3.2. 보안

pcsd 에서 --disable-polkit 옵션 제공

이번 업데이트를 통해 --disable-polkit 옵션으로 pcsd 서비스를 시작하여 PolicyKit 권한 부여 프레임워크 로드를 비활성화할 수 있습니다. polkit 없이 pcsd 를 실행하면 초기 RAM 디스크와 같은 제한된 환경에서 PKCS #11 장치에 액세스할 수 있습니다. 결과적으로 Clevis 암호 해독 클라이언트는 PKCS #11 장치를 사용하여 부팅 시 LUKS 암호화 볼륨을 자동으로 잠금 해제할 수 있습니다.

SSH 에서 SSH 로그인 오류 메시지에 대한 추가 세부 정보가 포함된 링크 제공

초기 오류가 발생하는 경우 ssh 명령줄 툴에서는 일반적인 오류 메시지 및 해결 단계에 대한 추가 세부 정보가 포함된 Red Hat 고객 포털 페이지에 대한 링크를 제공합니다. 이렇게 하면 대화형 모드를 사용할 때 SSH 로그인 문제를 해결할 수 있습니다.

PKCS-tool 에 오브젝트 URI 표시

이번 업데이트를 통해 pkcs11-tool -L 및 pkcs11-tool -O 명령에 출력에 uri: 필드가 포함됩니다. PKCS #11 장치에서 LUKS 암호화 드라이브를 자동으로 잠금 해제하기 위해 pkcs11 Clevis 핀을 구성할 때 URI 정보를 사용할 수 있습니다.

CBC 암호는 이제 암호화 정책에서차단될 수 있습니다.

이번 업데이트를 통해 crypto-policies 는 openssl -CBC CipherString 지시문을 사용합니다. 결과적으로 암호화 정책에서 활성화되어 있지 않은 경우 OpenSSL에서 CBC 암호화 제품군이 비활성화됩니다.

nettle 3.10.1로 업데이트

nettle 라이브러리 패키지는 업스트림 버전 3.10.1로 변경되었습니다. 이 버전은 다양한 버그 수정, 최적화 및 개선 사항을 제공합니다.

rsyslog rebased to 8.2412.0

RHEL 9.6에서는 rsyslog 패키지가 업스트림 버전 8.2412.0으로 변경되었습니다. 다른 수정 사항 및 개선 사항 중에는 규칙 세트를 imjournal 모듈에 바인딩할 수 있습니다. 이 최적화를 통해 입력 단계에서 로그 메시지를 필터링하고 처리할 수 있으므로 기본 메시지 큐의 로드가 줄어듭니다. 이렇게 하면 리소스 사용률이 최소화되고 대용량 로그 처리를 원활하게 수행할 수 있습니다.

1.3.12에 기반 OpenSCAP

OpenSCAP 패키지는 업스트림 버전 1.3.12에 따라 변경되었습니다. 이 버전에서는 버그 수정 및 다양한 개선 사항을 제공합니다. 자세한 내용은 OpenSCAP 릴리스 노트 를 참조하십시오.

PKCS #11을 지원하는 Clevis 버전 21로 업데이트

clevis 패키지가 버전 21로 업그레이드되었습니다. 이 버전에는 많은 개선 사항 및 버그 수정이 포함되어 있습니다.

새로운 Keylime 정책 관리 도구

새로운 keylime-policy 툴은 Keylime 런타임 정책과 측정된 부팅 정책의 모든 관리 작업을 통합하고 정책 생성 성능을 향상시킵니다.

SELinux는 특정 유형을 /dev/hfi1_0에 할당합니다.

이번 업데이트를 통해 SELinux 정책의 /dev/hfi1_0 장치에 hfi1_device_t 유형이 할당됩니다. 결과적으로 SELinux는 장치에 대한 액세스를 적절하게 제어할 수 있습니다.

SELinux 정책에 제한된 추가 서비스

이번 업데이트에서는 다음 systemd 서비스를 제한하는 SELinux 정책에 추가 규칙이 추가되었습니다.

0.1.76에 기반 SCAP 보안 가이드

자세한 내용은 SCAP 보안 가이드 릴리스 노트를 참조하십시오.

Keylime에는 취소 알림을 위해 HTTPS가 필요합니다.

Keylime 구성 요소를 사용하려면 HTTP 대신 취소 알림 Webhook에 더 안전한 HTTPS 프로토콜을 사용해야 합니다. 결과적으로 Keylime 검증기에는 이제 취소 알림 웹 후크 서버 CA 인증서가 필요합니다. trusted_server_ca 구성 옵션에 추가하거나 시스템 신뢰 저장소에 추가할 수 있습니다.