6장. 보안

sudoer 항목 검색 시 정식적으로 일치 처리하기

sudo 유틸리티는 sudoer 항목의 /etc/nsswitch.conf 파일을 참조하고 이를 파일에서나 LDAP를 사용하여 검색할 수 있습니다. 이전에는 sudoer 항목 중 첫 번째 데이터베이스에 일치 항목이 검색될 경우 검색 동작은 다른 데이터베이스 (파일 포함)에서 계속 진행되었습니다. Red Hat Enterprise Linux 6.4에서는 /etc/nsswitch.conf 파일에 옵션이 추가되어 사용자는 sudoer 일치 항목이 충분해도 데이터베이스를 지정할 수 있습니다. 이는 다른 데이터 베이스를 쿼리할 필요가 없게되므로 대규모 환경에서 sudoer 항목 검색 성능이 향상됩니다. 이 동작은 기본값으로 활성화되지 않으므로 선택한 데이터베이스 이후에 [SUCCESS=return] 문자열을 추가하여 설정해야 합니다. 이 문자열 앞에 오는 데이터베이스에서 일치 항목을 발견하면 다른 데이터베이스는 쿼리되지 않습니다.

pam_cracklib의 추가 암호 확인

pam_cracklib 모듈이 업데이트되어 여러 개의 새 암호 강도를 확인하는 것이 추가되었습니다:
  • 특정 인증 정책은 "abcd" 또는 "98765"와 같은 일정한 길이 이상의 연속적인 순서를 포함하는 암호는 허용하지 않습니다. 이번 업데이트에서는 새로운 maxsequence 옵션을 사용하여 이러한 연속적인 순서의 최대 길이를 제한할 수 있습니다.
  • pam_cracklib 모듈은 새 암호가 /etc/passwd 파일에 있는 항목의 GECOS 필드에 있는 단어를 포함하는지 여부를 확인할 수 있습니다. GECOS 필드는 사용자 이름, 전화 번호 등과 같이 사용자에 대한 정보를 저장하는데 사용되므로 암호 해독을 위해 공격자에 의해 사용될 수 있습니다.
  • pam_cracklib 모듈을 사용하여 maxrepeatclass 옵션을 통해 암호에 동일한 종류 (소문자, 대문자, 숫자, 특수 문자)의 지속적으로 사용할 수 있는 문자의 최대 수를 지정할 수 있습니다.
  • pam_cracklib 모듈은 enforce_for_root 옵션을 지원합니다. 이 옵션은 복잡한 제한을 root 계정의 새 암호에 강제합니다.

tmpfs 다중 인스턴스 (Polyinstantiation)의 크기 옵션

여러 tmpfs 마운트를 갖는 시스템에서 이러한 마운트에 의한 시스템 전체 메모리의 점거를 저지하기 위해 마운트 크기를 제한해야 합니다. PAM은 업데이트되어 tmpfs 다중 인스턴스를 사용하는 경우 /etc/namespace.conf 설정 파일에 있는 mntopts=size=<size> 옵션을 사용하여 tmpfs 파일 시스템 마운트의 최대 크기를 지정할 수 있습니다.

사용되지 않는 계정 잠금

일정 기간 동안 사용되지 않는 계정을 잠금하는 경우 특정 인증 지원이 필요합니다. Red Hat Enterprise Linux 6.4에서는 pam_lastlog 모듈에 추가 기능을 도입하여 설정 가능한 기간을 지난 후 사용자는 계정을 잠금할 수 있습니다.

libica 동작의 새로운 모드

IBM System z에서 ICA (IBM eServer Cryptographic Accelerator) 하드웨어를 액세스할 수 있는 기능 및 유틸리티 모음이 포함된 libica 라이브러리가 수정되었습니다. 이로 인해 CPACF (Central Processor Assist for Cryptographic Function)에서 Message Security Assist Extension 4 명령을 지원하는 새로운 알고리즘을 사용할 수 있게 되었습니다. DES 및 3DES 블록 암호화의 경우 다음과 같은 동작 모드가 지원됩니다:
  • CBC-CS (Cipher Block Chaining with Ciphertext Stealing)
  • CMAC (Cipher-based Message Authentication Code)
AES 블록 암호의 경우 다음과 같은 동작 모드가 지원됩니다:
  • CBC-CS (Cipher Block Chaining with Ciphertext Stealing)
  • CCM (Cipher Block Chaining Message Authentication Code)을 이용한 카운터 모드
  • GCM (Galois/Counter) 모드
이러한 복잡한 암호화 알고리즘의 가속으로 인해 IBM System z 시스템의 성능이 크게 향상되었습니다.

System z 용 zlib 압축 라이브러리의 최적화 및 지원

다목적형 무손실 데이터 압축 라이브러리라는 zlib 라이브러리가 업데이트되어 IBM System z에서 압축 성능이 향상되었습니다.

대체 방화벽 설정

iptablesip6tables 서비스는 기본 설정을 적용할 수 없는 경우에 대체할 방화벽 설정을 할당할 수 있습니다. /etc/sysconfig/iptables에서 방화벽 규칙 적용을 실패할 경우 대체 파일이 있으면 이 파일이 적용되는 것입니다. /etc/sysconfig/iptables.fallback이라는 대체 파일로 iptables-save 파일 형식을 사용합니다. (/etc/sysconfig/iptables와 동일) 대체 파일 적용에 실패할 경우, 더 이상 대체할 파일은 없게 됩니다. 대체 파일을 생성하려면 표준 방화벽 설정 도구를 사용하여 파일을 fallback이라는 이름으로 저장하거나 복사합니다. ip6tables 서비스의 경우에도 iptablesip6tables로 변경하고 동일한 절차를 사용합니다.

Red Hat의 최신 제품 문서 번역을 신속하게 제공하기 위해 이 페이지에는 영어 원본을 한국어로 자동 번역한 내용이 포함되어 있을 수 있습니다. [자세한 내용보기]