4.2. 보안
Keylime 검증기 및 등록 기관 컨테이너 사용 가능
이제 Keylime 서버 구성 요소, 검증자 및 등록 기관을 컨테이너로 구성할 수 있습니다. 컨테이너 내에서 실행되도록 구성된 경우 Keylime 등록 기관은 호스트의 바이너리 없이 컨테이너에서 테넌트 시스템을 모니터링합니다. 컨테이너 배포로 Keylime 구성 요소의 격리, 모듈성 및 재현성을 개선할 수 있습니다.
Jira:RHELDOCS-16721[1]
libkcapi 에서 해시 계산에 대상 파일 이름을 지정하는 옵션을 제공합니다.
libkcapi (Linux 커널 암호화 API) 패키지의 이번 업데이트에서는 해시 계산에 대상 파일 이름을 지정하는 새로운 옵션 -T 가 도입되었습니다. 이 옵션의 값은 처리된 HMAC 파일에 지정된 파일 이름을 재정의합니다. 이 옵션은 -c 옵션에서만 사용할 수 있습니다. 예를 들면 다음과 같습니다.
$ sha256hmac -c <hmac_file> -T <target_file>
Jira:RHEL-15298[1]
암호화 정책을사용하여 SSH에서 MAC을 미세 제어
이제 시스템 전체 암호화 정책(암호정책)에서 SSH 프로토콜에 대한 메시지 인증 코드(MAC)에 대한 추가 옵션을 설정할 수 있습니다. 이번 업데이트를 통해 crypto-policies 옵션 ssh_etm 이 tri-state etm@SSH 옵션으로 변환되었습니다. 이전 ssh_etm 옵션이 더 이상 사용되지 않습니다.
이제 ssh_etm 을 다음 값 중 하나로 설정할 수 있습니다.
ANY-
encrypt-mac 및
encrypt-and-mac DISABLE_ETM-
encrypt-mac-macs를허용하지 않습니다. DISABLE_NON_ETM-
encrypt-ctlplane-mac를 사용하지 않는 MAC을허용하지 않습니다.
암시적 MAC을 사용하는 암호는 인증된 암호화를 사용하므로 항상 허용됩니다.
semanage fcontext 명령에서 더 이상 로컬 수정 순서를 다시 정렬하지 않음
semanage fcontext -l -C 명령은 file_contexts.local 파일에 저장된 로컬 파일 컨텍스트 수정 사항을 나열합니다. restorecon 유틸리티는 file_contexts.local 의 항목을 가장 최근 항목에서 가장 오래된 항목으로 처리합니다. 이전에는 semanage fcontext -l -C 가 항목을 잘못된 순서로 나열했습니다. 이러한 처리 순서와 나열 순서가 일치하지 않아 SELinux 규칙을 관리할 때 문제가 발생했습니다. 이번 업데이트를 통해 semanage fcontext -l -C 는 가장 오래된 것부터 최신까지 올바른 순서로 규칙을 표시합니다.
Jira:RHEL-24462[1]
SELinux 정책에 제한된 추가 서비스
이번 업데이트에서는 다음 systemd 서비스를 제한하는 SELinux 정책에 추가 규칙이 추가되었습니다.
-
NVMe-stas -
rust-afterburn -
rust-coreos-installer -
bootc
결과적으로 이러한 서비스는 더 이상 unconfined_service_t SELinux 레이블로 실행되지 않으며 SELinux 강제 모드에서 성공적으로 실행됩니다.
Jira:RHEL-12591[1]
SAP HANA 서비스를 위한 새로운 SELinux 정책 모듈
이번 업데이트에서는 SAP HANA 서비스에 대한 SELinux 정책에 추가 규칙이 추가되었습니다. 결과적으로 sap_unconfined_t 도메인의 SELinux 강제 모드에서 서비스가 성공적으로 실행됩니다.
glusterd SELinux 모듈이 별도의 glusterfs-selinux 패키지로 이동
이번 업데이트를 통해 glusterd SELinux 모듈이 별도의 glusterfs-selinux 패키지에서 유지 관리됩니다. 따라서 모듈은 더 이상 selinux-policy 패키지에 포함되지 않습니다. glusterd 모듈과 관련된 모든 작업의 경우 glusterfs-selinux 패키지를 설치하고 사용합니다.
별도의 패키지로 제공되는 OpenSSL의 fips.so 라이브러리
OpenSSL은 fips.so 공유 라이브러리를 FIPS 공급자로 사용합니다. 이번 업데이트를 통해 인증을 위해 NIST(National Institute of Standards and Technology)에 제출된 fips.so 의 최신 버전은 향후 OpenSSL 버전이 인증 코드 또는 코드를 사용하도록 별도의 패키지에 있습니다.
Jira:RHEL-23474[1]
chronyd 제한 서비스는 SELinux 정책에 의해 제한됩니다.
이번 업데이트에서는 새 chronyd 제한 서비스를 제한하는 SELinux 정책에 추가 규칙이 추가되었습니다. 결과적으로 이제 서비스가 SELinux에서 성공적으로 실행됩니다.
OpenSSL은 공급자 구성을 위한 드롭인 디렉터리 추가
OpenSSL TLS 툴킷은 암호화 알고리즘을 제공하는 모듈의 설치 및 구성을 위한 공급자 API를 지원합니다. 이번 업데이트를 통해 기본 OpenSSL 구성 파일을 수정하지 않고 /etc/pki/tls/openssl.d 디렉터리에 공급자별 구성을 별도의 .conf 파일에 배치할 수 있습니다.
SELinux 사용자 공간 구성 요소가 3.6으로 업데이트됨
SELinux 사용자 공간 구성 요소 libsepol,libselinux,libsemanage,policycoreutils,checkpolicy, mcstrans 라이브러리 패키지가 3.6로 변경되었습니다. 이 버전은 다양한 버그 수정, 최적화 및 개선 사항을 제공합니다.
-
CIL에서
거부규칙에 대한 지원이 추가되었습니다. -
CIL에서
자체및기타키워드에 대한 지원이 추가되었습니다. -
현재 시스템에서 수행한 정책 재로드 횟수를 출력하는
getpolicyload바이너리를 추가합니다.
GnuTLS가 3.8.3으로 업데이트됨
GnuTLS 패키지는 업스트림 버전 3.8.3 이 버전에 따라 다양한 버그 수정 및 개선 사항을 제공합니다.
-
이제
gnutls_hkdf_expand함수는 RFC 5869 2.3을 준수하기 위해 255 시간 해시 다이제스트 크기보다 작거나 같은 인수만 허용합니다. -
TLS PSK사용자 이름의 길이 제한이 65535자로 증가했습니다. -
gnutls_session_channel_bindingAPI 기능은 RFC 9622 4.2에 따라GNUTLS_CB_TLS_EXPORTER를 요청할 때 추가 검사를 수행합니다. -
클라이언트 측에서
status_requestTLS 확장을 비활성화할 수 있도록GNUTLS우선순위 한정자가 추가되었습니다._NO_STATUS_REQUEST - GnuTLS는 TLS 버전이 1.3 이전인 경우 Change Cipher Spec 메시지의 내용을 1과 같은지 확인합니다.
- ClientHello 확장 순서는 기본적으로 임의화됩니다.
- GnuTLS는 이전에 작동하지 않은 PKCS #11 토큰에서 EdDSA 키 생성을 지원합니다.
Jira:RHEL-14891[1]
nettle rebased to 3.9.1
nettle 라이브러리 패키지는 3.9.1로 변경되었습니다. 이 버전은 다양한 버그 수정, 최적화 및 개선 사항을 제공합니다.
- balloon 암호 해시 추가
- SIV-GCM 인증 암호화 모드 추가
- Offset Codebook Mode 인증 암호화 모드 추가
- 64비트 IBM Z, AMD 및 Intel 64비트 아키텍처에서 SHA-256 해시 함수의 성능 향상
- IBM Power Systems, Little Endian, AMD 및 Intel 64비트 아키텍처에서 Poly1305 해시 함수의 성능 향상
Jira:RHEL-14890[1]
0.25.3을 기반으로 하는 p11-kit
p11-kit 패키지가 업스트림 버전 0.25.3으로 업데이트되었습니다. 패키지에는 PKCS #11 모듈을 관리하기 위한 p11-kit 툴, 신뢰 정책 저장소에 대한 신뢰 도구, p11-kit 라이브러리가 포함되어 있습니다. 주요 개선 사항은 다음과 같습니다.
- PKCS #11 버전 3.0에 대한 지원 추가
pkcs11.h헤더 파일:- heldCha20/Salsa20, poly1305 및 IBM 관련 메커니즘 및 속성 추가
- 메시지 기반 암호화를 위한 AES-GCM 메커니즘 매개변수 추가
p11-kit툴:-
토큰 오브젝트를 나열하고 관리하기 위한 유틸리티 명령(
list-tokens,list-mechanisms,list-objects,import-object,delete-object,generate-keypair) -
토큰의 PKCS#11 프로필을 관리하기 위한 유틸리티 명령 추가 (
list-profiles,add-profile,delete-profile) -
인쇄 병합 구성을 위해
print-config명령 추가
-
토큰 오브젝트를 나열하고 관리하기 위한 유틸리티 명령(
신뢰도구:-
check-format명령을 추가하여.p11-kit파일의 형식을 검증합니다.
-
Jira:RHEL-14834[1]
1.4.0에 기반 libkcapi rebased
Linux 커널 암호화 API에 대한 액세스를 제공하는 libkcapi 라이브러리는 업스트림 버전 1.4.0에 따라 변경되었습니다. 이 업데이트에는 다양한 개선 사항 및 버그 수정이 포함되어 있습니다.
-
sm3sum및sm3hmac툴을 추가했습니다. -
kcapi_md_sm3및kcapi_md_hmac_sm3API를 추가했습니다. - SM4 편의성 기능이 추가되었습니다.
- LTO(link-time optimization)에 대한 지원이 수정되었습니다.
- LTO 회귀 테스트를 수정했습니다.
-
kcapi-enc를 사용하여 임의의 크기의 AEAD 암호화를 수정했습니다.
Jira:RHEL-5367[1]
OpenSSH의 사용자 및 그룹 생성에서는 sysusers.d 형식을 사용합니다.
이전에는 OpenSSH에서 정적 useradd 스크립트를 사용했습니다. 이번 업데이트를 통해 OpenSSH는 sysusers.d 형식을 사용하여 시스템 사용자를 선언하므로 시스템 사용자를 세부 검사할 수 있습니다.
OpenSSH는 인증의 인위 지연 제한
로그인 실패 후 OpenSSH의 응답은 사용자 열거 공격을 방지하기 위해 인위적으로 지연됩니다. 이번 업데이트에서는 원격 인증이 너무 오래 걸리는 경우(예: 권한 액세스 관리(PAM) 처리의 경우 이러한 지연에 대한 상한이 도입되었습니다.
Jira:RHEL-2469[1]
Stunnel은 5.71로 다시 기반
stunnel TLS/SSL 터널링 서비스는 업스트림 버전 5.71로 변경되었습니다.
주요 새로운 기능은 다음과 같습니다.
- 최신 PostgreSQL 클라이언트에 대한 지원이 추가되었습니다.
-
protocolHeader서비스 수준 옵션을 사용하여 사용자 지정연결프로토콜 협상 헤더를 삽입할 수 있습니다. -
protocolHost옵션을 사용하여 HELO/EHLO 값의 클라이언트 SMTP 프로토콜 협상을 제어할 수 있습니다. -
클라이언트 측 프로토콜에 대한 클라이언트 측 지원이 추가되었습니다.
ldap. -
이제 service-level
sessionResume옵션을 사용하여 세션 재개를 구성할 수 있습니다. -
CApath를 사용하여 서버 모드에서 클라이언트 인증서를 요청하는 데 지원이 추가되었습니다(이전에는CAfile만 지원됨). - 파일 읽기 및 로깅 성능 개선
-
재시도옵션에 대한 구성 가능한 지연에 대한 지원이 추가되었습니다. -
클라이언트 모드에서
verifyCryostat가 설정된 경우 OCSP 스타일링이 요청되고 검증됩니다. - 서버 모드에서 OCSP 스타일링은 항상 사용할 수 있습니다.
-
OCSP 확인으로 인해 TLS 협상이 중단됩니다.
OCSPrequire = no를 설정하여 이 기능을 비활성화할 수 있습니다.
Jira:RHEL-2468[1]
Rsyslog의 기능을 삭제하는 새로운 옵션
다음 글로벌 옵션을 사용하여 기능을 삭제할 때 Rsyslog 동작을 구성할 수 있습니다.
libcapng.default-
기능을 삭제하는 동안 오류가 발생할 때 Rsyslog의 작업을 결정합니다. 기본값은
on이므로libcapng 관련오류가 발생하는 경우 Rsyslog가 종료되었습니다. libcapng.enable-
시작 중에 Rsyslog가 기능을 삭제하는지 여부를 결정합니다. 이 옵션을 비활성화하면
libcapng.default에 영향을 미치지 않습니다.
Jira:RHEL-943[1]
3.1.2에서 감사 기반 감사
Linux 감사 시스템이 버전 3.1.2로 업데이트되어 이전에 릴리스된 버전 3.0.7에 비해 버그 수정, 개선 사항 및 성능 향상을 제공합니다. 주요 개선 사항은 다음과 같습니다.
-
이제
auparse라이브러리에서 이름이 지정되지 않은 소켓과 익명 소켓을 해석합니다. -
new 키워드는
ausearch및aureport도구의시작및종료옵션에서 사용할 수 있습니다. -
io_uring비동기 I/O API에 대한 지원이 추가되었습니다. -
신호에 대한 사용자 친화적인 키워드가
auditctl프로그램에 추가되었습니다. -
손상된 로그를
auparse에서 처리하는 기능이 향상되었습니다. -
이제
auditd서비스에서protectControlGroups옵션이 기본적으로 비활성화되어 있습니다. - exclude 필터에 대한 규칙 검사가 수정되었습니다.
-
OPENAT2필드 해석이 향상되었습니다. -
audispd af_unix플러그인이 독립 실행형 프로그램으로 이동되었습니다. - Python API에서 감사 규칙을 설정하지 않도록 Python 바인딩이 변경되었습니다. 이러한 변경은 SWIG(Simplified Wrapper and Interface Generator)의 버그로 인해 발생했습니다.
Jira:RHEL-14896[1]
rsyslog가 8.2310으로 업데이트됨
Rsyslog 로그 처리 시스템은 업스트림 버전 8.2310으로 변경되었습니다. 이번 업데이트에서는 중요한 개선 사항 및 버그 수정이 도입되었습니다. 주요 개선 사항은 다음과 같습니다.
- 사용자 지정 가능한 TLS/SSL 암호화 설정
-
이전 버전에서는 별도의 연결에 대한 TLS/SSL 암호화 설정을 구성하는 것이 글로벌 설정으로 제한되었습니다. 최신 버전으로 Rsyslog의 각 개별 연결에 대한 고유한 TLS/SSL 설정을 정의할 수 있습니다. 여기에는 보안 및 유연성 향상을 위해 다양한 CA 인증서, 개인 키, 공개 키 및 CRL 파일을 지정하는 작업이 포함됩니다. 자세한 정보 및 사용법은
rsyslog-doc패키지에 제공된 설명서를 참조하십시오. - 개선된 기능 삭제 기능
-
이제 기능 삭제와 관련된 추가 옵션을 설정할 수 있습니다.
libcapng.enable글로벌 옵션을off로 설정하여 기능 삭제를 비활성화할 수 있습니다. 자세한 내용은 RHEL-943 을 참조하십시오.
Jira:RHEL-937, Jira:RHEL-943
SCAP 보안 가이드 0.1.72에 기반
SCAP Security Guide (SSG) 패키지는 업스트림 버전 0.1.72로 변경되었습니다. 이 버전은 버그 수정 및 다양한 개선 사항을 제공합니다.
- CIS 프로필은 최신 벤치마크에 맞게 업데이트됩니다.
- PCI DSS 프로필은 PCI DSS 정책 버전 4.0과 일치합니다.
- STIG 프로필은 최신 DISA STIG 정책과 일치합니다.
자세한 내용은 SCAP 보안 가이드 릴리스 노트를 참조하십시오.
