4.7. 보안
시스템 전체 암호화 정책은 더 안전합니다.
이번 업데이트를 통해 최신 보안 기본값을 제공하도록 시스템 전체 암호화 정책이 조정되었습니다.
- 모든 정책에서 TLS 1.0, TLS 1.1, DTLS 1.0, RC4, Camellia, DSA, 3DES, FFDHE-1024를 비활성화했습니다.
- LEGACY에서 최소 RSA 키 크기 및 최소 Diffie-Hellman 매개변수 크기를 늘립니다.
- SHA-1을 사용하는 TLS 및 SSH 알고리즘은 해시 기반 메시지 인증 코드(HMAC)에서 SHA-1을 사용합니다.
시나리오에서 일부 비활성화된 알고리즘 및 암호를 활성화해야 하는 경우 사용자 지정 정책 또는 하위 정책을 사용합니다.
(BZ#1937651)
RHEL 9는 OpenSSL 3.0.1을 제공합니다.
RHEL 9는 업스트림 버전 3.0.1의 openssl 패키지를 제공하며 여기에는 이전 버전에 비해 많은 개선 사항 및 버그 수정이 포함되어 있습니다. 주요 변경 사항은 다음과 같습니다.
- 새 공급자 개념을 추가했습니다. 공급자는 알고리즘 모음이며 다양한 애플리케이션에 대해 다양한 공급자를 선택할 수 있습니다.
- 다음 형식으로 새 버전 관리 체계를 도입했습니다. <major>.<minor>.<patch>.
- 인증서 관리 프로토콜(CMP, RFC 4210), 인증서 요청 메시지 형식(CRMF) 및 HTTP 전송(RFC 6712)에 대한 지원이 추가되었습니다.
- GET 및 POST, 리디렉션, 일반 및 ASN.1-encoded 콘텐츠, 프록시 및 시간 초과를 지원하는 HTTP(S) 클라이언트를 도입했습니다.
- 새로운 Key Derivation Function API (EVP_KDF) 및 Message Authentication Code API (EVP_MAC)가 추가되었습니다.
-
enable-ktls구성 옵션으로 컴파일을 통해 Linux Kernel TLS(KTLS) 지원이 추가되었습니다. - CAdES-BES 서명 확인 지원이 추가되었습니다.
- CMS API에 CAdES 서명 스키마 및 속성 지원(RFC 5126)이 추가되었습니다.
예를 들면 다음과 같은 새로운 알고리즘에 대한 지원이 추가되었습니다.
- KDF 알고리즘 "SINGLE" 및 "SSH".
- MAC 알고리즘 "GMAC" 및 "KMAC".
- KEM 알고리즘 "RSASVE".
- 암호화 알고리즘 "AES-SIV"
- AES_GCM를 사용하여 AuthEnvelopedData 콘텐츠 유형 구조(RFC 5083)를 추가했습니다.
-
PKCS12_create()함수를 사용하여 PKCS #12 생성의 기본 알고리즘이 최신 PBKDF2 및 AES 기반 알고리즘으로 변경되었습니다. - 새 일반 추적 API를 추가했습니다.
OpenSSL에 공급자 포함
RHEL 9에 포함된 버전 3.0.1의 OpenSSL 툴킷은 공급자 개념을 추가했습니다. 공급자는 알고리즘 모음이며 다양한 애플리케이션에 대해 다양한 공급자를 선택할 수 있습니다. OpenSSL에는 현재 기본 공급자인 기본 , ,기본 fips,legacy, null 이 포함되어 있습니다.
기본적으로 OpenSSL은 RSA, DSA, DH, CAMELLIA, SHA-1 및 SHA-2와 같이 일반적으로 사용되는 알고리즘을 포함하는 기본 공급자를 로드하고 활성화합니다.
FIPS 플래그가 커널에 설정되면 OpenSSL은 FIPS 공급자를 자동으로 로드하고 FIPS 승인 알고리즘만 사용합니다. 따라서 OpenSSL을 FIPS 모드로 수동으로 전환할 필요가 없습니다.
시스템 수준에서 다른 공급자로 변경하려면 openssl.cnf 구성 파일을 편집합니다. 예를 들어 시나리오에 레거시 공급자를 사용해야 하는 경우 해당 섹션의 주석을 제거합니다.
공급자를 명시적으로 활성화하면 기본 공급자의 암시적 활성화가 재정의되고 예를 들어 OpenSSH 제품군에서 시스템에 원격으로 액세스할 수 없게 될 수 있습니다.
각 공급자에 포함된 알고리즘에 대한 자세한 내용은 관련 도움말 페이지를 참조하십시오. 예를 들어 기존 공급자에 대한 OSSL_PROVIDER-legacy(7) 도움말 페이지입니다.
OpenSSL random bit 생성기가 CPACF 지원
openssl 패키지 릴리스에서는 OpenSSL NIST SP800-90A 호환 AES 기반 AES(DRBG)의 CP Cryptographic Functions(CPACF)에 대한 지원이 추가되었습니다.
(BZ#1871147)
OpenSSL-spkac 은 이제 SHA-1 및 SHA-256로 서명된 SPKAC 파일을 만들 수 있습니다.
openssl-spkac 유틸리티에서 이제 MD5와 다른 해시로 서명된SPKAC(공개 키 및 챌린지) 파일을 만들 수 있습니다. 이제 SHA-1 및 SHA-256 해시로 서명된 SPKAC 파일을 생성하고 확인할 수 있습니다.
RHEL 9 provides openCryptoki 3.17.0
RHEL 9는 openCryptoki 버전 3.17.0과 함께 배포됩니다. 주요 버그 수정 및 버전 3.16.0에 대한 개선 사항은 다음과 같습니다.
-
p11sak유틸리티는 키를 나열하는 새로운 기능을 추가합니다. openCryptoki는 다음을 지원합니다.- OpenSSL 3.0.
- 이벤트 알림.
- ICA 토큰의 소프트웨어 대체
- 하드웨어 암호화 어댑터가 활성화되면 WebSphere Application Server가 더 이상 시작되지 않습니다.
RHEL 9에는 RHEL에 고유한 추가 패치가 포함된 OpenSSL이 포함되어 있습니다. 시스템이 Federal Information Processing Standards (FIPS) 모드에 있는 경우 OpenSSL은 FIPS 공급자 및 기본 공급자를 자동으로 로드하여 애플리케이션이 FIPS 공급자를 사용하도록 강제 적용합니다. 따라서 RHEL 9의 openCryptoki 동작은 업스트림과 다릅니다.
- 승인되지 않은 메커니즘이 여전히 사용 가능한 것으로 표시되더라도, OpenSSL의 크립토 작업(soft 토큰 및 ICA 토큰 소프트웨어 대체) 구현에 의존하는 토큰은 이제 FIPS 승인 메커니즘만 지원합니다.
openCryptoki는 두 가지 다른 토큰 데이터 형식, 즉 비FIPS 승인 알고리즘(예: DES 및 SHA1)을 사용하는 이전 데이터 형식과 FIPS 승인 알고리즘만 사용하는 새로운 데이터 형식을 지원합니다.FIPS 공급자는 FIPS 승인 알고리즘만 사용할 수 있으므로 이전 데이터 형식이 더 이상 작동하지 않습니다.
중요RHEL 9에서
openCryptoki를 작동하려면 시스템에서 FIPS 모드를 활성화하기 전에 새 데이터 형식을 사용하도록 토큰을 마이그레이션합니다. 이전 데이터 형식이openCryptoki 3.17의 기본값이므로 이 작업이 필요합니다. 이전 토큰 데이터 형식을 사용하는 기존openCryptoki설치는 시스템을 FIPS 사용이 변경될 때 더 이상 작동하지 않습니다.openCryptoki와 함께 제공되는pkcstok_migrate유틸리티를 사용하여 토큰을 새 데이터 형식으로 마이그레이션할 수 있습니다.pkcstok_migrate는 마이그레이션 중에FIPS가 승인되지 않은 알고리즘을 사용합니다. 따라서 시스템에서 FIPS 모드를 활성화하기 전에 이 툴을 사용합니다. 자세한 내용은 FIPS 준수 마이그레이션 - pkcstok_migrate 유틸리티를 참조하십시오.
(BZ#1869533)
GnuTLS 버전 3.7.3으로 제공
RHEL 9에서는 업스트림 버전 3.7.3으로 gnutls 패키지가 제공됩니다. 이는 이전 버전에 비해 많은 개선 사항 및 버그 수정을 제공합니다.
- FIPS 140-3 명시적인 지표를 위한 API를 도입했습니다.
- PKCS#12 파일을 내보낼 수 있는 강화된 기본값입니다.
- 초기 데이터의 고정 타이밍 (0 라운드트 데이터, 0-RTT) 교환.
-
certutil툴은 CSR(인증서 서명 요청)에 서명할 때 인증 기관(CA)에서 더 이상 CRL(Certificate Revocation List) 배포 지점을 상속하지 않습니다.
(BZ#2033220)
RHEL 9에서 NSS 3.71 제공
RHEL 9는 NSS(Network Security Services) 라이브러리 버전 3.71과 함께 배포됩니다. 주요 변경 사항은 다음과 같습니다.
- 레거시 DBM 데이터베이스 형식에 대한 지원이 완전히 제거되었습니다. NSS는 RHEL 9에서 SQLite 데이터베이스 형식만 지원합니다.
- PKCS #12 암호화 암호는 이제 PBE-SHA1-RC2-40 및 PBE-SHA1-2DES 대신 PBKDF2 및 SHA-256 알고리즘과 함께 AES-128-CBC를 사용합니다.
NSS는 1023비트보다 짧은 RSA 키를 더 이상 지원하지 않습니다.
NSS(Network Security Services) 라이브러리의 업데이트는 모든 RSA 작업의 최소 키 크기를 128에서 1023비트로 변경합니다. 즉, NSS는 더 이상 다음 기능을 수행하지 않습니다.
- RSA 키는 1023bit 미만의 비트를 생성합니다.
- RSA 키가 1023비트보다 짧은 경우 RSA 서명을 서명하거나 확인합니다.
- 1023비트보다 짧은 RSA 키를 사용하여 값을 암호화하거나 해독합니다.
OpenSSH에서 RSA 키 비트 길이 옵션 최소
짧은 RSA 키를 실수로 사용하면 시스템이 공격에 더 취약해질 수 있습니다. 이번 업데이트를 통해 OpenSSH 서버 및 클라이언트에 대해 RSA 키 최소 비트 길이를 설정할 수 있습니다. RSA 키 길이를 최소화하려면 OpenSSH 서버의 /etc/ssh/sshd_config 파일 및 OpenSSH 클라이언트의 /etc/ssh/ssh_config 파일에서 새 RSAMinSize 옵션을 사용합니다.
OpenSSH는 8.7p1에서 배포됩니다.
RHEL 9에는 버전 8.7p1에 OpenSSH 가 포함되어 있습니다. 이 버전은 RHEL 8.5에 배포된 OpenSSH 버전 8.0p1에 비해 많은 개선 사항 및 버그 수정을 제공합니다.
새로운 기능
이전에 사용된 SCP/RCP 프로토콜 대신 SFTP 프로토콜을 사용한 전송 지원. SFTP는 보다 예측 가능한 파일 이름 처리를 제공하며 원격 측의 쉘에 의해 glob(3) 패턴의 확장이 필요하지 않습니다.
SFTP 지원은 기본적으로 활성화되어 있습니다. 사용자의 시나리오에서 SFTP를 사용할 수 없거나 호환되지 않는 경우
-O플래그를 사용하여 원래 SCP/RCP 프로토콜을 강제로 사용할 수 있습니다.-
file/function/line 패턴 목록을 통해 최대 디버그 로깅을 강제 적용할 수 있는
LogVerbose구성 지시문. -
새로운
sshd_configPerSourceMaxStartups및PerSourceNetBlockSize지시문을 사용하여 클라이언트 주소 기반 속도 제한. 이는 글로벌MaxStartups제한보다 더 세밀한 제어를 제공합니다. -
HostbasedAcceptedAlgorithms키워드는 이제 키 유형별로 필터링하지 않고 서명 알고리즘을 기반으로 필터링합니다. -
sshd데몬에glob패턴을 사용하여 추가 구성 파일을 포함할 수 있는sshd_config키워드 포함 -
FIDORegistryLogin이 지정한 Universal 2nd factor (U2F) 하드웨어 인증자를 지원합니다. U2F/FIDO는 웹 사이트 인증에 널리 사용되는 저렴한 이중 인증 하드웨어에 대한 오픈 표준입니다. OpenSSH 에서 FIDO 장치는
ecdsa-sk및ed25519-sk및 해당 인증서 유형에 의해 지원됩니다. -
각 사용에 대해 PIN이 필요한 FIDO 키를 지원합니다. 새
verify-required옵션과 함께ssh-keygen을 사용하여 이러한 키를 생성할 수 있습니다. PIN-required 키가 사용되면 사용자에게 서명 작업을 완료하기 위한 description이 표시됩니다. -
이제
authorized_keys파일에서 새verify-required옵션을 지원합니다. 이 옵션을 사용하려면 서명하기 전에 사용자 존재 여부에 대한 토큰 확인을 선언하려면 FIDO 서명이 필요합니다. FIDO 프로토콜은 사용자 확인을 위해 여러 가지 방법을 지원하며 OpenSSH는 현재 PIN 검증만 지원합니다. -
FIDO
webauthn서명을 확인하는 지원이 추가되었습니다.webauthn은 웹 브라우저에서 FIDO 키를 사용하기 위한 표준입니다. 이 서명은 일반 FIDO 서명과 약간 다른 형식이므로 명시적인 지원이 필요합니다.
버그 수정
-
ClientAliveCountMax=0키워드의 명확한 의미 체계. 이제 첫 번째 활성 테스트와 관계없이 첫 번째 활성 테스트 후 연결을 즉시 종료합니다.
보안
- XMSS 키 유형의 개인 키 구문 분석 코드에서 악용 가능한 정수 오버플로 버그가 수정되었습니다. 이 키 유형은 아직 실험적이며 이에 대한 지원은 기본적으로 컴파일되지 않습니다. 이식 가능한 OpenSSH에는 사용자용 autoconf 옵션이 없으므로 이를 활성화할 수 있습니다.
- Spectre, Meltdown 및 Rambleed와 같은 메모리 사이드 채널 공격과 관련된 RAM의 미사용 개인 키 보호 기능이 추가되었습니다. 이 릴리스에서는 임의의 데이터로 구성된 비교적 큰 "이전 키"에서 파생된 대칭 키와 함께 사용하지 않는 경우 개인 키를 암호화합니다(현재 16KB).
OpenSSH에서 기본적으로 비활성화되어 있는 로케일 전달
컨테이너 및 가상 머신과 같은 작은 이미지에서 C.UTF-8 로케일을 사용하면 기존 en_US.UTF-8 로케일을 사용하여 크기를 줄이고 성능을 향상시킵니다.
대부분의 배포에서는 기본적으로 로케일 환경 변수를 보내고 서버 측에서 허용합니다. 그러나 이는 C 또는 C.UTF-8 이외의 로케일을 glibc-langpack-en 또는 glibc-all-langpacks 패키지가 설치되어 있지 않은 서버로 사용한 클라이언트의 SSH를 통해 로그인하면 사용자 환경에 성능이 저하되었습니다. 특히 UTF-8 형식의 출력이 손상되어 일부 도구가 작동하지 않거나 자주 경고 메시지가 전송되었습니다.
이번 업데이트를 통해 OpenSSH에서 로케일 전달은 기본적으로 꺼집니다. 이렇게 하면 클라이언트가 소규모 로케일만 지원하는 설치를 최소화하여 서버에 연결하는 경우에도 로케일을 실행 가능하게 유지합니다.
OpenSSH는 U2F/FIDO 보안 키 지원
이전에는 하드웨어에 저장된 OpenSSH 키는 PKCS #11 표준을 통해서만 지원되었으며 SSH에서 다른 보안 키를 사용하는 것이 제한적이었습니다. U2F/FIDO 보안 키에 대한 지원은 업스트림으로 개발되었으며 이제 RHEL 9에서 구현되었습니다. 이로 인해 PKCS #11 인터페이스와 관계없이 SSH 내에서 보안 키의 유용성이 향상됩니다.
버전 4.6에서 제공되는 libreswan
RHEL 9에서는 업스트림 버전 4.6에서 Libreswan이 제공됩니다. 이 버전은 많은 버그 수정 및 향상된 기능, 특히 인터넷 키 교환 버전 2 (IKEv2)와 함께 사용되는 라벨이있는 IPsec에 대한 개선 사항을 제공합니다.
(BZ#2017355)
Libreswan은 기본적으로 IKEv1 패키지를 허용하지 않습니다.
인터넷 키 교환 v2 (IKEv2) 프로토콜은 현재 널리 배포되기 때문에 Libreswan은 더 이상 기본적으로 IKEv1 패킷을 지원하지 않습니다. IKEv2는 공격에 대해 더 안전한 환경과 복원력을 제공합니다. 시나리오가 IKEv1을 사용해야 하는 경우 ikev1-policy=accept 옵션을 /etc/ipsec.conf 설정 파일에 추가하여 활성화할 수 있습니다.
RHEL 9는 stunnel 5.62를 제공합니다.
RHEL 9는 stunnel 패키지 버전 5.62와 함께 배포됩니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.
-
FIPS 모드의 시스템에서
stunnel은 이제 항상 FIPS 모드를 사용합니다. -
NO_TLSv1.1,NO_TLSv1.2,NO_TLSv1.3옵션의 이름이NO_TLSv1_1,NO_TLSv1_2,NO_TLSv1_3로 각각 변경되었습니다. -
새로운 서비스 수준
sessionResume옵션은 세션 재개를 활성화 및 비활성화합니다. -
LDAP는 이제
protocol옵션을 사용하여stunnel클라이언트에서 지원됩니다. - 이제 Bash 완료 스크립트를 사용할 수 있습니다.
RHEL 9는 nettle 3.7 . 3을 제공합니다.
RHEL 9는 nettle 패키지 3.7.3 버전을 제공하며 여러 버그 수정 및 개선 사항을 제공합니다. 주요 변경 사항은 다음과 같습니다.
-
예를 들어
Ed448,SHAKE256,AES-XTS,SIV-CMAC와 같은 새로운 알고리즘 및 모드를 지원합니다. - 기존 알고리즘에 대한 아키텍처별 최적화를 추가합니다.
(BZ#1986712)
RHEL 9에서는 p11-kit 0.24를 제공합니다.
RHEL 9는 0.24 버전의 p11-kit 패키지를 제공합니다. 이 버전에서는 여러 버그 수정 및 향상된 기능을 제공합니다. 특히 신뢰할 수 없는 인증 기관을 저장하기 위한 하위 디렉터리 이름이 blocklist 로 변경되었습니다.
(BZ#1966680)
Cyrus-sasl 은 Berkeley DB 대신 GDBM을 사용합니다.
이제 Cyrus-sasl 패키지가 libdb 종속성 없이 빌드되고, the sasldb 플러그인은 Berkeley DB 대신 GDBM 데이터베이스 형식을 사용합니다. 이전 Berkeley DB 형식으로 저장된 기존 SASL(Simple Authentication and Security Layer) 데이터베이스를 마이그레이션하려면 다음 구문으로 Cyrus bdb2current 도구를 사용합니다.
cyrusbdb2current <sasldb_path> <new_path>
RHEL 9의 SELinux 정책은 현재 커널에 대한 최신 업데이트입니다.
SELinux 정책에는 커널의 일부이기도 하는 새로운 권한, 클래스 및 기능이 포함되어 있습니다. 따라서 SELinux는 커널에서 제공하는 모든 가능성을 활용할 수 있습니다. 특히 SELinux는 권한을 부여하는 데 필요한 세분성을 개선하여 이후의 보안 이점을 제공합니다. 또한 MLS 정책에 따라 일부 시스템이 정책에 알 수 없는 권한이 포함되어 있는 경우 일부 시스템이 시작되지 않기 때문에 MLS SELinux 정책으로 시스템을 실행할 수 있습니다.
(BZ#1941810, BZ#1954145)
기본 SELinux 정책에서는 텍스트 재배치 라이브러리가 있는 명령을 허용하지 않음
selinuxuser_execmod 부울은 이제 설치된 시스템의 보안 공간을 개선하기 위해 기본적으로 꺼져 있습니다. 따라서 SELinux 사용자는 라이브러리 파일에 textrel_shlib_t 레이블이 없으면 텍스트 재배치가 필요한 라이브러리를 사용하여 명령을 입력할 수 없습니다.
OpenSCAP 버전 1.3.6에서 제공됩니다.
RHEL 9에는 버그 수정 및 개선 사항을 제공하는 버전 1.3.6에 OpenSCAP이 포함되어 있습니다.
-
--local-files옵션을 사용하여 검사 중에 다운로드하는 대신 원격 SCAP 소스 데이터 스트림 구성 요소의 로컬 사본을 제공할 수 있습니다. -
OpenSCAP에서는 여러
--rule인수를 수락하여 명령줄에서 여러 규칙을 선택합니다. -
--skip-rule옵션을 사용하여 일부 규칙 평가를 건너뛸 수 있습니다. -
OSCAP_PROBE_MEMORY_USAGE_RATIO환경 변수를 사용하여 OpenSCAP 프로브에서 사용하는 메모리를 제한할 수 있습니다. - OpenSCAP에서 OSBuild Blueprint를 수정 유형으로 지원합니다.
OSCAP Anaconda 애드온에서 새로운 애드온 이름 지원
이번 개선된 기능을 통해 OSCAP Anaconda 애드온 플러그인의 Kickstart 파일의 레거시 org_fedora_oscap 애드온 이름과 달리 새로운 com_redhat_oscap 애드온 이름을 사용할 수 있습니다. 예를 들어 Kickstart 섹션은 다음과 같이 구성할 수 있습니다.
%addon com_redhat_oscap content-type = scap-security-guide %end
OSCAP Anaconda 애드온은 현재 레거시 애드온 이름과 관련이 있지만, 기존 애드온 이름에 대한 지원은 향후 주요 RHEL 버전에서 제거됩니다.
(BZ#1893753)
CVE OVAL 피드
이번 업데이트를 통해 Red Hat은 CVE OVAL 피드를 압축 형식으로 제공합니다. 더 이상 XML 파일로 사용할 수 없지만 대신 EgressIP 2 형식으로 되어 있습니다. RHEL9의 피드 위치도 이러한 변경 사항을 반영하도록 업데이트되었습니다. 타사 SCAP 스캐너에는 압축된 콘텐츠를 참조하는 내용이 표준화되지 않기 때문에 압축된 피드를 사용하는 검사 규칙에 문제가 있을 수 있습니다.
SCAP Security Guide 버전 0.1.60
RHEL 9에는 버전 0.1.60에 scap-security-guide 패키지가 포함되어 있습니다. 이 버전에서는 버그 수정 및 개선 사항을 제공합니다.
-
PAM 스택 강화 규칙은 이제
authselect를 구성 도구로 사용합니다. - SCAP Security Guide는 이제 ImageStreamTag 프로파일에 대한 delta 맞춤 파일을 제공합니다. 이 맞춤형 파일은 DISA의 자동화된 organization과 SSG 자동화 콘텐츠 간의 차이점을 나타내는 프로필을 정의합니다.
RHEL 9.0에서 지원되는 SCAP 보안 가이드 프로필
RHEL 9.0에 포함된 SCAP 보안 가이드 컴플라이언스 프로필을 사용하면 시스템을 발행 조직의 권장 사항으로 시스템을 강화할 수 있습니다. 결과적으로 관련 수정 사항 및 SCAP 프로필을 사용하여 필요한 강화 수준에 따라 RHEL 9 시스템의 규정 준수를 구성하고 자동화할 수 있습니다.
| 프로파일 이름 | 프로파일 ID | 정책 버전 |
|---|---|---|
| 정보 시스템 (ANSSI) BP-028의 보안 수준을 위한 프랑스어 국가국 |
| 1.2 |
| 정보 시스템(ANSSI) BP-028 고가용성을 위한 프랑스어 국가국 |
| 1.2 |
| 정보 시스템 (ANSSI) BP-028 인테리어 수준을 위한 프랑스 국가국 |
| 1.2 |
| 정보 시스템 (ANSSI) BP-028 Minimal Level용 프랑스 국가국 |
| 1.2 |
| [DRAFT] CIS Red Hat Enterprise Linux 9 벤치마크 for Level 2 - 서버 |
| 초안[a] |
| [DRAFT] CIS Red Hat Enterprise Linux 9 벤치마크 for Level 1 - 서버 |
| DRAFT[a] |
| [DRAFT] CIS Red Hat Enterprise Linux 9 벤치마크 for Level 1 - Workstation |
| DRAFT[a] |
| [DRAFT] CIS Red Hat Enterprise Linux 9 벤치마크 for Level 2 - Workstation |
| DRAFT[a] |
| [DRAFT] 비독점 정보 시스템 및 조직 (NIST 800-171)에서 분류되지 않은 정보 |
| r2 |
| ACS(Austricial Security Center) Essential Eight |
| 버전이 지정되지 않음 |
| 건강 강화 및 책임법 (HIPA) |
| 버전이 지정되지 않음 |
| austrie Security Center (ACSC) ISM 공식 |
| 버전이 지정되지 않음 |
| [DRAFT] 보호 프로필 일반 용도 운영 체제 |
| 4.2.1 |
| PCI-DSS v3.2.1 Red Hat Enterprise Linux 9에 대한 제어 기준 |
| 3.2.1 |
| [DRAFT] Red Hat Enterprise Linux 9의 DISAHeader |
| 초안[b] |
| [DRAFT] Red Hat Enterprise Linux 9용 GUI를 통한 DISA STIG |
| DRAFT[b] |
[a]
CIS는 RHEL 9의 공식 벤치마크를 아직 게시하지 않았습니다.
[b]
DISA는 아직 RHEL 9에 대한 공식 벤치마크를 게시하지 않았습니다.
| ||
자동 수정을 통해 시스템이 작동하지 않을 수 있습니다. 테스트 환경에서 먼저 수정을 실행합니다.
(BZ#2045341,BZ#2045349,BZ #2045368 ,BZ#2045368,BZ#2045 381 ,BZ#2045381,BZ#2045 393 ,BZ#2045393,BZ#2045403)
RHEL 9에서는 fapolicyd 1.1을 제공합니다.
RHEL 9는 fapolicyd 패키지 버전 1.1과 함께 배포됩니다. 주요 개선 사항은 다음과 같습니다.
-
허용 및 거부 규칙이 포함된 파일의
/etc/fapolicyd/rules.d/디렉터리는/etc/fapolicyd/fapolicyd.rules파일을 대체합니다. 이제fagenrules스크립트는 이 디렉터리의 모든 구성 요소 규칙 파일을/etc/fapolicyd/ compiled.rules파일에 병합합니다. 자세한 내용은 새로운fagenrules(8)매뉴얼 페이지를 참조하십시오. -
RPM 데이터베이스 외부에 파일을 안정적으로 표시하기 위한
/etc/fapolicyd/fapolicyd.trust파일 외에도 신뢰할 수 있는 파일 목록을 더 많은 파일로 분리하는 기능을 지원하는 새로운/etc/fapolicyd/trust.d디렉터리를 사용할 수 있습니다. 이러한 파일에--trust-file지시문과 함께fapolicyd-cli -f하위 명령을 사용하여 파일에 대한 항목을 추가할 수도 있습니다. 자세한 내용은fapolicyd-cli(1)및fapolicyd.trust(13)매뉴얼 페이지를 참조하십시오. -
이제
fapolicydtrust 데이터베이스는 파일 이름의 공백을 지원합니다. -
이제
fapolicyd는 파일을 신뢰 데이터베이스에 추가할 때 실행 파일에 올바른 경로를 저장합니다.
rsyslog에는 고성능 작업을 위한 mmfields 모듈 및 CEF가 포함되어 있습니다.
rsyslog에는 이제 mmfields 모듈을 제공하는 rsyslog-mmfields 하위 패키지가 포함되어 있습니다. 이는 property replacer 필드 추출을 사용하는 대신, 속성 교체기와 달리 모든 필드가 한 번에 추출되어 구조화된 데이터 부분 내에 저장됩니다. 결과적으로 필드 기반 로그 형식(예: Common Event Format)을 처리하는 데 mmfields 를 사용할 수 있으며 많은 수의 필드가 필요하거나 특정 필드를 재사용할 수 있습니다. 이러한 경우 mmfields 는 기존 Rsyslog 기능보다 성능이 향상됩니다.
별도의 rsyslog-logrotate 패키지에 포함된 logrotate
logrotate 구성은 기본 rsyslog 패키지와 새로운 rsyslog-logrotate 패키지로 분리되었습니다. 불필요한 종속성을 설치하지 않도록 로그 회전이 필요하지 않은 경우와 같이 특정 최소한의 환경에서 유용합니다.
sudo 가 Python 플러그인 지원
RHEL 9에 포함된 sudo 프로그램 버전 1.9를 사용하면 Python에서 sudo 플러그인을 작성할 수 있습니다. 이렇게 하면 sudo 를 보다 정확하게 특정 시나리오에 맞게 개선할 수 있습니다.
자세한 내용은 sudo_plugin_python(8) 매뉴얼 페이지를 참조하십시오.
libseccomp 버전 2.5.2에서 제공
RHEL 9.0에서는 업스트림 버전 2.5.2에서 libseccomp 패키지를 제공합니다. 이 버전은 이전 버전에 비해 많은 버그 수정 및 개선 사항을 제공합니다.
-
Linux의 syscall 테이블을 버전
v5.14-rc7로 업데이트했습니다. -
알림 파일 설명자를 가져오기 위해
get_notify_fd()함수를 Python 바인딩에 추가했습니다. - 모든 아키텍처에 대한 다중화된 syscall 처리가 하나의 위치로 통합되었습니다.
- PPC(PowerPC) 및 MIPS 아키텍처에 다중화된 syscall 지원이 추가되었습니다.
-
커널 내에서EC
COMP_IOCTL_NOTIF_ID_VALID작업의 의미를 변경했습니다. -
SECCOMP_IOCTL_NOTIF_ID_VALID의 이전 커널 및 새로운 사용을 지원하도록libseccomp파일 설명자 알림 논리를 변경했습니다. -
seccomp_load()가 한 번만 호출할 수 있는 버그를 수정했습니다. -
필터에
_NOTIFY작업이 있는 경우 알림fd -
seccomp_add_rule(3)manpage에SCMP_ACT_NOTIFY에 대한 문서를 추가했습니다. - 유지 관리자의 GPG 키를 명확히 했습니다.
Clevis에서 SHA-256지원
이번 개선된 기능을 통해 Clevis 프레임워크는 RFC 7638 에서 권장하는 대로 SHA-256 알고리즘을 JSON 웹 키(JWK) 지문의 기본 해시로 지원합니다. 이전 지문(SHA-1)은 계속 지원되므로 이전에 암호화된 데이터를 해독할 수 있습니다.
(BZ#1956760)
