지원콘솔개발자평가판 시작연락처

4.2. 보안

Opencryptoki 는 3.21.0에 기반

opencryptoki 패키지는 여러 개선 사항 및 버그 수정을 제공하는 3.21.0 버전으로 변경되었습니다. 특히 opencryptoki 는 다음 기능을 지원합니다.

  • HSM(Performance hardware security module) 마스터 키 변경
  • 선택한 키를 보호 키로 변환하는 protected-key 옵션
  • DH, DSA 및 일반 비밀 키 유형과 같은 추가 키 유형
  • EP11 호스트 라이브러리 버전 4
  • AES-XTS 키 유형
  • IBM 특정 Kyber 키 유형 및 메커니즘
  • 추가 IBM 특정 Dilithium 키 라운드 2 및 3 변형

또한 pkcsslotd 슬롯 관리자는 더 이상 root로 실행되지 않으며 opencryptoki 는 추가 강화를 제공합니다. 이번 업데이트를 통해 다음과 같은 새 명령 세트를 사용할 수도 있습니다.

p11sak set-key-attr
키를 수정하려면 다음을 수행합니다.
p11sak copy-key
키를 복사하려면 다음을 수행합니다.
p11sak import-key
키를 가져오려면 다음을 수행합니다.
p11sak export-key
키를 내보내려면

Bugzilla:2159697[1]

fapolicyd 는 문제 해결을 위한 규칙 번호를 제공합니다.

이번 개선된 기능을 통해 새로운 커널 및 감사 구성 요소를 통해 fapolicyd 서비스에서 fanotify API로 거부를 유발하는 규칙 수를 보낼 수 있습니다. 결과적으로 fapolicyd 와 관련된 문제를 보다 정확하게 해결할 수 있습니다.

Jira:RHEL-628

ANSSI-BP-028 보안 프로필이 버전 2.0으로 업데이트됨

다음 French National Agency for the Security of Information Systems (ANSSI) BP-028 프로파일이 버전 2.0과 일치하도록 업데이트되었습니다.

  • ANSSI-BP-028 최소 수준
  • ANSSI-BP-028 중간 수준
  • ANSSI-BP-028 향상된 수준
  • ANSSI-BP-028 High Level

Bugzilla:2155789

대화형 사용자 정의 개선

scap-security-guide 패키지의 규칙이 개선되어 보다 일관된 대화형 사용자 구성을 제공합니다. 이전에는 일부 규칙에서 대화형 및 비대화형 사용자를 식별하는 데 다른 접근 방식을 사용했습니다. 이번 업데이트를 통해 대화형 사용자의 정의를 통합할 수 있습니다. UID가 1000보다 크거나 같은 사용자 계정은 이제 nobodynfsnobody 계정을 제외하고 대화형으로 간주되며 로그인 쉘로 /sbin/nologin 을 사용하는 계정을 제외하고 사용합니다.

이 변경 사항은 다음 규칙에 영향을 미칩니다.

  • accounts_umask_interactive_users
  • accounts_user_dot_user_ownership
  • accounts_user_dot_group_ownership
  • accounts_user_dot_no_world_writable_programs
  • accounts_user_interactive_home_directory_defined
  • accounts_user_interactive_home_directory_exists
  • accounts_users_home_files_groupownership
  • accounts_users_home_files_ownership
  • accounts_users_home_files_permissions
  • file_groupownership_home_directories
  • file_ownership_home_directories
  • file_permissions_home_directories
  • file_permissions_home_dirs
  • no_forward_files

Bugzilla:2157877, Bugzilla:2178740

DISA STIG 프로파일은 audit_rules_login_events_faillock을 지원합니다.

이번 개선된 기능을 통해 STIG ID RHEL-08-030590을 참조하는 SCAP 보안 가이드 audit_rules_login_events_faillock 규칙이 RHEL 8의 DISA STIG 프로필에 추가되었습니다. 이 규칙은 감사 데몬이 /var/log/faillock 디렉터리에 저장된 로그인 이벤트 로그를 수정하려는 시도를 기록하도록 구성되어 있는지 확인합니다.

Bugzilla:2167999

1.3.8에 기반 OpenSCAP

OpenSCAP 패키지는 업스트림 버전 1.3.8에 따라 변경되었습니다. 이 버전은 다양한 버그 수정 및 개선 사항을 제공합니다.

  • 일부 systemd 장치를 무시하지 않도록 수정된 systemd 프로브
  • shadow OVAL 프로브에 오프라인 기능 추가
  • sysctl OVAL 프로브에 오프라인 기능 추가
  • 네트워크 파일 시스템 목록에 auristorfs 추가
  • autotailor 유틸리티에서 생성한 맞춤형 파일 문제에 대한 해결 방법이 생성되었습니다.

Bugzilla:2217441

버전 0.1.69에 기반 SCAP 보안 가이드

SCAP Security Guide (SSG) 패키지는 업스트림 버전 0.1.69로 변경되었습니다. 이 버전은 다양한 개선 사항 및 버그 수정, 특히 2022-10의 스페인 국립 암호화 센터 (National Cryptologic Center)에서 발행한 CCN-STIC-610A22 가이드의 세 수준과 일치하는 RHEL 9의 새로운 SCAP 프로파일 세 가지를 제공합니다.

  • CCN Red Hat Enterprise Linux 9 - Basic
  • CCN Red Hat Enterprise Linux 9 - Intermediate
  • CCN Red Hat Enterprise Linux 9 - 고급

Bugzilla:2221695

RHEL 8.8 이상에서 RHEL 9.2 이상으로의 FIPS 지원 인플레이스 업그레이드가 지원됩니다.

RHBA-2023:3824 권고를 릴리스하면 FIPS 모드가 활성화된 RHEL 8.8 이상 시스템으로의 인플레이스 업그레이드를 수행할 수 있습니다.

Bugzilla:2097003

crypto-policies permitted_enctypes 에서 더 이상 FIPS 모드에서 복제를 중단하지 않음

이번 업데이트 이전에는 RHEL 8에서 실행되는 IdM 서버에서 FIPS 모드에서 RHEL 9를 실행하는 IdM 복제본에 AES-256-HMAC-SHA-1 암호화 서비스 티켓을 전송했습니다. 결과적으로 기본 permitted_enctypes krb5 구성으로 FIPS 모드에서 RHEL 8 IdM 서버와 RHEL 9 IdM 복제본 간의 복제가 중단되었습니다.

이번 업데이트를 통해 permitted_enctypes krb5 구성 옵션의 값은 maccipher crypto-policy 값에 따라 달라집니다. 따라서 기본적으로 상호 운용 가능한 암호화 유형의 우선 순위를 지정할 수 있습니다.

이번 업데이트의 추가 결과로서 arcfour-hmac-md5 옵션은 LEGACY:AD-SUPPORT 하위 정책 및 aes256-cts-hmac-sha1-96 에서만 사용할 수 있습니다.

참고

Kerberos를 사용하는 경우 /etc/crypto-policies/back-ends/krb5.config 파일에서 permitted_enctypes 값의 순서를 확인합니다. 시나리오에 다른 순서가 필요한 경우 사용자 지정 암호화 하위 정책을 적용합니다.

Bugzilla:2219912

감사에서 FANOTIFY 레코드 필드 지원

이번 감사 패키지를 업데이트하면 FANOTIFY 감사 레코드 필드를 지원합니다. 감사 하위 시스템은 AUDIT_FANOTIFY 레코드에 추가 정보를 기록합니다.

  • FANOTIFY 이벤트 유형을 지정하는 FANOTIFY
  • 추가 컨텍스트 정보를 지정하는 fan_info
  • sub_trustobj_trust 는 주체 및 이벤트와 관련된 개체의 신뢰 수준을 나타냅니다.

따라서 특정 경우 감사 시스템이 액세스를 거부한 이유를 더 잘 이해할 수 있습니다. 이를 통해 fapolicyd 프레임워크와 같은 툴에 대한 정책을 작성하는 데 도움이 될 수 있습니다.

Bugzilla:2216666

QEMU 게스트 에이전트가 제한된 명령을 실행할 수 있는 새로운 SELinux 부울

이전 버전에서는 mount 와 같은 QEMU 게스트 에이전트 데몬 프로그램을 통해 제한된 컨텍스트에서 실행해야 하는 명령은 AVC(Access Vector Cache) 거부로 실패했습니다. 이러한 명령을 실행할 수 있으려면 guest-agentvirt_qemu_ga_unconfined_t 도메인에서 실행해야 합니다.

따라서 이번 업데이트에서는 guest-agent 가 다음 디렉터리에 있는 실행 파일에 대해 virt_qemu_ga_unconfined로 전환할 수 있는 SELinux 정책 부울 virt_qemu_ga_run_unconfined ed_t 를 추가합니다.

  • /etc/qemu-ga/fsfreeze-hook.d/
  • /usr/libexec/qemu-ga/fsfreeze-hook.d/
  • /var/run/qemu-ga/fsfreeze-hook.d/

또한 qemu-ga 데몬의 전환에 필요한 규칙이 SELinux 정책 부울에 추가되었습니다.

결과적으로 virt_qemu_ga_run_unconfined 부울을 활성화하여 AVC 거부 없이 QEMU 게스트 에이전트를 통해 제한된 명령을 실행할 수 있습니다.

Bugzilla:2093355

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.