8.2. 보안
OpenSSL 명령 cm 및 은 FIPS 모드에서 파일을 암호화할 수 있습니다.s mime
이전에는 cm 및 OpenSSL 명령의 기본 구성에서 3DES 또는 PKCS #1 v1.5와 같은 레거시 암호화 알고리즘을 사용했습니다. 이러한 알고리즘은 FIPS 모드에서 비활성화되어 있습니다. 결과적으로 기본 설정과 함께 s mimesmime 명령을 사용하여 파일을 암호화하는 것이 FIPS 모드의 시스템에서 작동하지 않았습니다. 이번 업데이트에서는 다음과 같은 변경 사항이 추가되었습니다.
- FIPS 모드에서 OpenSSL API는 기본적으로 RSA 키와 OAEP를 사용하여 CMS 데이터를 생성합니다.
-
FIPS 모드에서
cmsOpenSSL 명령은 RSA 키를 제공할 때aes-128-cbc및 OAEP로 암호화된 CMS 파일을 생성합니다.
ECDSA 키 사용은 영향을 받지 않습니다. 비FIPS 모드에서 OpenSSL API 및 cms 명령은 기본적으로 PKCS#1 v1.5 패딩 및 3DES 암호화를 계속 사용합니다.
결과적으로 FIPS 모드에서 cm 및 OpenSSL 명령을 사용하여 파일을 암호화할 수 있습니다.
s mime
SELinux에서 Dovecot의 메일 복제 허용
양방향 복제 세트를 사용하여 고가용성을 위해 Dovecot 고성능 메일 전달 에이전트를 구성할 수 있지만 이전에 SELinux 정책에 런타임 파일 시스템의 파이프를 통해 통신하기 위한 dovecot-deliver utility에 대한 규칙이 포함되어 있지 않았습니다. 그 결과 Dovecot의 메일 복제가 작동하지 않았습니다. 이번 업데이트를 통해 SELinux 정책에 권한이 추가되어 Dovecot의 메일 복제가 작동합니다.
Bugzilla:2170495[1]
이제 NFS 파일 시스템에서 부팅이 SELinux를 강제 모드로 설정된 상태에서 작동합니다.
이전 버전에서는 NFS를 루트 파일 시스템으로 사용할 때 서버에서 SELinux 레이블이 전달되지 않아 SELinux가 강제 모드로 설정된 경우 부팅 오류가 발생했습니다.
이번 수정을 통해 SELinux가 초기 SELinux 정책 로드를 지원 보안 레이블로 로드하기 전에 생성된 NFS 마운트에 올바르게 플래그를 지정하도록 수정되었습니다. 결과적으로 NFS 마운트는 이제 SELinux 레이블을 서버와 클라이언트 간에 전달하고 부팅은 SELinux를 강제 모드로 설정하여 성공할 수 있습니다.
Bugzilla:2218207[1]
RabbitMQ 가 더 이상 IPv6에서 실패하지 않음
이전에는 IPv6가 활성화된 rabbitmq 서버를 배포할 때 inet_gethost 명령에서 /proc/sys/net/ipv6/conf/all/disable_ipv6 파일에 액세스하려고 했습니다. 결과적으로 시스템은 /proc/sys/net/ipv6/conf/all/disable_ipv6 에 대한 액세스를 거부했습니다. 이번 업데이트를 통해 시스템에서 /proc/sys/net/ipv6/conf/all/disable_ipv6 을 읽을 수 있으며 rabbitmq 가 IPv6에서 작동합니다.
cloud-init 를 통해 Insights에 등록이 더 이상 SELinux에 의해 차단되지 않음
이전에는 SELinux 정책에 cloud-init 스크립트에서 insights-client 서비스를 실행할 수 있는 규칙이 포함되어 있지 않았습니다. 결과적으로 cloud-init 스크립트에서 insights-client --register 명령을 실행하려고 실패했습니다. 이번 업데이트를 통해 누락된 규칙이 정책에 추가되어 강제 모드에서 SELinux를 사용하여 cloud-init 를 통해 Insights에 등록할 수 있습니다.
staff_r SELinux 역할의 사용자는 scap_workbench 프로브를 실행할 수 있습니다.
이전에는 selinux-policy 패키지에 scap-workbench 유틸리티를 실행하는 데 필요한 staff_r SELinux 역할의 사용자에 대한 규칙이 포함되어 있지 않았습니다. 그 결과 staff_r SELinux 역할에서 사용자가 실행할 때 scap-workbench 프로브가 실패했습니다. 이번 업데이트를 통해 selinux-policy 에 누락된 규칙이 추가되어 SELinux 사용자가 scap_workbench 프로브를 실행할 수 있습니다.
Insights-client 에 대한 권한 추가 SELinux 정책
insights-client 서비스에는 이전 버전의 selinux-policy 에 없는 권한이 필요합니다. 그 결과 insights-client 의 일부 구성 요소가 올바르게 작동하지 않고 AVC(액세스 벡터 캐시) 오류 메시지가 보고되었습니다. 이번 업데이트에서는 SELinux 정책에 새 권한이 추가되었습니다. 결과적으로 Insights-client 가 AVC 오류를 보고하지 않고 올바르게 실행됩니다.
JIRA:RHELPLAN-163014[1], Bugzilla:2190178,Bugzilla:2224737, Bugzilla:2207894, Bugzilla:2214581
Keylime allowlist 생성 스크립트 업데이트
Keylime 스크립트 create_allowlist.sh 는 Keylime 정책에 대한 허용 목록을 생성합니다. RHEL 9.3에서는 allowlist를 JSON 런타임 정책으로 변환하려고 할 때 실패한 create_runtime_policy.sh 스크립트로 교체되었습니다.
이번 업데이트를 통해 스크립트는 create_allowlist.sh 로 복원되었습니다. 이제 keylime_create_policy 스크립트를 사용하여 allowlist 및 excludelist를 JSON 런타임 정책에 결합할 수 있습니다.
Jira:RHEL-11866[1]
Keylime은 더 이상 tls_dir = default에 대한 특정 파일이 필요하지 않음
이전에는 Keylime verifier 또는 등록 기관 구성에서 tls_dir 변수가 default 로 설정된 경우 Keylime은 cacert.crt 와 다른 파일 이름이 있는 CA(사용자 정의 인증 기관) 인증서를 거부했습니다. 이번 업데이트를 통해 문제가 더 이상 발생하지 않으며 tls_dir = default 설정에서도 사용자 정의 CA 인증서 파일을 사용할 수 있습니다.
Jira:RHELPLAN-157337[1]
환경 변수는 밑줄을 사용하여 Keylime 에이전트 옵션을 재정의할 수 있습니다.
이전 버전에서는 Keylime 에이전트 구성 옵션에 밑줄(_)이 포함된 경우 환경 변수를 통한 이 옵션을 재정의하지 못했습니다. 이번 업데이트를 통해 옵션 이름에 밑줄이 포함된 경우에도 환경 변수를 통한 재정의가 올바르게 작동합니다.
Jira:RHEL-395[1]
Keylime 등록 기관이 IPv6 주소를 올바르게 식별합니다.
이전에는 Keylime 등록 기관이 IPv6 주소를 올바르게 인식하지 못했기 때문에 수신 대기 포트를 바인딩하지 못했습니다. 이번 업데이트를 통해 등록 기관은 IPv6 주소를 올바르게 식별하고 결과적으로 해당 포트에 올바르게 바인딩됩니다.
Jira:RHEL-392[1]
Keylime 에이전트가 IPv6 주소를 올바르게 처리
이전 버전에서는 대괄호로 묶지 않은 IPv6 주소를 사용하여 Keylime 에이전트를 등록할 때 keylime_tenant 유틸리티가 오류로 실패했습니다. 이번 업데이트를 통해 keylime_tenant 는 대괄호로 묶지 않은 경우에도 IPv6 주소를 올바르게 처리합니다.
Jira:RHEL-393[1]
QEMU VM의 새 이벤트로 인해 Keylime이 더 이상 측정된 부팅 확인에 실패하지 않음
edk2-ovmf 패키지를 업데이트하면 QEMU에서 운영하는 가상 시스템의 측정된 부팅 로그에 새 유형의 이벤트가 도입되었습니다. 이러한 이벤트로 인해 Keylime 측정된 부팅 시 오류가 발생했습니다. 이번 업데이트를 통해 Keylime은 이러한 이벤트를 올바르게 처리합니다.
Jira:RHEL-947[1]
Keylime webhook notifier가 TLS 세션을 올바르게 닫습니다
이전에는 keylime webhook notifier가 TLS 세션을 올바르게 종료하지 않았습니다. 이로 인해 리스너 측에 경고가 보고되었습니다. 이번 업데이트에서는 이 문제가 해결되어 Webhook 알림 프로그램이 TLS 세션을 올바르게 닫습니다.
Jira:RHEL-1252[1]
이제 GPG-agent 가 FIPS 모드에서 SSH 에이전트로 작동합니다.
이전에는 FIPS 모드에서 MD5 다이제스트를 비활성화하더라도 ssh-agent 프로그램에 키를 추가할 때 gpg-agent 툴에서 MD5 지문을 생성했습니다. 그 결과 ssh-add 유틸리티에서 인증 에이전트에 키를 추가하지 못했습니다.
이번 릴리스에서는 gpg-agent 에서 더 이상 MD5 체크섬을 사용하지 않습니다. 결과적으로 gpg-agent 는 FIPS 모드에서 실행되는 시스템에서도 SSH 인증 에이전트로 작동합니다.
tangd-keygen 이제 기본이 아닌 GPO를 올바르게 처리
이전에는 tangd-keygen 스크립트에서 생성된 키 파일의 파일 권한을 변경하지 않았습니다. 결과적으로 기본 사용자 파일 생성 모드 마스크(undercloud )가 있는 시스템에서 tang-show-keys 명령은 키를 표시하는 대신 Internal Error 500 오류 메시지를 반환했습니다. 이번 업데이트를 통해 tangd-keygen 은 생성된 키 파일에 대한 파일 권한을 설정하므로 이제 스크립트가 기본이 아닌 Cryostat 가 있는 시스템에서 올바르게 작동합니다.
fapolicyd 서비스는 신뢰할 수 있는 데이터베이스에서 제거된 프로그램을 더 이상 실행하지 않음
이전에는 fapolicyd 서비스에서 신뢰할 수 있는 데이터베이스에서 제거된 후에도 프로그램을 신뢰할 수 있는 것으로 잘못 처리했습니다. 그 결과 fapolicyd-cli --update 명령을 입력하지 않았으며 프로그램이 제거된 후에도 실행할 수 있었습니다. 이번 업데이트를 통해 fapolicyd-cli --update 명령은 신뢰할 수 있는 프로그램 데이터베이스를 올바르게 업데이트하고 제거된 프로그램을 더 이상 실행할 수 없습니다.
fapolicyd 로 인해 mount 및 umount후 시스템이 더 이상 중단되지 않음
이전 버전에서는 mount 또는 umount 작업이 두 번 실행된 후 fapolicyd-cli --update 명령을 실행하면 fapolicyd 서비스가 무한 루프가 입력될 수 있었습니다. 그 결과 시스템이 응답을 중지했습니다. 이번 업데이트를 통해 서비스는 fapolicyd-cli --update 명령을 올바르게 실행하고 여러 마운트 또는 umount 작업을 처리합니다.
Keylime에서 연결된 PEM 인증서 허용
이전에는 Keylime이 단일 파일에서 PEM 형식의 여러 인증서로 인증서 체인을 수신하면 keylime-agent-rust Keylime 구성 요소가 TLS 핸드셰이크 실패를 생성했습니다. 그 결과 클라이언트 구성 요소(keylime_verifier 및 keylime_tenant)가 Keylime 에이전트에 연결할 수 없었습니다. 이번 업데이트를 통해 keylime-agent-rust 는 중간 CA 인증서를 포함하여 여러 인증서를 올바르게 처리합니다. 결과적으로 Keylime과 연결된 PEM 인증서를 사용할 수 있습니다.
Jira:RHEL-396[1]
rsyslog는 기능 없이도 시작할 수 있습니다.
Rsyslog가 일반 사용자 또는 컨테이너화된 환경에서 실행되는 경우 rsyslog 프로세스에는 기능이 없습니다. 결과적으로 이 시나리오의 Rsyslog는 기능을 드롭하고 시작 시 종료할 수 없었습니다. 이번 업데이트를 통해 기능이 없는 경우 프로세스는 더 이상 기능을 삭제하려고 시도하지 않습니다. 결과적으로 Rsyslog는 기능이 없는 경우에도 시작할 수 있습니다.
Jira:RHELPLAN-160541[1]
io_uring 이제 SELinux 거부 없이 작동합니다.
이전에는 io_uring 커널 인터페이스에 SELinux 정책의 맵 권한이 누락되었습니다. 결과적으로 mmap 시스템 호출이 실패하고 io_uring 인터페이스가 제대로 작동하지 않았습니다. 이번 업데이트를 통해 SELinux 정책에서 맵 권한이 허용되었으며 이제 인터페이스가 SELinux 거부 없이 작동합니다.
oscap-anaconda-addon 은 CIS용 네트워크 서버를 강화할 수 있음
이전 버전에서는 CIS 보안 프로필 (cis _server_l1cis_workstation_l1 또는 cis_workstation_l2)을 사용하여 RHEL 네트워크 서버를 설치할 수 없었습니다. 이 문제는 RHEL 9.3에서 제공되는 oscap-anaconda-addon-2.0.0-17.el9 에서 tftp 패키지를 제외하여 해결되었습니다. 결과적으로 Network Servers 패키지 그룹을 사용하여 CIS가 강화된 RHEL 네트워크 서버를 설치할 수 있습니다.
규칙 확인 홈 디렉터리는 로컬 사용자에게만 적용됩니다.
scap-security-guide 패키지에서 제공하는 여러 규정 준수 프로필에는 사용자 홈 디렉터리의 올바른 구성을 확인하는 다음 규칙이 포함되어 있습니다.
-
accounts_umask_interactive_users -
accounts_user_dot_group_ownership -
accounts_user_dot_user_ownership -
accounts_user_interactive_home_directory_exists -
accounts_users_home_files_groupownership -
accounts_users_home_files_ownership -
accounts_users_home_files_permissions -
file_groupownership_home_directories -
file_ownership_home_directories -
file_permissions_home_directories
이러한 규칙은 로컬 사용자의 구성을 올바르게 확인합니다. 이전에는 수정 스크립트가 원격 사용자의 구성을 변경할 수 없는 경우에도 스캐너에서 NSS와 같은 네트워크 소스에서 제공하는 원격 사용자의 구성을 잘못 확인했습니다. 이는 OpenSCAP 스캐너에서 이전에 getpwent() 시스템 호출을 사용했기 때문입니다. 이번 업데이트에서는 /etc/passwd 파일의 데이터에만 의존하도록 이러한 규칙의 내부 구현을 변경합니다. 결과적으로 규칙은 이제 로컬 사용자의 구성에만 적용됩니다.
암호 기간 규칙은 로컬 사용자에게만 적용됩니다.
일부 규정 준수 프로필(예: CIS 및 DISA STIG)에는 다음 규칙 확인 암호 사용 기간 및 사용자 계정 암호 만료가 포함됩니다.
-
accounts_password_set_max_life_existing -
accounts_password_set_min_life_existing -
accounts_password_set_warn_age_existing -
accounts_set_post_pw_existing
이러한 규칙은 로컬 사용자의 구성을 올바르게 확인합니다. 이전에는 수정 스크립트가 원격 사용자의 구성을 변경할 수 없는 경우에도 스캐너에서 NSS와 같은 네트워크 소스에서 제공하는 원격 사용자의 구성을 잘못 확인했습니다. 이는 OpenSCAP 스캐너에서 이전에 getpwent() 시스템 호출을 사용했기 때문입니다.
이번 업데이트에서는 /etc/shadow 파일의 데이터만 사용하도록 이러한 규칙의 내부 구현을 변경합니다. 결과적으로 규칙은 이제 로컬 사용자의 구성에만 적용됩니다.
Red Hat CVE 피드 업데이트
https://access.redhat.com/security/data/oval/의 Red Hat Common Vulnerabilities and Exposures (CVE) 피드 버전 1은 중단되었으며 https://access.redhat.com/security/data/oval/v2/ 에 있는 CVE 피드 버전 2로 교체되었습니다.
결과적으로 scap-security-guide 패키지에서 제공하는 SCAP 소스 데이터 스트림의 링크가 새 버전의 Red Hat CVE 피드에 연결되도록 업데이트되었습니다.
journald 구성과 관련된 규칙은 더 이상 따옴표를 추가하지 않음
이전에는 SCAP 보안 가이드 규칙 journald_compress,journald_forward_to_syslog 및 journald_storage 에 이전에 수정 스크립트에 버그가 포함되어 있었습니다. 이로 인해 /etc/systemd/journald.conf 구성 파일의 구성 옵션에 추가 따옴표가 추가되었습니다. 결과적으로 journald 시스템 서비스가 구성 옵션을 구문 분석하지 못하고 무시했습니다. 따라서 구성 옵션이 적용되지 않았습니다. 이로 인해 false pass 결과가 OpenSCAP 스캔이 발생했습니다. 이번 업데이트를 통해 규칙 및 수정 스크립트가 더 이상 추가 따옴표를 추가하지 않습니다. 결과적으로 이러한 규칙은 journald 에 유효한 구성을 생성합니다.
/var/lib/fdo 아래의 파일은 이제 올바른 SElinux 레이블을 얻을 수 있습니다.
이전에는 FDO 프로세스에서 전체 호스트에 액세스할 수 있는 보안 문제가 있었습니다. 이번 업데이트를 통해 SElinux와 함께 service-info-api 서버를 사용하여 /var/lib/fdo 디렉터리의 장치에 보낼 파일을 추가할 수 있으며 결과적으로 /var/lib/fdo 의 파일이 올바른 SElinux 레이블을 가져옵니다.
