8.2. 보안
Libreswan은 IPv6 SAN 확장 허용
이전에는 IPv6 주소와 함께 SAN( subjectAltName) 확장이 포함된 인증서로 인증서 기반 인증을 설정할 때 IPsec 연결이 실패했습니다. 이번 업데이트를 통해 pluto 데몬이 IPv6 SAN 및 IPv4를 수락하도록 수정되었습니다. 결과적으로 인증서에 ID로 포함된 IPv6 주소를 사용하여 IPsec 연결이 올바르게 설정됩니다.
ip vrf 를 사용하여 가상 라우팅을 관리하는 규칙이 SELinux 정책에 추가됩니다.
ip vrf 명령을 사용하여 다른 네트워크 서비스의 가상 라우팅을 관리할 수 있습니다. 이전에는 selinux-policy 에 이 사용을 지원하는 규칙이 포함되어 있지 않았습니다. 이번 업데이트를 통해 SELinux 정책 규칙을 사용하면 ip 도메인에서 httpd,sshd, named 도메인으로 명시적으로 전환할 수 있습니다. 이러한 전환은 ip 명령에서 setexeccon 라이브러리 호출을 사용하는 경우 적용됩니다.
Jira:RHEL-14246[1]
unconfined_login 이 off로 설정된 경우 SELinux 정책에서 제한되지 않은 사용자에 대한 SSH 로그인을 거부합니다.
이전에는 unconfined_login 부울이 off 로 설정된 경우 SELinux 정책에 제한되지 않은 사용자를 거부하는 규칙이 없었습니다. 결과적으로 unconfined_login 을 off 로 설정하면 사용자가 SSHD를 사용하여 제한되지 않은 도메인에 로그인할 수 있었습니다. 이번 업데이트에서는 SELinux 정책에 규칙이 추가되어 unconfined_login 이 꺼지면 사용자가 sshd 를 통해 unconfined로 로그인할 수 없습니다.
SELinux 정책을 통해 rsyslogd 는 제한된 명령을 실행할 수 있습니다.
이전에는 SELinux 정책에 rsyslogd 데몬이 systemctl 과 같은 SELinux 제한 명령을 실행할 수 있는 규칙이 누락되었습니다. 결과적으로 omprog 지시문의 인수로 명령이 실행되지 않았습니다. 이번 업데이트에서는 SELinux 정책에 규칙을 추가하여 omprog 의 인수로 실행되는 /usr/libexec/rsyslog 디렉터리의 실행 파일이 syslogd_unconfined_script_t unconfined 도메인에 있습니다. 결과적으로 omprog finish 인수로 명령이 성공적으로 실행됩니다.
kmod 는 SELinux MLS 정책에서 실행
이전에는 SELinux에서 /var/run/tmpfiles.d/static-nodes.conf 파일에 개인 유형을 할당하지 않았습니다. 결과적으로 kmod 유틸리티는 SELinux MLS(다중 수준 보안) 정책에서 작동하지 않을 수 있습니다. 이번 업데이트에서는 /var/run/tmpfiles.d/static-nodes.conf 의 kmod_var_run_t 레이블이 SELinux 정책에 추가되어 kmod 가 SELinux MLS 정책에서 성공적으로 실행됩니다.
selinux-autorelabel 은 SELinux MLS 정책에서 실행
이전에는 SELinux 정책에서 /usr/libexec/selinux/selinux-autorelabel 유틸리티에 개인 유형을 할당하지 않았습니다. 결과적으로 selinux-autorelabel.service 가 SELinux MLS(Multi-level security) 정책에서 작동하지 않을 수 있습니다. 이번 업데이트에서는 /usr/libexec/selinux/selinux-autorelabel 에 semanage_exec_t 레이블을 추가하고 결과적으로 SELinux MLS 정책에서 selinux-autorelabel.service 가 성공적으로 실행됩니다.
/bin = /usr/bin file context equivalency rule added to SELinux policy
이전에는 SELinux 정책에 /bin = /usr/bin 파일 컨텍스트 equivalency 규칙이 포함되지 않았습니다. 그 결과 restorecond 데몬이 올바르게 작동하지 않았습니다. 이번 업데이트에서는 정책에 누락된 규칙이 추가되어 결과적으로 restorecond 가 SELinux 강제 모드에서 올바르게 작동합니다.
- 중요
-
이 변경 사항은
/bin의 패턴에 대해 파일 컨텍스트 사양을 사용하는 모든 로컬 정책 모듈을 재정의합니다.
SELinux 정책에는 추가 서비스 및 애플리케이션에 대한 규칙이 포함되어 있습니다.
이 버전의 selinux-policy 패키지에는 추가 규칙이 포함되어 있습니다. 특히 sysadm_r 역할의 사용자는 다음 명령을 실행할 수 있습니다.
-
sudo traceroute(RHEL-14077) -
sudo tcpdump(RHEL-15432)
SELinux 정책에서 QAT 펌웨어에 대한 권한 추가
이전에는 Intel VT-d 커널 옵션이 활성화된 Intel QuickAssist Technology(QAT)를 업데이트할 때 SELinux 권한이 누락되었습니다. 이번 업데이트에서는 qat 서비스에 대한 추가 권한이 추가되었습니다. 결과적으로 QAT를 올바르게 업데이트할 수 있습니다.
Jira:RHEL-19051[1]
rsyslog는 omprog를 통해 권한 있는 명령을 실행할 수 있습니다
이전에는 Rsyslog의 omprog 모듈에서는 특정 외부 프로그램, 특히 권한이 있는 명령이 포함된 프로그램을 실행할 수 없었습니다. 그 결과 omprog 를 통해 권한 있는 명령을 포함하는 스크립트 사용이 제한되었습니다. 이번 업데이트를 통해 SELinux 정책이 조정되었습니다. 스크립트를 /usr/libexec/rsyslog 디렉토리에 배치하여 조정된 SELinux 정책과의 호환성을 확인합니다. 결과적으로 Rsyslog는 이제 omprog 모듈을 통해 권한 있는 명령이 있는 스크립트를 실행할 수 있습니다.
semanage fcontext 명령에서 더 이상 로컬 수정 순서를 다시 정렬하지 않음
semanage fcontext -l -C 명령은 file_contexts.local 파일에 저장된 로컬 파일 컨텍스트 수정 사항을 나열합니다. restorecon 유틸리티는 file_contexts.local 의 항목을 가장 최근 항목에서 가장 오래된 항목으로 처리합니다. 이전에는 semanage fcontext -l -C 가 항목을 잘못된 순서로 나열했습니다. 이러한 처리 순서와 나열 순서가 일치하지 않아 SELinux 규칙을 관리할 때 문제가 발생했습니다. 이번 업데이트를 통해 semanage fcontext -l -C 는 가장 오래된 것부터 최신까지 올바른 순서로 규칙을 표시합니다.
Jira:RHEL-25263[1]
오프셋이 있는 CardOS 5.3 카드는 더 이상 OpenSC에서 문제가 발생하지 않음
이전에는 단일 PKCS #15 파일의 다른 오프셋에 인증서를 저장한 일부 CardOS 5.3 카드에서 파일 캐싱이 제대로 작동하지 않았습니다. 이는 파일 캐싱이 파일의 오프셋 부분을 무시했기 때문에 캐시를 반복적으로 재정의하고 파일 캐시에서 유효하지 않은 데이터를 읽기 때문에 발생했습니다. 이 문제는 업스트림에서 확인 및 수정되었으며 이 업데이트 후 CardOS 5.3 카드가 파일 캐시에서 올바르게 작동합니다.
Jira:RHEL-4079[1]
