3.2. 보안
pcsd
에서 --disable-polkit
옵션 제공
이번 업데이트를 통해 --disable-polkit
옵션으로 pcsd
서비스를 시작하여 PolicyKit 권한 부여 프레임워크 로드를 비활성화할 수 있습니다. polkit
없이 pcsd
를 실행하면 초기 RAM 디스크와 같은 제한된 환경에서 PKCS #11 장치에 액세스할 수 있습니다. 결과적으로 Clevis 암호 해독 클라이언트는 PKCS #11 장치를 사용하여 부팅 시 LUKS 암호화 볼륨을 자동으로 잠금 해제할 수 있습니다.
SSH
에서 SSH 로그인 오류 메시지에 대한 추가 세부 정보가 포함된 링크 제공
초기 오류가 발생하는 경우 ssh
명령줄 툴에서는 일반적인 오류 메시지 및 해결 단계에 대한 추가 세부 정보가 포함된 Red Hat 고객 포털 페이지에 대한 링크를 제공합니다. 이렇게 하면 대화형 모드를 사용할 때 SSH 로그인 문제를 해결할 수 있습니다.
Jira:RHEL-33809[1]
PKCS-tool
에 오브젝트 URI 표시
이번 업데이트를 통해 pkcs11-tool -L
및 pkcs11-tool -O
명령에 출력에 uri:
필드가 포함됩니다. PKCS #11 장치에서 LUKS 암호화 드라이브를 자동으로 잠금 해제하기 위해 pkcs11
Clevis 핀을 구성할 때 URI 정보를 사용할 수 있습니다.
CBC 암호는 이제 암호화 정책에서
차단될 수 있습니다.
이번 업데이트를 통해 crypto-policies
는 openssl -CBC CipherString
지시문을 사용합니다. 결과적으로 암호화 정책에서 활성화되어 있지 않은 경우 OpenSSL에서 CBC 암호화
제품군이 비활성화됩니다.
Jira:RHEL-76524[1]
nettle
3.10.1로 업데이트
nettle
라이브러리 패키지는 업스트림 버전 3.10.1로 변경되었습니다. 이 버전은 다양한 버그 수정, 최적화 및 개선 사항을 제공합니다.
- 64비트 PowerPC 아키텍처(SHA-256, AES 암호 해독 및 AES-GCM)에서 성능이 향상되었습니다.
- 새로운 결정적 임의 비트 생성기인 DRBG-CTR-AES256이 추가되었습니다.
- RSA-OAEP, 새로운 OAEP 패딩 체계를 사용하는 RSA 암호화/암호 해독이 추가되었습니다.
- SHA-3 제품군의 임의의 길이 해시 함수인 SHAKE-128이 추가되었습니다.
- SHAKE-128 및 SHAKE-256용 스트리밍 API가 추가되었습니다.
- MD5 어셈블리가 제거되었습니다. 이로 인해 성능에 약간의 영향을 미칠 수 있습니다.
Jira:RHEL-52740[1]
rsyslog rebased to 8.2412.0
RHEL 9.6에서는 rsyslog
패키지가 업스트림 버전 8.2412.0으로 변경되었습니다. 다른 수정 사항 및 개선 사항 중에는 규칙 세트를 imjournal
모듈에 바인딩할 수 있습니다. 이 최적화를 통해 입력 단계에서 로그 메시지를 필터링하고 처리할 수 있으므로 기본 메시지 큐의 로드가 줄어듭니다. 이렇게 하면 리소스 사용률이 최소화되고 대용량 로그 처리를 원활하게 수행할 수 있습니다.
1.3.12에 기반 OpenSCAP
OpenSCAP 패키지는 업스트림 버전 1.3.12에 따라 변경되었습니다. 이 버전에서는 버그 수정 및 다양한 개선 사항을 제공합니다. 자세한 내용은 OpenSCAP 릴리스 노트 를 참조하십시오.
PKCS #11을 지원하는 Clevis 버전 21로 업데이트
clevis
패키지가 버전 21로 업그레이드되었습니다. 이 버전에는 많은 개선 사항 및 버그 수정이 포함되어 있습니다.
-
PKCS #11 장치(smart 카드)를 사용하여 LUKS 암호화 볼륨을 잠금 해제하기 위해
pkcs11
핀을 제공하는clevis-pin-pkcs11
하위 패키지를 추가했습니다. -
clevis-udisks2
하위 패키지에 두 개의 검사를 추가했습니다. - "사용 중 주소" 오류를 방지하는 수정 사항이 추가되었습니다.
새로운 Keylime 정책 관리 도구
새로운 keylime-policy
툴은 Keylime 런타임 정책과 측정된 부팅 정책의 모든 관리 작업을 통합하고 정책 생성 성능을 향상시킵니다.
SELinux는 특정 유형을 /dev/hfi1_0
에 할당합니다.
이번 업데이트를 통해 SELinux 정책의 /dev/hfi1_0
장치에 hfi1_device_t
유형이 할당됩니다. 결과적으로 SELinux는 장치에 대한 액세스를 적절하게 제어할 수 있습니다.
Jira:RHEL-54996[1]
SELinux 정책에 제한된 추가 서비스
이번 업데이트에서는 다음 systemd
서비스를 제한하는 SELinux 정책에 추가 규칙이 추가되었습니다.
-
iio-sensor-proxy
-
power-profiles-daemon
-
switcheroo-control
-
samba-bgqd
결과적으로 이러한 서비스는 CIS 서버 수준 2 벤치마크를 위반하는 unconfined_service_t
SELinux 레이블로 더 이상 실행되지 않습니다. "SELinux에 의해 데몬 없음 확인" 규칙에서 SELinux 강제 모드에서 성공적으로 실행됩니다.
Jira:RHEL-17346, Jira:RHEL-53124, Jira:RHEL-61117, Jira:RHEL-24268
0.1.76에 기반 SCAP 보안 가이드
자세한 내용은 SCAP 보안 가이드 릴리스 노트를 참조하십시오.
Keylime에는 취소 알림을 위해 HTTPS가 필요합니다.
Keylime 구성 요소를 사용하려면 HTTP 대신 취소 알림 Webhook에 더 안전한 HTTPS 프로토콜을 사용해야 합니다. 결과적으로 Keylime 검증기에는 이제 취소 알림 웹 후크 서버 CA 인증서가 필요합니다. trusted_server_ca
구성 옵션에 추가하거나 시스템 신뢰 저장소에 추가할 수 있습니다.