1장. 개요

보안

암호화 목적으로 SHA-1 메시지 다이제스트를 사용하는 것은 RHEL 9에서 더 이상 사용되지 않습니다. SHA-1에서 생성된 다이제스트는 해시 충돌을 찾는 데 따른 문서화된 여러 공격으로 인해 안전하지 않은 것으로 간주되지 않습니다. RHEL 핵심 암호화 구성 요소는 기본적으로 SHA-1을 사용하여 더 이상 서명을 생성하지 않습니다. RHEL 9의 애플리케이션은 보안 관련 사용 사례에서 SHA-1을 사용하지 않도록 업데이트되었습니다.

예외적으로 HMAC-SHA1 메시지 인증 코드와 UUID(Universal Unique Identifier) 값은 SHA-1을 사용하여 계속 생성할 수 있습니다. 이러한 사용 사례는 현재 보안 위험을 초래하지 않기 때문입니다. SHA-1은 Kerberos 및 WPA-2와 같은 중요한 상호 운용성 및 호환성 문제와 관련된 제한된 경우에도 사용할 수 있습니다. 자세한 내용은 FIPS 140-3과 호환되지 않는 암호화를 사용하는 RHEL 애플리케이션 목록을 참조하십시오.

여전히 SHA-1이 필요한 시스템과의 호환성 문제 해결 방법은 다음 KCS 문서를 참조하십시오.

OpenSSL 은 버전 3.0.1로 제공되어 공급자 개념, 새로운 버전 관리 체계, 개선된 HTTP(S) 클라이언트, 새로운 프로토콜 지원, 형식 및 알고리즘 등이 추가되었습니다.

시스템 전체 암호화 정책이 최신 보안 기본값을 제공하도록 조정되었습니다.

OpenSSH 는 RHEL 8.5에 배포된 버전 8.0p1과 비교하여 많은 개선 사항, 버그 수정 및 보안 개선 사항을 제공하는 버전 8.7p1로 배포됩니다.

SFTP 프로토콜은 OpenSSH 에서 이전에 사용된 SCP/RCP 프로토콜을 대체합니다. SFTP는 보다 예측 가능한 파일 이름 처리를 제공하며 원격 측의 쉘에 의해 glob(3) 패턴의 확장이 필요하지 않습니다.

SELinux 정책을 커널, 메모리 오버헤드 및 기타 매개 변수로 로드하는 시간을 포함하여 SELinux 성능이 크게 향상되었습니다. 자세한 내용은 SELinux 블로그의 성능 및 공간 효율성 향상을 참조하십시오.

RHEL 9는 업스트림 버전 1.1에 fapolicyd 프레임워크를 제공합니다. 다른 개선 사항 중에서 이제 새로운 rules.d/ 및 trust.d/ 디렉토리, fagenrules 스크립트 및 fapolicyd-cli 명령을 위한 새로운 옵션을 사용할 수 있습니다.

SCAP Security Guide(SSG) 패키지는 버전 0.1.60에 제공되어 delta 맞춤, 업데이트된 보안 프로필 및 기타 개선 사항이 도입되었습니다.

자세한 내용은 4.7절. “보안”를 참조하십시오.

서명에 SHA-1 사용은 DEFAULT 암호화 정책으로 제한됩니다. HMAC를 제외하고 SHA-1은 TLS, DTLS, SSH, IKEv2, DNSSEC 및 Kerberos 프로토콜에서 더 이상 허용되지 않습니다.

시나리오에 SHA-1을 사용하여 기존 또는 타사 암호화 서명을 확인해야 하는 경우 다음 명령을 입력하여 활성화할 수 있습니다.

# update-crypto-policies --set DEFAULT:SHA1

또는 시스템 전체 암호화 정책을 LEGACY 정책으로 전환할 수 있습니다. LEGACY 는 또한 안전하지 않은 다른 많은 알고리즘을 사용할 수 있습니다.

Cyrus SASL은 이제 Berkeley DB 대신 GDBM을 사용하고, NSS(Network Security Services) 라이브러리는 더 이상 신뢰 데이터베이스에 대한 DBM 파일 형식을 지원하지 않습니다.

/etc/selinux/config 파일에서 SELINUX=disabled 옵션을 통해 SELinux를 비활성화하는 기능이 커널에서 제거되었습니다. /etc/selinux/config 를 통해서만 SELinux를 비활성화하면 정책이 로드되지 않고 SELinux를 사용하도록 설정하여 시스템이 시작됩니다. 시나리오에 SELinux를 비활성화해야 하는 경우 커널 명령줄에 selinux=0 매개 변수를 추가합니다.

RHEL 9 및 RHEL 8의 보안 관련 주요 차이점에 대한 자세한 내용은 RHEL 9 문서 도입 의 보안 섹션을 참조하십시오. https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/9/html/considerations_in_adopting_rhel_9/assembly_security_considerations-in-adopting-rhel-9

네트워킹

새 MultiPath TCP 데몬(mptcpd)을 사용하여 iproute2 유틸리티를 사용하지 않고 MultiPath TCP(MPTCP) 엔드포인트를 구성할 수 있습니다. MPTCP 하위 흐름 및 엔드포인트를 영구적으로 만들려면 NetworkManager 디스패치 스크립트를 사용하십시오.

기본적으로 NetworkManager는 이제 키 파일을 사용하여 새 연결 프로필을 저장합니다. ifcfg 형식은 계속 지원됩니다.

이 릴리스에 도입된 기능 및 기존 기능의 변경 사항에 대한 자세한 내용은 새 기능인 네트워킹을 참조하십시오.

이제 Wireoctets VPN 기술을 지원되지 않는 기술 프리뷰로 사용할 수 있습니다. 자세한 내용은 기술 프리뷰 - 네트워킹을 참조하십시오.

teamd 서비스 및 libteam 라이브러리는 더 이상 사용되지 않습니다. 교체로 네트워크 팀 대신 본딩을 구성합니다.

iptables-nft 및 ipset 은 더 이상 사용되지 않습니다. 이러한 패키지에는 iptables,ip6tables,ebtables 및 arptables 와 같은 유틸리티가 포함되어 있습니다. nftables 프레임워크를 사용하여 방화벽 규칙을 구성합니다.

더 이상 사용되지 않는 기능에 대한 자세한 내용은 더 이상 사용되지 않는 기능 - 네트워킹을 참조하십시오.

network-scripts 패키지가 제거되었습니다. NetworkManager를 사용하여 네트워크 연결을 구성합니다. 더 이상 RHEL의 일부가 아닌 기능에 대한 자세한 내용은 RHEL 9 문서 채택 시 고려 사항의 네트워킹 섹션을 참조하십시오.

동적 프로그래밍 언어, 웹 서버 및 데이터베이스 서버

RHEL 9.0에서는 다음과 같은 동적 프로그래밍 언어를 제공합니다.

RHEL 9.0에는 다음과 같은 버전 제어 시스템이 포함되어 있습니다.

다음은 RHEL 9.0과 함께 제공되는 웹 서버입니다.

다음 프록시 캐싱 서버를 사용할 수 있습니다.

RHEL 9.0에서는 다음과 같은 데이터베이스 서버를 제공합니다.

자세한 내용은 4.13절. “동적 프로그래밍 언어, 웹 서버 및 데이터베이스 서버”를 참조하십시오.

컴파일러 및 개발 도구

시스템 툴체인

RHEL 9.0에서 사용할 수 있는 시스템 툴체인 구성 요소는 다음과 같습니다.

RHEL 9 시스템 툴체인 구성 요소에는 POWER10에 대한 지원이 포함됩니다.

성능 도구 및 디버거

RHEL 9.0에서는 다음과 같은 성능 도구와 디버거를 사용할 수 있습니다.

성능 모니터링 툴

RHEL 9.0에서는 다음과 같은 성능 모니터링 도구를 사용할 수 있습니다.

컴파일러 툴 세트

RHEL 9.0에서는 다음과 같은 컴파일러 툴셋을 사용할 수 있습니다.

자세한 변경 사항은 4.14절. “컴파일러 및 개발 도구” 에서 참조하십시오.

RHEL 9의 Java 구현

RHEL 9 AppStream 리포지토리에는 다음이 포함됩니다.

자세한 내용은 OpenJDK 설명서를 참조하십시오.

Java 툴

RHEL 9.0에서 사용할 수 있는 Java 툴은 다음과 같습니다.

자세한 내용은 4.14절. “컴파일러 및 개발 도구”를 참조하십시오.

데스크탑

GNOME 환경은 많은 새로운 기능이 있는 GNOME 3.28에서 GNOME 40으로 업데이트되었습니다.

X.org 디스플레이 서버는 더 이상 사용되지 않으며 향후 주요 RHEL 릴리스에서 제거될 예정입니다. 대부분의 경우 기본 데스크탑 세션은 이제 Wayland 세션입니다.

이제 NVIDIA 드라이버를 사용하는 경우 드라이버 구성에서 Wayland를 지원하는 경우 데스크탑 세션은 기본적으로 Wayland 디스플레이 프로토콜을 선택합니다. 이전 RHEL 릴리스에서 NVIDIA 드라이버는 항상 Wayland를 비활성화했습니다.

PipeWire 서비스는 이제 모든 오디오 출력 및 입력을 관리합니다. pipeWire 는 일반적인 사용 사례에서 PulseAudio 서비스와 전문적인 사용 사례에서 JACK 서비스를 대체합니다.

자세한 내용은 4.16절. “데스크탑”를 참조하십시오.

가상화

RHEL 9에서 libvirt 라이브러리는 호스트의 개별 가상화 드라이버 세트를 처리하는 모듈식 데몬을 사용합니다. 따라서 리소스 로드 최적화 및 모니터링과 같은 가상화 드라이버와 관련된 다양한 작업을 미세 조정할 수 있습니다.

이제 QEMU 에뮬레이터가 Clang 컴파일러를 사용하여 빌드되었습니다. 이를 통해 RHEL 9 KVM 하이퍼바이저는 여러 고급 보안 및 디버깅 기능을 사용할 수 있습니다. 이러한 기능 중 하나는 safeStack으로, RHEL 9에서 호스팅되는 가상 머신 (VM)을 반환 프로그래밍 (ROP) 기반 공격에 대해 훨씬 더 안전하게 만듭니다.

또한 VMTPM(Virtual Trusted Platform Module)이 완전히 지원됩니다. vTPM을 사용하면 TPM 가상 암호화 프로세서를 VM에 추가하여 암호화 키를 생성, 저장 및 관리하는 데 사용할 수 있습니다.

마지막으로 virtiofs 기능이 구현되어 RHEL 9 호스트와 해당 VM 간에 파일을 보다 효율적으로 공유할 수 있습니다.

이 릴리스에 도입된 가상화 기능에 대한 자세한 내용은 4.20절. “가상화” 을 참조하십시오.