4.2. 보안

NSS 3.112 기반

NSS 암호화 툴킷 패키지는 업스트림 버전 3.112를 기반으로 변경되어 많은 개선 사항 및 수정 사항을 제공합니다. 특히 다음과 같습니다.

RHEL 9.7 암호화 정책 지원 요청 후 암호화

이 시스템 전체 암호화 정책을 업데이트하면 새로운 PQ 하위 정책을 통해 PQ(Post-quantum 암호화)에 대한 지원을 활성화할 수 있습니다. RHEL 9.7 암호화 정책의 주요 변경 사항은 다음과 같습니다.

OpenSSL이 3.5로 업데이트됨

OpenSSL은 업스트림 버전 3.5를 기반으로 합니다. 이 버전은 중요한 수정 사항 및 개선 사항을 제공합니다. 특히 다음과 같습니다.

OpenSSL 지원 sslkeylogfile

OpenSSL은 TLS에 대한 sslkeylogfile 형식을 지원합니다. 따라서 SSLKEYLOGFILE 환경 변수를 설정하여 SSL 연결에 의해 생성된 모든 보안을 기록할 수 있습니다.

하이브리드 ML-KEM 암호화는 FIPS 모드에서 작동합니다.

이번 릴리스에서는 Hybrid Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM) post-quantum 암호화 알고리즘이 RHEL의 FIPS 모드에서 지원됩니다. OpenSSL은 FIPS 모드에서 시스템이 실행되는 경우 FIPS 공급자에서 새로운 하이브리드 post-quantum 그룹의 ECDH(Elliptic Curve Diffie-Hellman) 부분을 가져올 수 있습니다. 그 결과 OpenSSL 라이브러리는 하이브리드 정족 후 키 교환의 ECDH 부분에 FIPS 호환 암호화를 사용합니다. 시스템을 FIPS:PQ 암호화 정책으로 설정하면 기본적으로 OpenSSL 서버 및 클라이언트에서 하이브리드 post-quantum 그룹이 활성화되고 사용됩니다.

NSS에서 crypto-policies 지원 Ed25519

이 업데이트를 통해 시스템 전체 암호화 정책을 통해 Cryostat-curve Digital Signature Algorithm (EdDSA), Ed25519 (NSS)의 SHA-512 변형에 대한 지원을 사용할 수 있습니다. 결과적으로 암호화 정책은 기본적으로 NSS에 대해 DEFAULT, LEGACY 및 FUTURE 정책에서 Ed25519를 활성화합니다.

새 패키지: rust-rpm-sequoia

RHEL 9.7에는 다중 DNF 플러그인을 통해 RPM 패키지에서 rust-rpm-sequoia 패키지가 도입되었습니다. 또한 PQC(Post-quantum cryptographic) 알고리즘으로 서명된 RPM 패키지에서 OpenPGP v6 서명을 확인할 수 있습니다.

0.1.78에 기반 SCAP 보안 가이드

자세한 내용은 SCAP 보안 가이드 릴리스 노트를 참조하십시오.

SELinux 정책은 qgs 데몬에 대한 규칙 및 유형을 추가합니다.

TDX 기밀 가상화를 지원하는 linux-sgx 패키지를 사용하여 qgs 데몬이 RHEL에 추가되었습니다. 게스트 OS가 VM(가상 머신) 인증을 요청할 때 qgs 데몬은 UNIX 도메인 소켓을 통해 QEMU와 통신합니다. 이를 위해 SELinux 정책은 새 qgs_t 유형, 액세스 규칙 및 권한을 추가합니다.

SELinux 허용 모드에서 제거된 RHEL 서비스 세 개

다음 RHEL 서비스 도메인은 SELinux 허용 모드에서 제거되었습니다.

SELinux 정책에서 tuned-ppd 제한

RHEL 9.7에서는 tuned-ppd 서비스를 제한하는 SELinux 정책에 추가 규칙을 추가합니다. 이번 업데이트 이전에는 CIS 서버 수준 2 벤치마크를 위반하는 unconfined_service_t SELinux 레이블로 서비스가 실행되었습니다. "SELinux에 의해 데몬을 제한되지 않음" 규칙을 위반했습니다. 이번 업데이트를 통해 서비스가 더 이상 제한되지 않고 SELinux 강제 모드에서 성공적으로 실행됩니다.

버전 7.12.1에 따라 키릴 수 있습니다.

Keylime 패키지는 업스트림 버전 7.12.1에 따라 변경되었습니다. 가장 중요한 수정 사항 및 개선 사항은 다음과 같습니다.

SELinux는 특정 유형을 /dev/diag에 할당합니다.

이번 업데이트를 통해 diagnostic_device_t 유형이 SELinux 정책의 /dev/diag 장치에 할당됩니다. 결과적으로 SELinux는 장치에 대한 액세스를 적절하게 제어할 수 있습니다.

OpenSSL PKCS #11 공급자는 Ex=RSA 암호화 지원을 추가합니다.

OpenSSL PKCS #11 공급자를 업데이트하면 더 이상 사용되지 않는 기능에 의존하지 않고 OpenSSL에서 PKCS #11 토큰을 사용할 수 있습니다. 이 대안은 지원되지 않는 RSA 패딩 모드 문제를 해결하여 RHEL 9의 HSM(하드웨어 보안 모듈)과 함께 Ex=RSA 암호를 원활하게 사용할 수 있도록 합니다. 이로 인해 OpenSSL 및 PKCS #11 토큰을 사용하여 TLS 1.2 연결을 설정할 때 TLS 핸드셰이크 실패를 제거하고 보안 통신을 제공할 수 있습니다.

새 패키지: fips-provider-next

fips-provider-next 패키지는 검증을 위해 NIST(National Institute of Standards and Technology)에 제출된 다음 버전의 FIPS 공급자를 제공합니다. openssl-fips-provider 패키지가 검증된 OpenSSL FIPS 공급자이므로 패키지는 기본적으로 설치되지 않습니다. ECDHEopenssl-fips-provider 에서fips-provider-next 로 전환하려면 다음을 수행합니다.

rsyslog imuxsock 은 새로운 ratelimit.discarded 카운터를 제공합니다.

이번 업데이트를 통해 imuxsock Rsyslog 모듈에는 Unix 소켓의 속도 제한으로 인해 삭제된 메시지 수를 추적하는 새로운 카운터 ratelimit.discarded 가 포함되어 있습니다. 이러한 기능 향상을 통해 속도 제한으로 인해 메시지 손실에 대한 가시성을 확인하여 속도 제한 설정을 미세 조정하고 중요한 로그가 삭제되지 않도록 할 수 있습니다.

rsyslog imfile 은 새 deleteStateOnFile Cryostat 옵션을 제공합니다.

이번 업데이트를 통해 새 deleteStateOnFile Cryostat 매개변수가 모듈 수준 및 per-action 옵션으로 사용 가능한 imfile 모듈에 추가되었습니다. 이번 개선된 기능을 통해 모니터링된 로그 파일이 순환되거나 이동될 때 spool/ 디렉터리에 누적된 상태 파일이 누적되는 문제가 해결되었습니다. 이 매개변수를 활성화하면 로그 파일이 이동될 때 이러한 사용되지 않는 파일을 자동으로 정리하여 디스크 공간이 낭비되지 않고 관리를 단순화할 수 있습니다.