4.6. 보안
FIPS 모드에서는 FIPS 140-3을 대상으로 하는 더 안전한 설정이 있습니다.
커널의 FIPS 모드 설정은 FIPS(Federal Information Processing Standard) 140-3을 준수하도록 조정되었습니다. 이러한 변경으로 인해 많은 암호화 알고리즘, 함수 및 암호화 제품군에 더 엄격한 설정이 도입되었습니다. 특히:
- Triple Data Encryption Standard (3DES), Elliptic-curve Diffie-Hellman (ECDH), Finite-Field Diffie-Hellman (FFDH) 알고리즘은 이제 비활성화되어 있습니다. 이 변경 사항은 커널 키링의 Bluetooth, DH 관련 작업 및 QAT(Intel QuickAssist Technology) 암호화 가속기에 영향을 미칩니다.
- 해시 기반 메시지 인증 코드(HMAC) 키는 이제 112비트보다 짧을 수 없습니다. 최소 키 길이는 Rivest-Shamir-Adleman (RSA) 알고리즘의 경우 2048 비트로 설정됩니다.
-
대신
xts_check_key()함수를 사용하는 드라이버가xts_verify_key()함수를 사용하도록 업데이트되었습니다. - 이제 다음의 DRBG(Deterministic Random Bit Generator) 해시 기능이 비활성화되었습니다. SHA-224, SHA-384, SHA512-224, SHA3-224, SHA3-224, SHA3-384.
FIPS 모드에서 RHEL 8.6 (및 최신) 커널은 FIPS 140-3을 준수하도록 설계되었지만 NIST (National Institute of Standards and Technology) Cryptographic Module Validation Program (CMVP)의 인증을 받지 않았습니다. 최신 인증된 커널 모듈은 RHSA-2021:4356 권고 업데이트 후 업데이트된 RHEL 8.5 커널입니다. 해당 인증은 FIPS 140-2 표준에 적용됩니다. 암호화 모듈이 FIPS 140-2 또는 140-3를 준수하는지 여부를 선택할 수 없습니다. 자세한 내용은 Compliance Activities and Government Standards: FIPS 140-2 및 FIPS 140-3 Knowledgebase 문서를 참조하십시오.
Bugzilla:2107595, Bugzilla:2158893, Bugzilla:2175234, Bugzilla:2166715, Bugzilla:2129392, Bugzilla:2152133
libreswan은 4.9로 다시 설정
libreswan 패키지가 4.9 버전으로 업그레이드되었습니다. 이전 버전의 주요 변경 사항은 다음과 같습니다.
-
addconn및whack유틸리티에{left,right}pubkey=에 대한 지원이 추가되었습니다. - 추가 키 파생 기능 (KDF) 자체 테스트
-
seccomp필터에 대해 허용된 시스템 호출의 업데이트된 목록 호스트의 인증 키 표시(
showhostkey).- Elliptic Curve Digital Signature Algorithm (ECDSA) has been supported for Elliptic Curve Digital Signature Algorithm (ECDSA)
-
개인 정보 보호 강화 mail(PEM)으로 인코딩된 공개 키를 출력하기 위해
--pem옵션을 추가했습니다.
인터넷 키 교환 프로토콜 버전 2 (IKEv2):
- 확장 가능한 인증 프로토콜 - 전송 계층 보안 (EAP-TLS) 지원
- EAP 전용 인증 지원
- 라벨이 지정된 IPsec 개선 사항
PlutoInternet Key Exchange (IKE) 데몬:-
maxbytes및maxpacket카운터 지원 -
replay-window의 기본값 변경 32에서 128로 변경 -
esn=의 기본값을 yes로변경하고기본 값을yes로 변경 -
replay-window=이0으로 설정된 경우 비활성화됨 -
crypto-low와 같은 사용되지 않는 디버그 옵션 삭제
-
Bugzilla:2128672
SELinux가 udftools제한
이 selinux-policy 패키지 업데이트와 함께 SELinux는 udftools 서비스를 제한합니다.
Bugzilla:1972230
systemd-socket-proxyd의 새로운 SELinux 정책
systemd-socket-proxyd 서비스에는 특정 리소스 사용이 필요하므로 필요한 규칙이 있는 새 정책이 selinux-policy 패키지에 추가되었습니다. 결과적으로 서비스는 SELinux 도메인에서 실행됩니다.
OpenSCAP이 1.3.7로 재기반
OpenSCAP 패키지는 업스트림 버전 1.3.7로 변경되었습니다. 이 버전은 다양한 버그 수정 및 개선 사항을 제공합니다.
- OVAL 필터를 처리할 때 발생하는 오류 수정 (rhbz#2126882)
-
gRPC가 일치하지 않는 경우 OpenSCAP에서 잘못된 빈
xmlfilecontent항목을 더 이상 내보내지 않습니다(rhbz#2139060). -
사용 가능한 메모리 오류를 확인하지 못했습니다(rhbz#2111040)
Rsyslog 로그 파일에 대한 SCAP -security-guide 규칙은 RainerScript와 호환됩니다.
Rsyslog 로그 파일의 소유권 확인 및 수정, 그룹 소유권 및 권한에 대한 scap-security-guide 의 규칙은 이제 RainerScript 구문을 사용하여 정의한 로그 파일과도 호환됩니다. 최신 시스템에서는 Rsyslog 구성 파일에서 RainerScript 구문을 이미 사용하고 있으며 해당 규칙은 이 구문을 인식하지 못했습니다. 결과적으로 scap-security-guide 규칙은 이제 사용 가능한 두 구문에서 소유권, 그룹 소유권 및 권한을 확인하고 수정할 수 있습니다.
STIG 보안 프로파일이 버전 V1R9로 업데이트
SCAP 보안 가이드의 DISA STIG for Red Hat Enterprise Linux 8 프로파일이 최신 버전 V1R9 와 일치하도록 업데이트되었습니다. 이 릴리스에는 V1R8 에 게시된 변경 사항도 포함되어 있습니다.
이전 버전은 더 이상 유효하지 않기 때문에 이 프로필의 현재 버전만 사용합니다.
다음 STIG ID가 업데이트되었습니다.
V1R9
-
rhel-08-010359 - 선택한 규칙
aide_build_database -
rhel-08-010510 - Removed 규칙
sshd_disable_compresssion - RHEL-08-020040 - tmux 키 바인딩을 구성하는 새로운 규칙
-
RHEL-08-020041 -
exectmux대신 tmux 시작을 구성하는 새로운 규칙
-
rhel-08-010359 - 선택한 규칙
V1R8
-
여러 STIG ID -
sshd및sysctl규칙이 중복 또는 충돌하는 구성을 식별하고 제거할 수 있습니다. -
RHEL-08-010200 - SSHD ClientAliveCountMax는 값
1로 구성됩니다. -
RHEL-08-020352 - 확인 및 수정에서
.bash_history가 무시됩니다. -
rhel-08-040137 -
/etc/fapolicyd/fapolicyd.rules및/etc/fapolicyd/complied.rules를 모두 검사하도록 업데이트되었는지 확인합니다.
-
여러 STIG ID -
자동 수정으로 인해 시스템이 작동하지 않을 수 있습니다. 먼저 테스트 환경에서 수정을 실행합니다.
RHEL 8 STIG 프로파일이 벤치마크와 더 잘 일치됩니다.
RHEL 8 STIG 요구 사항을 충족하는 기존 규칙 4개가 데이터 스트림의 일부였지만 이전에는 STIG 프로필(stig 및 stig_gui)에 포함되지 않았습니다. 이번 업데이트를 통해 이제 프로필에 다음 규칙이 포함됩니다.
-
accounts_passwords_pam_faillock_dir -
accounts_passwords_pam_faillock_silent -
account_password_selinux_faillock_dir -
fapolicy_default_deny
결과적으로 RHEL 8 STIG 프로필은 더 높은 범위를 갖습니다.
SCAP 보안 가이드 0.1.66으로 업데이트
SCAP Security Guide (SSG) 패키지는 업스트림 버전 0.1.66으로 변경되었습니다. 이 버전은 다양한 개선 사항 및 버그 수정을 제공합니다.
- 업데이트된 RHEL 8 STIG 프로필
-
account_passwords_pam_faillock_audit는accounts_passwords_pam_faillock_audit를 사용합니다.
OpenSSL 드라이버는 Rsyslog에서 인증서 체인을 사용할 수 있습니다.
NetstreamDriverCaExtraFiles 지시문에서는 여러 개의 추가 CA(인증 기관) 파일을 구성할 수 있습니다. 이번 업데이트를 통해 여러 CA 파일을 지정할 수 있으며 OpenSSL 라이브러리는 SSL 인증서 체인에 필요한 CA 파일을 검증할 수 있습니다. 따라서 Rsyslog의 인증서 체인을 OpenSSL 드라이버와 함께 사용할 수 있습니다.
Opencryptoki rebased to 3.19.0
opencryptoki 패키지는 많은 개선 사항 및 버그 수정을 제공하는 3.19.0 버전으로 변경되었습니다. 특히 opencryptoki 는 다음과 같은 기능을 지원합니다.
- IBM 특정 dilithium 키
- 듀얼 기능 암호화 함수
-
PKCS #11 cryptographic Token Interface Base Specification v3.0에 설명된 대로 새로운
C_SessionCancel함수를 사용하여 활성 세션 기반 작업 취소 -
CKM_IBM_ECDSA_OTHER메커니즘을 통해 Schnorr 서명 -
CKM_IBM_B Cortex_DERIVE메커니즘을 통한 NetworkPolicy 키 파생 - IBM z16 시스템의 EP11 토큰
Bugzilla:2110315
유휴 세션 종료를 위한 새로운 SCAP 규칙
새로운 SCAP 규칙 logind_session_timeout 이 강화 및 높은 수준의 ANSSI-BP-028 프로파일의 scap-security-guide 패키지에 추가되었습니다. 이 규칙은 systemd 서비스 관리자의 새로운 기능을 사용하고 특정 시간 후에 유휴 사용자 세션을 종료합니다. 이 규칙은 여러 보안 정책에 필요한 강력한 유휴 세션 종료 메커니즘의 자동 구성을 제공합니다. 결과적으로 OpenSCAP은 유휴 사용자 세션 종료와 관련된 보안 요구 사항을 자동으로 확인하고 필요한 경우 문제를 해결할 수 있습니다.
fapolicyd에서 RPM 데이터베이스 필터링 제공
새로운 구성 파일 /etc/fapolicyd/rpm-filter.conf 를 사용하면 fapolicyd 소프트웨어 프레임워크가 trust 데이터베이스에 저장하는 RPM-database 파일 목록을 사용자 지정할 수 있습니다. 이렇게 하면 RPM에서 설치한 특정 애플리케이션을 차단하거나 기본 구성 필터에서 애플리케이션을 거부하도록 허용할 수 있습니다.
