8.2. 보안
이제 NFS 파일 시스템에서 부팅이 SELinux를 강제 모드로 설정된 상태에서 작동합니다.
이전 버전에서는 NFS를 루트 파일 시스템으로 사용할 때 서버에서 SELinux 레이블이 전달되지 않아 SELinux가 강제 모드로 설정된 경우 부팅 오류가 발생했습니다.
이번 수정을 통해 SELinux가 초기 SELinux 정책 로드를 지원 보안 레이블로 로드하기 전에 생성된 NFS 마운트에 올바르게 플래그를 지정하도록 수정되었습니다. 결과적으로 NFS 마운트는 이제 SELinux 레이블을 서버와 클라이언트 간에 전달하고 부팅은 SELinux를 강제 모드로 설정하여 성공할 수 있습니다.
Bugzilla:1753646[1]
USB 스마트 카드 판독기가 제거된 경우에도 자동 화면 잠금이 올바르게 작동합니다.
RHEL 8.9 이전에는 opensc 패키지가 USB 스마트 카드 리더 제거를 잘못 처리했습니다. 그 결과 스마트 카드가 제거되었을 때 화면을 잠그도록 GDM(GNOME Display Manager)이 구성된 경우에도 시스템의 잠금을 해제했습니다. 또한 USB 리더를 다시 연결한 후 스마트 카드를 제거한 후 화면이 잠겼습니다. 이번 릴리스에서는 USB 스마트 카드 리더의 제거를 처리하는 코드가 수정되었습니다. 결과적으로 스마트 카드 또는 USB 스마트 카드 판독기가 제거된 경우에도 화면이 올바르게 잠깁니다.
SCAP enable_fips_mode 규칙은 64비트 IBM Z 아키텍처에서 fips=1 만 확인합니다.
이전에는 SCAP 보안 가이드 규칙 enable_fips_mode 에서 /boot/grub2/grubenv 파일의 콘텐츠를 확인했습니다. 그 결과 64비트 IBM Z 아키텍처에서 FIPS 모드에 /boot/grub2/grubenv 파일을 사용하지 않았습니다. 이번 업데이트를 통해 OVAL 규칙 enable_fips_mode 는 이제 64비트 IBM Z 아키텍처의 /boot/loader/entries/.*.conf 파일에 Linux 커널의 fips=1 인수가 있는지 테스트합니다.
SCAP journald 규칙이 더 이상 잘못된 구성으로 수정되지 않음
이전에는 SCAP 보안 가이드 규칙 journald_compress,journald_forward_to_syslog 및 journald_storage 에 /etc/systemd/journald.conf 구성 파일 내의 각 옵션에 추가 따옴표를 추가하는 수정 스크립트에 버그가 포함되었습니다. 결과적으로 journald 서비스가 구성 옵션을 구문 분석하지 못하고 무시했습니다. 따라서 구성 옵션이 적용되지 않았으며 OpenSCAP에서 false pass 결과를 보고했습니다. 이번 업데이트를 통해 추가 따옴표를 추가하지 않도록 규칙 및 수정 스크립트가 수정되었습니다. 이제 규칙이 journald 에 유효한 구성을 생성합니다.
이제 보안 프로필을 사용하여 이미지를 구성할 수 있습니다.
마운트 지점 옵션을 구성하는 SCAP 보안 가이드 규칙이 재작업되었으며 이미지 빌더에 운영 체제 이미지를 빌드할 때 이미지를 강화하는 데도 사용할 수 있습니다. 결과적으로 특정 보안 프로필에 맞게 파티션 구성을 사용하여 이미지를 빌드할 수 있습니다.
AIDE 구성과 관련된 SSG 규칙에서 엄격한 요구 사항 제거
이전에는 SCAP 보안 가이드(SSG) 규칙 aide_build_database 가 전달하려면 /var/lib/aide/aide.db.new.gz 및 /var/lib/aide/aide.db.gz 파일이 있어야 했습니다. AIDE 유틸리티에는 /var/lib/aide/aide.db.new.gz 파일이 필요하지 않기 때문에 이번 업데이트에서는 aide_build_database 규칙에서 해당 요구 사항이 제거되었습니다. 결과적으로 규칙에는 /var/lib/aide/aide.db.gz 파일만 전달해야 합니다.
또한 SCAP 보안 가이드 규칙 aide_periodic_cron_checking 은 /etc/cron.daily 및 /etc/cron.weekly 파일의 항목에 대해 덜 엄격하게 실행됩니다. 이제 규칙을 준수하는 동안 추가 래퍼를 사용하여 aide --check 명령을 예약할 수 있습니다.
pam_faillock 과 관련된 SCAP 규칙에는 올바른 설명이 있습니다.
이전에는 pam_faillock 과 관련된 SCAP 보안 가이드 규칙에 일부 프로필 값과 잘못 정렬된 설명이 포함되어 있었습니다. 그 결과 설명이 올바르지 않았습니다. 이번 업데이트를 통해 이제 규칙 설명에서 XCCDF 변수를 사용합니다.
이 변경 사항은 다음 규칙에 영향을 미칩니다.
-
accounts_passwords_pam_faillock_deny -
accounts_passwords_pam_faillock_interval -
accounts_passwords_pam_faillock_dir -
accounts_passwords_pam_faillock_unlock_time
/boot/efi 가 마운트될 때 file_permissions_efi_user_cfg SCAP 규칙이 더 이상 실패하지 않음
이전에는 UEFI 파일의 기본 권한이 허용되지 않았습니다. 따라서 /boot/efi 파티션이 VFAT(가상 파일 할당 테이블) 파일 시스템을 사용한 경우 chmod 명령으로 권한을 변경할 수 없었습니다. 결과적으로 file_permissions_efi_user_cfg 규칙이 실패했습니다. 이번 업데이트에서는 기본 권한이 0600 에서 0700 으로 변경됩니다. CIS에서 0700 권한을 허용하기 때문에 이제 CIS 프로필과 평가 및 수정이 더 적합합니다.
SSG 수정은 이제 configure_openssl_cryptopolicy에 맞게 조정됨
이전에는 SCAP Security Guide (SSG) 수정을 통해 opensslcnf.config 파일에 = 문자를 추가했습니다. 이 구문 dit가 configure_openssl_cryptopolicy 규칙에 대한 설명과 일치하지 않습니다. 결과적으로 opensslcnf.config 에 .include 대신 .include = 삽입된 수정 후 규정 준수 검사가 실패할 수 있습니다. 이번 릴리스에서는 수정 스크립트가 규칙 설명과 일치하며 configure_openssl_cryptopolicy 를 사용하는 SSG 수정은 더 이상 추가 = 이므로 실패하지 않습니다.
postfix_prevent_unrestricted_relay 규칙은 = 기호 주위에 공백을 허용합니다.
이전에는 SCAP 규칙 xccdf_org.ssgproject.content_rule_ Cryostat_prevent_unrestricted_relay 의 OVAL 검사는 너무 엄격하게 수행되었으며 = 기호 주위에 포함된 postconf 구성 할당 문을 고려하지 않았습니다. 결과적으로 최종 보고서에서는 기술적으로 규칙의 요구 사항을 충족하는 구성에서도 이 규칙을 실패로 보고했습니다. 이번 업데이트를 통해 검사에서 = 기호 주위에 공백이 있는 문을 허용하도록 규칙이 수정되었습니다. 결과적으로 최종 보고서 규칙은 이 규칙을 올바른 구성 문을 전달하는 것으로 표시합니다.
SCAP 규칙은 /var/log 및 /var/ 파티션이 존재하는지 여부를 올바르게 평가합니다.log /audit
이전 버전에서는 /var/log 및 /var/ 파티션과 관련된 일부 SCAP 규칙이 평가되고 적절한 디스크 파티션이 없는 경우에도 수정되었습니다. 이는 다음 규칙에 영향을 미칩니다.
log /audit
-
mount_option_var_log_audit_nodev -
mount_option_var_log_audit_noexec -
mount_option_var_log_audit_nosuid -
mount_option_var_log_nodev -
mount_option_var_log_noexec -
mount_option_var_log_nosuid
그 결과 /var/log 또는 /var/ 가 개별 파티션의 마운트 지점이 아닌 경우에도 이러한 규칙이 평가되고 최종 보고서에서 실패로 잘못 보고되었습니다. 이번 업데이트에서는 /var/log 또는 log /audit/var/ 가 개별 파티션의 마운트 지점인지 여부를 확인하기 위해 적용 가능 검사를 추가합니다. 결과적으로 디렉터리가 개별 파티션의 마운트 지점을 마운트하지 않고 최종 보고서에서 log /audit적용 가능한 규칙으로 표시되는 경우 구성에서 규칙이 평가되지 않습니다.
SCAP 규칙 accounts_passwords_pam_faillock_interval 에서 새 STIG ID를 다룹니다.
이전에는 SCAP 보안 가이드 규칙 accounts_passwords_pam_faillock_interval 에는 RHEL-08-020012 및 RHEL-08-020013이 포함되지 않았습니다. 결과적으로 accounts_passwords_pam_ 규칙에서는 faillock _interval/etc/pam.d/password-auth,/etc/pam.d/system-auth, /etc/security/faillock.conf 의 세 가지 파일 모두에서 faillock 설정을 확인했습니다. 이번 업데이트를 통해 이제 규칙에서 STIG ID RHEL-08-020012 및 RHEL-08-020013에 적용됩니다.
Red Hat CVE 피드 업데이트
Red Hat Common Vulnerabilities and Exposures (CVE) 피드 버전 1은 선포되어 https://access.redhat.com/security/data/oval/v2/ 에 있는 CVE 피드의 버전 2로 교체되었습니다. https://access.redhat.com/security/data/oval/
결과적으로 scap-security-guide 패키지에서 제공하는 SCAP 소스 데이터 스트림의 링크가 새 버전의 Red Hat CVE 피드에 연결되도록 업데이트되었습니다.
제한된 리소스에 액세스할 때 wget 유틸리티가 더 이상 TLS 핸드셰이크에 실패하지 않음
이전 버전에서는 TLS에서 티켓 기반 세션 재개가 활성화된 경우 서버가 클라이언트를 다시 인증하여 제한된 리소스에 액세스하도록 다시 인증한 경우에도 wget 유틸리티에서 TLS 세션을 다시 시작할 것으로 예상했습니다. 이 동작으로 인해 wget 이 두 번째 TLS 핸드셰이크에 실패합니다. 이번 업데이트를 통해 wget 은 새 핸드셰이크를 올바르게 시작하고 제한된 리소스에 대한 액세스는 더 이상 실패하지 않습니다.
pam_cap 의 설정이 SELinux 지원 시스템에 올바르게 적용됨
이전에는 SELinux 정책에 pam_cap 모듈 사용에 대한 규칙이 포함되지 않았습니다. 결과적으로 ssh 또는 콘솔을 사용하여 로그인한 사용자가 로그인할 때 pam_cap 에서 제어하는 로그인 기능을 /etc/security/capability.conf 구성 파일의 사용자에게 부여하지 못했습니다. 이번 업데이트에서는 정책에 새 규칙이 추가되었습니다. 결과적으로 /etc/security/capability.conf 에 기능을 부여하면 로그인할 때 pam_cap 으로 구성된 사용자 기능이 고려됩니다.
이제 systemd-fsck-root 서비스가 SELinux 지원 시스템에 올바르게 레이블이 지정됩니다.
이전에는 /run/fsck 디렉터리가 systemd-fsck-root 서비스 또는 fsck 명령으로 생성되었지만 SELinux 정책에 디렉터리 레이블 지정에 대한 규칙이 포함되지 않았습니다. 그 결과 systemd-fsck-root 서비스가 제대로 작동하지 않았습니다. 이번 업데이트를 통해 /run/fsck 의 올바른 레이블 및 파일 전환이 정책에 추가되었습니다. 결과적으로 systemd-fsck-root 서비스는 오류를 보고하지 않고 작동합니다.
Bugzilla:2184348[1]
SELinux 정책에서 D-Bus에서 양방향 통신을 허용
이전에는 SELinux 정책에 D-Bus 메시지 버스 시스템에서 두 도메인 간에 단방향 통신만 허용하는 규칙이 포함되어 있었습니다. 그러나 이러한 통신은 두 방향 모두에서 허용되어야 합니다. 이는 Pacemaker 고가용성 클러스터 리소스 관리자가 hostnamectl 또는 timedatectl 명령을 실행한 경우에도 발생했습니다. 결과적으로 SELinux가 차단했기 때문에 D-Bus에서 응답을 수신하지 않고 Pacemaker에서 실행하는 이러한 명령이 시간 초과되었습니다. SELinux 정책에 대한 이번 업데이트에서는 D-Bus에서 양방향 통신을 허용합니다. 결과적으로 Pacemaker에서 실행되는 D-Bus에서 양방향 통신이 필요한 명령이 성공적으로 완료됩니다.
tangd-keygen 이제 기본이 아닌 GPO를 올바르게 처리
이전에는 tangd-keygen 스크립트에서 생성된 키 파일의 파일 권한을 변경하지 않았습니다. 결과적으로 기본 사용자 파일 생성 모드 마스크(undercloud )가 있는 시스템에서 tang-show-keys 명령은 키를 표시하는 대신 Internal Error 500 오류 메시지를 반환했습니다. 이번 업데이트를 통해 tangd-keygen 은 생성된 키 파일에 대한 파일 권한을 설정하므로 이제 스크립트가 기본이 아닌 Cryostat 가 있는 시스템에서 올바르게 작동합니다.
Clevis에서 SHA-256 지문 처리
이번 업데이트 이전에는 Clevis 클라이언트가 thp 구성 옵션을 통해 지정된 SHA-256 지문을 인식하지 못했습니다. 결과적으로 클라이언트는 SHA-256 지문을 사용하는 Tang 서버에 바인딩하지 않았으며 해당 clevis encrypt tang 명령은 오류를 보고했습니다. 이번 업데이트를 통해 Clevis는 SHA-256을 사용하여 지문을 인식하고 올바르게 처리합니다. 결과적으로 Clevis 클라이언트는 SHA-1을 사용하여 Tang 서버뿐만 아니라 SHA-256 지문에도 바인딩할 수 있습니다.
rsyslog는 기능 없이도 시작할 수 있습니다.
Rsyslog가 일반 사용자 또는 컨테이너화된 환경에서 실행되는 경우 rsyslog 프로세스에는 기능이 없습니다. 결과적으로 이 시나리오의 Rsyslog는 기능을 드롭하고 시작 시 종료할 수 없었습니다. 이번 업데이트를 통해 기능이 없는 경우 프로세스는 더 이상 기능을 삭제하려고 시도하지 않습니다. 결과적으로 Rsyslog는 기능이 없는 경우에도 시작할 수 있습니다.
Jira:RHELPLAN-160541[1]
fapolicyd 서비스는 신뢰할 수 있는 데이터베이스에서 제거된 프로그램을 더 이상 실행하지 않음
이전에는 fapolicyd 서비스에서 신뢰할 수 있는 데이터베이스에서 제거된 후에도 프로그램을 신뢰할 수 있는 것으로 잘못 처리했습니다. 그 결과 fapolicyd-cli --update 명령을 입력하지 않았으며 프로그램이 제거된 후에도 실행할 수 있었습니다. 이번 업데이트를 통해 fapolicyd-cli --update 명령은 신뢰할 수 있는 프로그램 데이터베이스를 올바르게 업데이트하고 제거된 프로그램을 더 이상 실행할 수 없습니다.
fapolicyd 서비스는 올바른 소유권으로 RPM 데이터베이스 파일을 생성합니다.
이전에는 fapolicyd 서비스가 /var/lib/rpm/ 디렉터리에 RPM 데이터베이스 파일을 생성하고 소유했습니다. 그 결과 다른 프로그램에서 파일에 액세스할 수 없어 가용성 제어 오류가 발생했습니다. 이번 업데이트를 통해 fapolicyd 는 올바른 소유권을 가진 파일을 생성하고 더 이상 오류가 발생하지 않습니다.
