11.5. 보안
ovnd-keygen 이 기본이 아닌 10.0.0.1을 올바르게 처리하지 않음
CloudEvent d-keygen 스크립트는 생성된 키 파일의 파일 권한을 변경하지 않습니다. 결과적으로 다른 사용자에 대한 키를 읽지 못하게 하는 기본 사용자 파일 생성 모드 마스크(octavia-creation mode mask)가 있는 시스템에서 키를 표시하는 대신 CloudEvent -show-keys 명령에서 오류 메시지 Internal Error 500 을 반환합니다.
이 문제를 해결하려면 CloudEvent o+r *.jwk 명령을 사용하여 /var/db/tang 디렉터리의 파일에 대한 권한을 변경합니다.
OpenSSL은 PKCS #11 토큰이 원시 RSA 또는 RSA-PSS 서명 생성을 지원하는지 감지하지 않습니다.
TLS 1.3 프로토콜에는 RSA-PSS 서명을 지원해야 합니다. PKCS #11 토큰이 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 경우, PKCS #11 토큰에 키가 보유하는 경우 OpenSSL 라이브러리를 사용하는 서버 애플리케이션이 RSA 키와 작동하지 않습니다. 그 결과 설명된 시나리오에서 TLS 통신이 실패합니다.
이 문제를 해결하려면 TLS 버전 1.2를 사용 가능한 최고 TLS 프로토콜 버전으로 사용하도록 서버 및 클라이언트를 구성합니다.
Bugzilla:1681178
OpenSSL 이 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 PKCS #11 토큰을 잘못 처리
OpenSSL 라이브러리에서 PKCS #11 토큰의 키 관련 기능을 감지하지 않습니다. 결과적으로 원시 RSA 또는 RSA-PSS 서명을 지원하지 않는 토큰을 사용하여 서명을 생성할 때 TLS 연결을 설정하지 못합니다.
이 문제를 해결하려면 /etc/pki/tls/openssl.cnf 파일의 crypto_policy 섹션 끝에 .include 행 뒤에 다음 행을 추가합니다.
SignatureAlgorithms = RSA+SHA256:RSA+SHA512:RSA+SHA384:ECDSA+SHA256:ECDSA+SHA512:ECDSA+SHA384 MaxProtocol = TLSv1.2
그 결과 설명된 시나리오에서 TLS 연결을 설정할 수 있습니다.
Bugzilla:1685470
특정 구문이 사용될 때 SCP가 복사된 파일들
scp 유틸리티는 SCP(Secure copy protocol)에서 더 안전한 SSH 파일 전송 프로토콜(SECDHE)으로 변경되었습니다. 결과적으로 위치에서 동일한 위치로 파일을 복사하면 파일 내용이 지워집니다. 이 문제는 다음 구문에 영향을 미칩니다.
scp localhost:/myfile localhost:/myfile
이 문제를 해결하려면 이 구문을 사용하여 소스 위치와 동일한 파일을 대상에 복사하지 마십시오.
다음 구문에 대한 문제가 해결되었습니다.
-
scp /myfile localhost:/myfile -
scp localhost:~/myfile ~/myfile
OSCAP Anaconda 애드온은 그래픽 설치에서 맞춤형 프로필을 가져오지 않습니다.
OSCAP Anaconda 애드온은 RHEL 그래픽 설치에서 보안 프로필의 맞춤을 선택하거나 선택 해제할 수 있는 옵션을 제공하지 않습니다. RHEL 8.8부터 아카이브 또는 RPM 패키지에서 설치할 때 애드온은 기본적으로 조정되지 않습니다. 결과적으로 설치에 OSCAP 맞춤형 프로필을 가져오는 대신 다음과 같은 오류 메시지가 표시됩니다.
There was an unexpected problem with the supplied content.
이 문제를 해결하려면 Kickstart 파일의 %addon org_fedora_oscap 에 경로를 지정해야 합니다. 예를 들면 다음과 같습니다.
xccdf-path = /usr/share/xml/scap/sc_tailoring/ds-combined.xml tailoring-path = /usr/share/xml/scap/sc_tailoring/tailoring-xccdf.xml
결과적으로 해당 Kickstart 사양에서만 OSCAP 맞춤형 프로파일에 대한 그래픽 설치를 사용할 수 있습니다.
Ansible 수정을 위해서는 추가 컬렉션이 필요합니다.
ansible-core 패키지를 통해 Ansible Engine을 교체하면 RHEL 서브스크립션과 함께 제공되는 Ansible 모듈 목록이 줄어듭니다. 결과적으로 scap-security-guide 패키지 내에 포함된 Ansible 콘텐츠를 사용하는 수정을 실행하려면 rhc-worker-playbook 패키지의 컬렉션이 필요합니다.
Ansible 수정을 위해 다음 단계를 수행합니다.
필수 패키지를 설치합니다.
# dnf install -y ansible-core scap-security-guide rhc-worker-playbook
/usr/share/scap-security-guide/ansible디렉터리로 이동합니다.# cd /usr/share/scap-security-guide/ansible
추가 Ansible 컬렉션의 경로를 정의하는 환경 변수를 사용하여 관련 Ansible 플레이북을 실행합니다.
# ANSIBLE_COLLECTIONS_PATH=/usr/share/rhc-worker-playbook/ansible/collections/ansible_collections/ ansible-playbook -c local -i localhost, rhel9-playbook-cis_server_l1.ymlcis_server_l1을 시스템을 수정하려는 프로필 ID로 바꿉니다.
결과적으로 Ansible 콘텐츠가 올바르게 처리됩니다.
rhc-worker-playbook 에 제공된 컬렉션의 지원은 scap-security-guide 에서 가져온 Ansible 콘텐츠를 활성화하는 데 제한됩니다.
oscap-anaconda-addon 은 CIS가 Network Servers 패키지 그룹을 사용하여 시스템을 강화할 수 없습니다.
CIS 보안 프로파일을 사용하여 RHEL Network Server를 설치할 때 (cis _server_l1cis_workstation_l1, cis_workstation_l1 , 또는 cis_workstation_l2 )는 Network Servers 패키지 그룹이 선택된 시스템의 경우, . 설치를 계속 진행하려면 소프트웨어 선택 옵션으로 돌아가서 oscap-addon 은 오류 메시지 패키지 tftp가 제외된 패키지 목록에 추가되었지만, 현재 소프트웨어 선택에서 제거할 수 없습니다네트워크 서버 추가 소프트웨어를 선택 취소하여 설치를 완료하고 강화를 완료합니다. 그런 다음 필요한 패키지를 설치합니다.
Keylime이 연결된 PEM 인증서를 허용하지 않음
Keylime가 단일 파일에 연결된 PEM 형식의 여러 인증서로 인증서 체인을 수신하는 경우 키lime-agent-rust Keylime 구성 요소는 서명 확인 중에 제공된 모든 인증서를 올바르게 사용하지 않으므로 TLS 핸드셰이크 오류가 발생합니다. 결과적으로 클라이언트 구성 요소(keylime_verifier 및 keylime_tenant)는 Keylime 에이전트에 연결할 수 없습니다. 이 문제를 해결하려면 여러 인증서 대신 하나의 인증서만 사용하십시오.
Jira:RHELPLAN-157225
Keylime에는 tls_dir = default에 대한 특정 파일이 필요합니다.
tls_dir 변수가 Keylime verifier 또는 등록 기관 구성에서 default 로 설정된 경우 Keylime은 /var/lib/keylime/cv_ca 디렉터리에 cacert.crt 파일이 있는지 확인합니다. 파일이 없으면 keylime_verifier 또는 keylime_registrar 서비스가 시작되지 않고 로그에 다음 메시지를 기록합니다: 예외: 확인자가 CA와 인증서를 생성하지 않은 것으로 표시됩니다. 먼저 verifier를 실행하십시오. 결과적으로 Keylime은 /var/lib/keylime/ca_cv 디렉터리에 배치되어도 다른 파일 이름을 가진 CA(사용자 정의 인증 기관) 인증서를 거부합니다.
이 문제를 해결하고 사용자 정의 CA 인증서를 사용하려면 tls_dir = default 를 사용하는 대신 tls_dir =/var/lib/keylime/ca_cv 를 수동으로 지정합니다.
Jira:RHELPLAN-157337
기본 SELinux 정책을 사용하면 제한되지 않은 실행 파일이 스택을 실행 가능하게 합니다.
SELinux 정책의 selinuxuser_execstack 부울의 기본 상태는 on입니다. 즉, 제한되지 않은 실행 파일이 스택 실행 파일을 실행할 수 있습니다. 실행 파일은 이 옵션을 사용하지 않아야 하며 잘못 코딩된 실행 파일 또는 가능한 공격을 나타낼 수 있습니다. 그러나 다른 도구, 패키지 및 타사 제품과의 호환성으로 인해 Red Hat은 기본 정책의 부울 값을 변경할 수 없습니다. 시나리오가 이러한 호환성 측면을 사용하지 않는 경우 setsebool -P selinuxuser_execstack off 명령을 입력하여 로컬 정책에서 부울을 해제할 수 있습니다.
STIG 프로필의 SSH 제한 시간 규칙 구성 잘못된 옵션
OpenSSH의 업데이트로 다음의 정보 시스템 기관 (DISA STIG) 프로필의 규칙에 영향을 미쳤습니다.
-
DISA STIG for RHEL 9 (
xccdf_org.ssgproject.content_profile_stig) -
RHEL 9용 GUI가 포함된 DISA STIG (
xccdf_org.ssgproject.content_profile_stig_gui)
다음의 두 가지 규칙에 따라 다음 두 가지 규칙이 영향을 받습니다.
Title: Set SSH Client Alive Count Max to zero CCE Identifier: CCE-90271-8 Rule ID: xccdf_org.ssgproject.content_rule_sshd_set_keepalive_0 Title: Set SSH Idle Timeout Interval CCE Identifier: CCE-90811-1 Rule ID: xccdf_org.ssgproject.content_rule_sshd_set_idle_timeout
SSH 서버에 적용하면 이러한 각 규칙은 더 이상 이전과 같이 작동하지 않는 옵션(ClientAliveCountMax 및 ClientAliveInterval)을 구성합니다. 결과적으로 이러한 규칙으로 구성된 시간 초과에 도달하면 OpenSSH가 더 이상 유휴 SSH 사용자의 연결을 끊지 않습니다. 해결 방법으로 이러한 규칙은 RHEL 9용 DISA STIG에서 임시로 제거되었으며 솔루션이 개발될 때까지 GUI가 포함된 DISA STIG가 있습니다.
암호화 정책에서허용하지 않는 경우에도 GnuPG에서 SHA-1 서명을 사용할 수 있도록 잘못 허용
GNU 개인 정보 보호기 (GnuPG) 암호화 소프트웨어는 시스템 전체 암호화 정책에서 정의한 설정에 관계없이 SHA-1 알고리즘을 사용하는 서명을 생성하고 확인할 수 있습니다. 결과적으로 DEFAULT 암호화 정책의 암호화 목적으로 SHA-1을 사용할 수 있으며 서명의 이 안전하지 않은 알고리즘의 시스템 전체 사용 중단과 일치하지 않습니다.
이 문제를 해결하려면 SHA-1과 관련된 GnuPG 옵션을 사용하지 마십시오. 결과적으로 보안되지 않은 SHA-1 서명을 사용하여 GnuPG가 기본 시스템 보안을 낮추지 못하도록 합니다.
GPG-agent 가 FIPS 모드에서 SSH 에이전트로 작동하지 않음
FIPS 모드가 MD5 다이제스트를 비활성화하더라도 gpg-agent 툴은 ssh-agent 프로그램에 키를 추가할 때 MD5 지문을 생성합니다. 결과적으로 ssh-add 유틸리티가 인증 에이전트에 키를 추가하지 못합니다.
이 문제를 해결하려면 gpg-agent --daemon --enable-ssh-support 명령을 사용하지 않고 ~/.gnupg/sshcontrol 파일을 생성합니다. 예를 들어 < FINGERPRINT> 0 형식의 gpg --list-keys 명령의 출력을 ~/.gnupg/sshcontrol 에 붙여넣을 수 있습니다. 결과적으로 gpg-agent 는 SSH 인증 에이전트로 작동합니다.
OpenSCAP 메모리 사용량 문제
메모리가 제한된 시스템에서 OpenSCAP 스캐너가 조기 종료되거나 결과 파일이 생성되지 않을 수 있습니다. 이 문제를 해결하려면 검사 프로필을 사용자 지정하여 전체 / 파일 시스템에 재귀를 포함하는 규칙을 선택 취소하면 됩니다.
-
rpm_verify_hashes -
rpm_verify_permissions -
rpm_verify_ownership -
file_permissions_unauthorized_world_writable -
no_files_unowned_by_user -
dir_perms_world_writable_system_owned -
file_permissions_unauthorized_suid -
file_permissions_unauthorized_sgid -
file_permissions_ungroupowned -
dir_perms_world_writable_sticky_bits
자세한 내용 및 해결 방법은 관련 지식베이스 문서를 참조하십시오.
Kickstart 설치 중 서비스 관련 규칙 수정에 실패할 수 있습니다.
Kickstart 설치 중에 OpenSCAP 유틸리티에서 서비스 활성화 또는 비활성화 상태 수정이 필요하지 않은 것으로 잘못 표시되는 경우가 있습니다. 그 결과 OpenSCAP에서 설치된 시스템의 서비스를 비준수 상태로 설정할 수 있습니다. 이 문제를 해결하려면 Kickstart 설치 후 시스템을 스캔하고 수정할 수 있습니다. 이렇게 하면 서비스 관련 문제가 해결됩니다.
