검색
지원콘솔개발자평가판 시작연락처

8.5. 보안

download PDF

usbguard는 RuleFile이 정의되지 않은 경우에도 규칙을 저장합니다.

이전에는 USBGuard의 RuleFolder 구성 지시문이 설정되었지만 RuleFile 이 설정되지 않은 경우 규칙 세트를 변경할 수 없었습니다. 이번 업데이트를 통해 RuleFolder가 설정되어 있지만 RuleFile이 아닌 경우에도 규칙 세트를 변경할 수 있습니다. 결과적으로 USBGuard에서 영구 정책을 수정하여 새로 추가된 규칙을 영구적으로 저장할 수 있습니다.

Bugzilla:2155910

1.4.45에 대한 Python -sqlalchemy 재기반

python-sqlalchemy 패키지는 버전 1.4.37에 비해 많은 버그 수정을 제공하는 버전 1.4.45로 변경되었습니다. 특히 이 버전에는 캐시 키 생성의 중요한 메모리 버그에 대한 수정 사항이 포함되어 있습니다.

Bugzilla:2152649

crypto-policies 에서 BIND의 NSEC3DSA를 비활성화합니다.

이전에는 시스템 전체 암호화 정책에서 BIND 구성에서 NSEC3DSA 알고리즘을 제어하지 않았습니다. 결과적으로 현재 보안 요구 사항을 충족하지 않는 NSEC3DSA는 DNS 서버에서 비활성화되지 않았습니다. 이번 업데이트를 통해 모든 암호화 정책은 기본적으로 BIND 구성에서 NSEC3DSA를 비활성화합니다.

Bugzilla:2152635

skopeo LEVEL=3의 OpenSSL이 이제 PSK 암호화 제품군과 함께 작동합니다.

이전에는 PSK(Pre-shared key) 암호화 제품군이 완벽한PFS(forward secrecy) 키 교환 방법을 수행하는 것으로 인식되지 않았습니다. 그 결과 시스템 전체 암호화 정책이 FUTURE 로 설정된 경우 ECDHE-PSKDHE-PSK 암호화 제품군이 CloudEvent LEVEL=3 에 구성된 OpenSSL에서 작동하지 않았습니다. openssl 패키지의 새 버전에서는 이 문제를 해결합니다.

Bugzilla:2060044

Clevis에서 crypttab에서 주석 처리된 장치를 올바르게 건너뜁니다.

이전 버전에서는 Clevis에서 crypttab 파일에서 주석 처리된-아웃 장치를 잠금 해제하여 장치가 유효하지 않은 경우에도 clevis-luks-askpass 서비스가 실행되었습니다. 이로 인해 불필요한 서비스가 실행되어 문제를 해결하기 어려웠습니다.

이번 수정으로 Clevis는 주석 처리된 장치를 무시합니다. 이제 유효하지 않은 장치가 주석 처리되면 Clevis에서 잠금 해제를 시도하지 않고 clevis-luks-askpass 가 적절하게 완료됩니다. 이를 통해 보다 쉽게 문제를 해결하고 불필요한 서비스 실행을 줄일 수 있습니다.

Bugzilla:2159728

Clevis는 더 이상 pwmake에서 너무 많은 엔트로피를 요청하지 않습니다.

이전 버전에서는 Clevis를 사용하여 LUKS 메타데이터에 데이터를 저장하기 위한 암호를 생성하는 데 pwmake 를 사용할 때 pwmake 암호 생성 유틸리티에 불필요한 경고가 표시되었습니다. 이로 인해 Clevis에서 더 낮은 엔트로피를 사용했습니다. 이번 업데이트를 통해 Clevis는 pwmake 에 제공된 256 엔트로피 비트로 제한되어 원하지 않는 경고를 제거하고 올바른 양의 엔트로피를 사용합니다.

Bugzilla:2159735

usbguard는 더 이상 혼란스러운 경고를 유발하지 않습니다.

이전에는 상위 프로세스가 첫 번째 하위 프로세스보다 빨리 완료되면 race condition이 USBGuard에서 발생할 수 있었습니다. 그 결과 systemd 는 잘못된 PPID(parent PID)가 있는 프로세스가 있다고 보고했습니다. 이번 업데이트를 통해 상위 프로세스는 첫 번째 하위 프로세스가 작동 모드에서 완료될 때까지 기다립니다. 결과적으로 systemd 에서 더 이상 이러한 경고를 보고하지 않습니다.

Bugzilla:2042345

OOM 킬러가 더 이상 조기에 usbguard 를 종료하지 않음

이전에는 usbguard.service 파일에 systemd 서비스에 대한 OOMScoreAdjust 옵션의 정의가 없었습니다. 결과적으로 리소스가 부족하면 다른 권한이 없는 프로세스 이전에 usbguard-daemon 프로세스를 종료할 수 있었습니다. 이번 업데이트를 통해 이제 usbguard.service 파일에 OOMScoreAdjust 설정이 포함되어 OOMScoreAdjust 설정이 포함되어 OOM-daemon (OOM) 종료자가 usbguard-daemon 프로세스를 조기 종료하지 않도록 합니다.

Bugzilla:2097419

10.0.0.1 더 이상 로그 회전에 Rsyslog 신호를 잘못 표시하지 않음

이전에는 인수 순서가 10.0.0.1 스크립트에 잘못 설정되어 구문 오류가 발생했습니다. 이로 인해 로그 순환 중에 Rsyslog를 올바르게 신호하지 않았습니다.

이번 업데이트를 통해 POSIXLY_CORRECT 환경 변수가 설정된 경우에도 로그 순환 후의 인수 순서가 수정되고, 10.0.0.1 신호 Rsyslog가 올바르게 표시됩니다.

Bugzilla:2124488

imklog 가 누락된 오브젝트에 대해 더 이상 free() 를 호출하지 않음

이전에는 이미 해제된 오브젝트에서 imklog 모듈을 free() 함수라고 했습니다. 결과적으로 imklog 는 세그먼트 오류가 발생할 수 있습니다. 이번 업데이트를 통해 오브젝트를 두 번 해제하지 않습니다.

Bugzilla:2157659

fagenrules --load 가 올바르게 작동합니다.

이전에는 fapolicyd 서비스가 신호 중단 (SIGHUP)을 올바르게 처리하지 못했습니다. 결과적으로 fapolicyd 는 SIGHUP를 수신한 후 종료되었으며 fagenrules --load 명령이 제대로 작동하지 않았습니다. 이번 업데이트에서는 문제에 대한 수정 사항이 포함되어 있습니다. 결과적으로 fagenrules --load 가 올바르게 작동하며 규칙 업데이트에는 fapolicyd 를 수동으로 다시 시작할 필요가 없습니다.

Bugzilla:2070655

검사 및 수정에서 SCAP 감사 규칙 감사 키를 올바르게 무시

이전에는 감사 키(-k 또는 -F 키) 없이 정의된 감사 감시 규칙에 다음과 같은 문제가 발생했습니다.

  • 규칙의 다른 부분이 올바른지도 규칙이 비준수로 표시되었습니다.
  • Bash 수정을 통해 조사 규칙의 경로와 권한을 수정했지만 감사 키를 올바르게 추가하지 않았습니다.
  • 수정에서는 종종 누락된 키를 수정하지 않아 수정된 값이 아닌 오류 를 반환합니다.

이는 다음 규칙에 영향을 미쳤습니다.

  • audit_rules_login_events
  • audit_rules_login_events_faillock
  • audit_rules_login_events_lastlog
  • audit_rules_login_events_tallylog
  • audit_rules_usergroup_modification
  • audit_rules_usergroup_modification_group
  • audit_rules_usergroup_modification_gshadow
  • audit_rules_usergroup_modification_opasswd
  • audit_rules_usergroup_modification_passwd
  • audit_rules_usergroup_modification_shadow
  • audit_rules_time_watch_localtime
  • audit_rules_mac_modification
  • audit_rules_networkconfig_modification
  • audit_rules_sysadmin_actions
  • audit_rules_session_events
  • audit_rules_sudoers
  • audit_rules_sudoers_d

이번 업데이트를 통해 검사 및 Bash 및 Ansible 수정에서 감사 키가 제거되었습니다. 결과적으로 확인 및 수정 중에 키 필드로 인한 불일치가 더 이상 발생하지 않으며 감사자는 이러한 키를 임의로 선택하여 감사 로그를 더 쉽게 검색할 수 있습니다.

Bugzilla:2120978

Keylime은 여러 IMA에서 측정된 파일에 액세스하는 시스템의 테스트에 더 이상 실패하지 않습니다.

이전 버전에서는 Keylime 에이전트를 실행하는 시스템이 IMA( Integrity Measurement Architecture)에서 빠른 연속으로 측정한 여러 파일에 액세스하면 Keylime 검증기에서 IMA 로그 추가를 잘못 처리했습니다. 결과적으로 실행중인 해시가 올바른 플랫폼 구성 레지스터 (PCR) 상태와 일치하지 않아 시스템이 증명되지 않았습니다. 이번 업데이트에서는 여러 측정된 파일에 빠르게 액세스하는 문제와 시스템이 더 이상 테스트되지 않습니다.

Bugzilla:2138167

Keylime 정책 생성 스크립트가 더 이상 세그먼트 오류 및 코어 덤프를 유발하지 않음

create_mb_refstate 스크립트는 Keylime에서 부팅을 측정하기 위한 정책을 생성합니다. 이전에는 create_mb_refstateDevicePath 필드의 데이터 길이를 잘못 계산했습니다. 그 결과 스크립트가 잘못 계산된 길이를 사용하여 잘못된 메모리에 액세스하려고 시도했기 때문에 세그먼트 오류가 발생하여 코어 덤프가 발생했습니다.

RHBA-2023:0309 권고에 게시된 이번 업데이트에서는 측정된 부팅 이벤트 로그를 처리할 때 세그먼트 오류가 발생하지 않습니다. 결과적으로 측정된 부팅 정책을 생성할 수 있습니다.

Bugzilla:2140670

TPM 인증서로 인해 더 이상 Keylime 등록 기관이 충돌하지 않습니다.

이전에는 Keylime TPM 인증서 저장소의 일부 인증서가 잘못된 형식의 x509 인증서로 인해 Keylime 등록 기관이 충돌했습니다. 이 업데이트에서는 문제가 해결되었으며 Keylime 등록 기관은 더 이상 잘못된 형식의ceritficates로 인해 충돌하지 않습니다.

Bugzilla:2142009

Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.