16장. 보안

OpenSSH chroot 쉘 로그인

일반적으로 각각의 Linux 사용자는 SELinux 정책을 사용하여 SELinux 사용자로 매핑됩니다. 이로 인해 SELinux 사용자에게 부여된 제한 사항이 Linux 사용자에게 상속됩니다. Linux 사용자가 SELinux unconfined_u 사용자로 매핑되는 기본값 매핑이 있습니다.
Red Hat Enterprise Linux 7에서 사용자를 chroot하기 위한 ChrootDirectory 옵션은 변경 없이 제한을 받지 않는 사용자와 함께 사용할 수 있습니다. 하지만 staff_u, user_u, guest_u와 같이 제한된 사용자의 경우 SELinux selinuxuser_use_ssh_chroot 변수를 설정해야 합니다. 관리자는 높은 수준의 보안을 실현하기 위해 ChrootDirectory 옵션을 사용할 때 모든 chroot된 사용자에 대해 guest_u 사용자를 사용하는 것이 좋습니다.

여러 필수 인증

Red Hat Enterprise Linux 7.0에서는 AuthenticationMethods 옵션을 사용하여 SSH 프로토콜 버전 2에서 필요한 여러 인증을 지원합니다. 이 옵션은 하나 이상의 콤마로 구분된 인증 방식 이름 목록을 사용합니다. 인증을 완료하려면 목록에 있는 모든 방식을 성공적으로 완료해야 합니다. 이는 암호 인증을 요청하기 전 공용 키 또는 GSSAPI를 사용하여 사용자에게 인증을 요청하는 것이 가능합니다.

GSS 프록시

GSS 프록시는 다른 애플리케이션 대신 GSS API Kerberos 컨텍스트를 설정하는 시스템 서비스입니다. 이는 예를 들어 시스템 키 탭이 여러 다른 프로세스 사이에서 공유되는 상황에서 해당 프로세스에 대해 공격이 성공하면 다른 프로세스의 Kerberos 가장으로 연결되는 것과 같이 보안상의 이점을 가져다 줍니다.

NSS에서 변경 사항

nss 패키지는 업스트림 3.15.2 버전으로 업그레이드되었습니다. MD2 (Message-Digest algorithm 2), MD4, MD5 서명은 일반적인 인증서 서명을 처리하는 OCSP (online certificate status protocol) 또는 CRL (certificate revocation lists)에는 사용할 수 없습니다.
AES-GCM (Advanced Encryption Standard Galois Counter Mode) 암호화 스위트 (RFC 5288 및 RFC 5289)가 TLS 1.2 협상 시 사용 추가되었습니다. 특히 다음과 같은 암호화 스위트가 지원됩니다:
  • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
  • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_128_GCM_SHA256

SCAP 워크 벤치

SCAP 워크 벤치는 SCAP 컨텐츠의 스캔 기능을 제공하는 GUI 프론트 엔드입니다. SCAP 워크 벤치는 Red Hat Enterprise Linux 7.0에서 기술 프리뷰로 포함되어 있습니다.
보다 자세한 내용은 업스트림 프로젝트의 웹사이트에서 확인하실 수 있습니다:

OSCAP Anaconda 애드온

Red Hat Enterprise Linux 7.0에는 OSCAP Anaconda 애드온이 기술 프리뷰로 도입되어 있습니다. 이러한 애드온은 OpenSCAP 유틸리티를 설치 프로세스와 통합하여 SCAP 컨텐츠에 의해 주어진 제한에 따라 시스템 설치를 가능하게 합니다.