc/sudoers.dxccdf_org.ssgproject.content_rule_sudo_require_reauthentication 이 동등한 기호 주변의 빈 공간을 허용하도록 업데이트되었습니다. 결과적으로 이 규칙은 다음 간격 형식 중 하나를 사용하여 timestamp_timeout 의 올바르고 준수 정의를 허용합니다.
-
defaults timestamp_timeout = 5 -
기본값은 timestamp_timeout= 5 -
기본값 timestamp_timeout =5 -
기본값 timestamp_timeout=5
이전 Kerberos 규칙이 RHEL의 새 버전에서 적용되지 않음 으로 변경되었습니다.
이전 버전에서는 RHEL 8.8의 DISA STIG 프로필과 시스템이 호환되어 있어도 FIPS 모드의 이후 시스템의 DISA STIG 프로필 검사 중에 일부 Kerberos 관련 규칙이 실패했습니다. 이는 다음 규칙으로 인해 발생했습니다.
-
xccdf_org.ssgproject.content_rule_package_krb5-server_removed -
xccdf_org.ssgproject.content_rule_package_krb5-workstation_removed -
xccdf_org.ssgproject.content_rule_kerberos_disable_no_keytab
이번 업데이트에서는 RHEL 버전 8.8 이상에는 이러한 규칙이 적용되지 않습니다. 결과적으로 검사에서 이러한 규칙에 대해 적용되지 않은 결과를 올바르게 반환합니다.
scap-security-guide STIG 프로파일에는 더 이상 /etc/audit/rules.d/11-loginuid.rules의 특정 텍스트가 필요하지 않습니다.
이전에는 RHEL 8 프로파일에서 사용된 SCAP 규칙 audit_immutable_login_uids 가 /etc/audit/rules.d/11-loginuid.rules 에 정확한 텍스트가 포함된 경우에만 전달되었습니다. 그러나 STIG 요구 사항 (RHEL-08-030122)을 충족할 필요는 없습니다. 이번 업데이트를 통해 새로운 규칙 audit_rules_immutable_login_uids 가 RHEL 8 stig 및 stig_gui 프로필에서 audit_immutable_login_uids 를 대체합니다. 결과적으로 /etc/audit/rules.d 디렉터리 내의 .rules 확장자 또는 /etc/audit/audit.rules 파일에서 모든 파일의 규칙을 충족하는 --loginuid-immutable 매개변수를 지정할 수 있습니다. auditctl 또는 augen-rules.
scap-security-guide 의 CIS 프로파일에 대한 규칙이 조정됩니다.
이전에는 일부 규칙이 CIS(Internet Security) 프로필의 특정 센터 (cis_server_l1,cis _workstation_1cis_workstation_l2)에 잘못 할당되었습니다. 결과적으로 일부 CIS 프로필에 따른 검사로 CIS 벤치마크에서 규칙을 건너뛰거나 불필요한 규칙을 확인할 수 있었습니다.
다음 규칙이 잘못된 프로필에 할당되었습니다.
-
규칙
kernel_module_udf_disabled,sudo_require_authentication및kernel_module_squashfs_disabled가 CIS Server Level 1 및 CIS Workstation Level 1에 잘못 배치되었습니다. -
규칙
package_libselinux_installed,grub2_enable_selinux,selinux_policytype,selinux_confinement_of_daemons,rsyslog_nolisten,service_systemd-journald_enabledwas missing from CIS Server Level 1 및 CIS Workstation Level 1 프로필. -
package_setroubleshoot_removed및package_mcstrans_removed가 CIS Server Level 1 프로필에서 누락되었습니다.
이번 업데이트에서는 잘못된 CIS 프로필에 규칙을 할당하지만 새로운 규칙을 도입하거나 규칙을 완전히 제거하지는 않습니다. 결과적으로 SCAP CIS 프로파일은 원래 CIS 벤치마크와 더 잘 일치합니다.
Clevis는 crypttab에서 주석 처리된 장치를 무시합니다.
이전 버전에서는 Clevis에서 crypttab 파일에서 주석 처리된 장치의 잠금을 해제하여 장치가 유효하지 않은 경우에도 clevis-luks-askpass 서비스가 실행되었습니다. 이로 인해 불필요한 서비스가 실행되어 문제를 해결하기 어려웠습니다.
이번 수정으로 Clevis는 주석 처리된 장치를 무시합니다. 이제 유효하지 않은 장치가 주석 처리되면 Clevis에서 잠금 해제를 시도하지 않고 clevis-luks-askpass.service 가 적절하게 완료됩니다. 이를 통해 보다 쉽게 문제를 해결하고 불필요한 서비스 실행을 줄일 수 있습니다.
Clevis는 더 이상 pwmake에서 너무 많은 엔트로피를 요청하지 않습니다.
이전 버전에서는 Clevis를 사용하여 LUKS 메타데이터에 데이터를 저장하기 위한 암호를 생성하는 데 pwmake 를 사용할 때 pwmake 암호 생성 유틸리티에 불필요한 경고가 표시되었습니다. 이로 인해 Clevis에서 더 낮은 엔트로피를 사용했습니다. 이번 업데이트를 통해 Clevis는 pwmake 에 제공된 256 엔트로피 비트로 제한되어 원하지 않는 경고를 제거하고 올바른 양의 엔트로피를 사용합니다.
10.0.0.1 더 이상 로그 회전에 Rsyslog 신호를 잘못 표시하지 않음
이전에는 인수 순서가 10.0.0.1 스크립트에 잘못 설정되어 구문 오류가 발생했습니다. 이로 인해 로그 순환 중에 Rsyslog를 올바르게 신호하지 않았습니다.
이번 업데이트를 통해 POSIXLY_CORRECT 환경 변수가 설정된 경우에도 로그 순환 후의 인수 순서가 수정되고, 10.0.0.1 신호 Rsyslog가 올바르게 표시됩니다.
더 이상 imklog의 버그로 인해 rsyslog가 충돌하지 않음
이전에는 imklog 모듈이 활성화되어 있고 사용 중에 잘못된 오브젝트를 사용한 free() 호출이 해제된 경우 Rsyslog에 세그먼트 오류가 발생할 수 있었습니다. 이번 업데이트를 통해 freed 오브젝트가 올바른 위치에서 할당 해제됩니다. 결과적으로 세그먼트 결함이 더 이상 발생하지 않습니다.
usbguard는 더 이상 혼란스러운 경고를 유발하지 않습니다.
이전에는 상위 프로세스가 첫 번째 하위 프로세스보다 빨리 완료되면 race condition이 USBGuard에서 발생할 수 있었습니다. 그 결과 systemd 는 잘못된 PPID(parent PID)가 있는 프로세스가 있다고 보고했습니다. 이번 업데이트를 통해 상위 프로세스는 첫 번째 하위 프로세스가 작동 모드에서 완료될 때까지 기다립니다. 결과적으로 systemd 에서 더 이상 이러한 경고를 보고하지 않습니다.
usbguard 서비스 파일에서 OOMScore를 정의하지 않음
이전에는 usbguard 서비스 파일에서 OOMScoreAdjust 옵션을 정의하지 않았습니다. 그 결과 시스템 리소스가 실행 중으로 닫힐 때 권한이 없는 프로세스 이전에 종료되는 후보로 프로세스를 확인할 수 있었습니다. 이번 업데이트를 통해 새로운 OOMScoreAdjust 설정이 usbguard.service 파일에 도입되어 usbguard 단위의 OOM 종료 프로세스를 비활성화합니다.
usbguard는 RuleFile이 정의되지 않은 경우에도 규칙을 저장합니다.
이전 버전에서는 USBGuard의 RuleFile 구성 지시문이 설정되었지만 RuleFolder 가 없는 경우 규칙 세트를 변경할 수 없었습니다. 이번 업데이트를 통해 RuleFolder가 설정되어 있지만 RuleFile이 아닌 경우에도 규칙 세트를 변경할 수 있습니다. 결과적으로 USBGuard에서 영구 정책을 수정하여 새로 추가된 규칙을 영구적으로 저장할 수 있습니다.
