지원콘솔개발자평가판 시작연락처

4.7. 보안

새 패키지: keylime

RHEL 9.1에서는 신뢰할 수 있는 플랫폼 모듈(TPM) 기술을 사용하는 원격 시스템을 검증하기 위한 툴인 Keylime을 도입했습니다. Keylime을 사용하면 원격 시스템의 무결성을 확인하고 지속적으로 모니터링할 수 있습니다. Keylime이 모니터링된 머신에 제공하는 암호화된 페이로드를 지정하고 시스템이 무결성 테스트에 실패할 때마다 트리거하는 자동화된 작업을 정의할 수도 있습니다.

자세한 내용은 RHEL 9 보안 강화 문서에서 Keylime을 사용하여 시스템 무결성 보안을 참조하십시오.

(JIRA:RHELPLAN-92522)

OpenSSH의 새로운 옵션은 최소 RSA 키 길이 설정 지원

실수로 짧은 RSA 키를 사용하면 시스템이 공격에 더 취약합니다. 이번 업데이트를 통해 OpenSSH 서버 및 클라이언트에 대해 최소 RSA 키 길이를 설정할 수 있습니다. 최소 RSA 키 길이를 정의하려면 OpenSSH 서버의 /etc/ssh/sshd_config 파일과 OpenSSH 클라이언트의 /etc/ssh/ssh_config 파일에서 새 RequiredRSASize 옵션을 사용합니다.

(BZ#2066882)

crypto-policies 는 기본적으로 OpenSSH에 2048비트 RSA 키 길이를 적용합니다.

짧은 RSA 키를 사용하면 시스템이 공격에 더 취약해질 수 있습니다. OpenSSH는 이제 최소 RSA 키 길이를 제한하도록 지원하므로 시스템 전체 암호화 정책에서는 기본적으로 RSA에 2048비트 최소 키 길이를 적용합니다.

OpenSSH가 잘못된 키 길이 오류 메시지와 함께 연결이 실패하는 경우 더 긴 RSA 키를 사용하기 시작합니다.

또는 보안을 유지하면서 사용자 정의 하위 정책을 사용하여 제한을 완화할 수 있습니다. 예를 들어 update-crypto-policies --show 명령이 현재 정책이 DEFAULT 임을 보고하는 경우 :

  1. min_rsa_size@openssh = 1024 매개변수를 /etc/crypto-policies/modules/modules/RSA-OPENSSH-1024.pmod 파일에 삽입하여 사용자 정의 하위 정책을 정의합니다.
  2. update-crypto-policies --set DEFAULT:RSA-OPENSSH-1024 명령을 사용하여 사용자 지정 하위 정책을 적용합니다.

(BZ#2102774)

OpenSSL의 새로운 옵션은 서명에 대한 SHA-1을 지원합니다.

RHEL 9의 OpenSSL 3.0.0은 서명 생성 및 검증을 위해 SHA-1을 지원하지 않습니다(SHA-1 키 파생 함수(KDF) 및 해시 기반 메시지 인증 코드(HMAC)는 여전히 지원됩니다. 그러나 서명을 위해 SHA-1을 계속 사용하는 RHEL 8 시스템과의 이전 호환성을 지원하기 위해 RHEL 9에 새로운 설정 옵션 rh-allow-sha1-signatures 가 도입되었습니다. 이 옵션은 openssl.cnfalg_section 에서 활성화된 경우 SHA-1 서명의 생성 및 확인을 허용합니다.

이 옵션은 LEGACY 시스템 전체 암호화 정책 (기존 공급자가 아님)을 설정하면 자동으로 활성화됩니다.

이는 SHA-1 서명이 포함된 RPM 패키지 설치에도 영향을 미칩니다. 이 서명에는 LEGACY 시스템 전체 암호화 정책으로 전환해야 할 수 있습니다.

(BZ#2060510, BZ#2055796)

암호화 정책 지원 sntrup761x25519-sha512@openssh.com

시스템 전체의 암호화 정책 업데이트에서는 sntrup761x25519-sha512@openssh.com 키 교환(KEX) 방법에 대한 지원이 추가되었습니다. Post-quantum sntrup761 알고리즘은 OpenSSH 제품군에서 이미 사용할 수 있으며, 이 방법은ECDHE 컴퓨터의 공격에 대해 더 나은 보안을 제공합니다. sntrup761x25519-sha512@openssh.com 를 활성화하려면 하위 정책을 생성하고 적용합니다. 예를 들면 다음과 같습니다. 

# echo 'key_exchange = +SNTRUP' > /etc/crypto-policies/policies/modules/SNTRUP.pmod
# update-crypto-policies --set DEFAULT:SNTRUP

자세한 내용은 RHEL 9 보안 강화 문서의 하위 정책을 사용하여 시스템 전체 암호화 정책 사용자 지정 섹션을 참조하십시오.

(BZ#2070604)

NSS는 더 이상 1023 비트보다 짧은 RSA 키를 지원하지 않습니다.

NSS(Network Security Services) 라이브러리 업데이트에서는 모든 RSA 작업의 최소 키 크기를 128에서 1023비트로 변경합니다. 즉 NSS는 더 이상 다음 기능을 수행하지 않습니다.

  • 1023비트보다 짧은 RSA 키를 생성합니다.
  • RSA 키를 1023비트 미만으로 사용하여 RSA 서명을 서명하거나 확인합니다.
  • RSA 키가 1023비트보다 짧으면 값을 암호화하거나 암호를 해독합니다.

(BZ#2091905)

SELinux 정책으로 추가 서비스 제한

selinux-policy 패키지가 업데이트되어 이제 SELinux에 의해 다음 서비스가 제한됩니다.

  • ksm
  • nm-priv-helper
  • rhcd
  • stalld
  • systemd-network-generator
  • targetclid
  • wg-quick

(BZ#1965013, BZ#1964862, BZ#2020169, BZ#2021131, BZ#2042614, BZ#2053639,BZ#2111069)

SELinux는 유형 전환에서 self 키워드 지원

SELinux 툴링에서는 정책 소스에서 self 키워드를 사용하여 유형 전환 규칙을 지원합니다. self 키워드를 사용한 유형 전환을 지원하여 익명 inode의 레이블을 지정하기 위한 SELinux 정책을 준비합니다.

(BZ#2069718)

SELinux 사용자 공간 패키지 업데이트

SELinux 사용자 공간 패키지 libsepol,libselinux,libsemanage,policycoreutils,checkpolicy, mcstrans 가 최신 업스트림 릴리스 3.4로 업데이트되었습니다. 주요 변경 사항은 다음과 같습니다.

  • setfiles,restoreconfixfiles 툴의 -T 옵션을 통해 병렬 재지정에 대한 지원이 추가되었습니다.

    • 이 옵션의 프로세스 스레드 수를 지정하거나 사용 가능한 최대 프로세서 코어를 사용하려면 -T 0 을 사용할 수 있습니다. 이렇게 하면 레이블을 다시 지정하는 데 필요한 시간이 크게 단축됩니다.
  • 모듈의 SHA-256 해시를 출력하는 새로운 --checksum 옵션을 추가했습니다.
  • libsepol-utils 패키지에 새 정책 유틸리티를 추가했습니다.

(BZ#2079276)

SELinux 자동 레이블 재지정이 기본적으로 병렬로 적용됨

새로 도입된 병렬 재지정 옵션은 다중 코어 시스템에서 SELinux 재레이블링 프로세스에 필요한 시간을 크게 줄이므로 이제 자동 레이블 다시 지정 스크립트에 수정 파일 명령줄에 -T 0 옵션이 포함되어 있습니다. -T 0 옵션을 사용하면 setfiles 프로그램이 기본적으로 레이블을 다시 지정하기 위해 최대 사용 가능한 프로세서 코어를 사용합니다.

이전 버전의 RHEL에서와 같이 레이블을 다시 지정하는 데 하나의 프로세스 스레드만 사용하려면 boot 파일 또는 echo "-T 1" > /.autorelabel 대신 fixfiles -T 1 onboot 명령을 입력하여 이 설정을 재정의합니다.

(BZ#2115242)

SCAP 보안 가이드는 0.1.63으로 재구축됩니다.

SCAP Security Guide (SSG) 패키지는 업스트림 버전 0.1.63으로 다시 설계되었습니다. 이 버전은 다음과 같은 다양한 개선 사항 및 버그 수정을 제공합니다.

  • sysctl,grub2,ECDHE_pwquality, 빌드 시간 커널 구성에 대한 새로운 규정 준수 규칙이 추가되었습니다.
  • 이제 PAM 스택을 강화하는 규칙은 구성 도구로 authselect 를 사용합니다. 참고: 이 변경으로 PAM 스택을 다른 방법으로 편집한 경우 PAM 스택을 강화하는 규칙이 적용되지 않습니다.

(BZ#2070563)

Rsyslog 오류 파일의 최대 크기 옵션 추가

새로운 action.errorfile.maxsize 옵션을 사용하여 Rsyslog 로그 처리 시스템에 대한 오류 파일의 최대 바이트 수를 지정할 수 있습니다. 오류 파일이 지정된 크기에 도달하면 Rsyslog는 추가 오류 또는 기타 데이터를 쓸 수 없습니다. 이렇게 하면 오류 파일이 파일 시스템을 채우고 호스트를 사용할 수 없게 됩니다.

(BZ#2064318)

Clevis-luks-askpass 가 기본적으로 활성화됨

/lib/systemd/system-preset/90-default.preset 파일에는 enable clevis-luks-askpass.path 설정 옵션과 clevis-systemd 하위 패키지를 설치하면 clevis-luks-askpass.path 단위 파일이 활성화됩니다. 이를 통해 Clevis 암호화 클라이언트는 부팅 프로세스 후반부에 마운트되는 LUKS 암호화 볼륨도 잠금 해제할 수 있습니다. 이번 업데이트 이전에는 관리자가 systemctl enable clevis-luks-askpass.path 명령을 사용하여 이러한 볼륨의 잠금을 해제할 수 있어야 합니다.

(BZ#2107078)

fapolicyd rebased to 1.1.3

fapolicyd 패키지가 버전 1.1.3으로 업그레이드되었습니다. 주요 개선 사항 및 버그 수정 사항은 다음과 같습니다.

  • 이제 규칙에 주체의 상위 PID(프로세스 ID)와 일치하는 새로운 subject PPID 속성이 포함될 수 있습니다.
  • OpenSSL 라이브러리는 해시 계산을 위한 암호화 엔진으로 Libgcrypt 라이브러리를 교체했습니다.
  • 이제 fagenrules --load 명령이 올바르게 작동합니다.

(BZ#2100041)

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.