7.5. 보안

pkcs11에 대한 개선된 패딩

이전에는 pkcs11 토큰 레이블에 일부 스마트 카드의 추가 패딩이 있었습니다. 결과적으로 잘못된 패딩으로 인해 레이블 특성에 따라 일치하는 카드가 발생할 수 있었습니다. 이번 업데이트를 통해 패딩은 모든 카드와 정의된 PKCS #11 URI에 대해 수정되어 애플리케이션에서 일치해야 합니다.

해결된 sealert 연결 문제 처리

이전에는 setroubleshoot 데몬이 충돌하면 sealert 프로세스가 응답하지 않을 수 있었습니다. 그 결과 GUI는 분석을 표시하지 않고 응답하지 않아 명령줄 툴에서 출력을 출력하지 않고 종료될 때까지 계속 실행되게 되었습니다. 이번 업데이트에서는 sealert 와 setroubleshootd 간의 연결 문제 처리가 개선되었습니다. 이제 sealert 에서 setroubleshoot 데몬이 충돌하는 경우 오류 메시지를 보고하고 종료합니다.

setroubleshoot를 통한 감사 레코드 분석 최적화

이전에는 setroubleshoot-3.3.23-1 에 도입된 새로운 기능이 성능에 부정적인 영향을 미쳐 AVC 분석이 이전보다 최대 8배 느렸습니다. 이번 업데이트에서는 AVC 분석 시간을 크게 줄이는 최적화를 제공합니다.

고정 SELinux 정책 인터페이스 구문 분석기

이전 버전에서는 정책 인터페이스 구문 분석기로 인해 인터페이스 파일에 ifndef 블록이 포함된 사용자 지정 정책을 설치할 때 구문 오류 메시지가 표시되었습니다. 이번 업데이트에서는 인터페이스 파일 구문 분석이 개선되어 이 문제가 해결됩니다.

레이블 지정 오류 시 setfiles 가 중지되지 않음

이전에는 파일의 레이블을 다시 지정하지 않을 때마다 setfiles 유틸리티가 중지되었습니다. 그 결과 잘못 레이블된 파일이 대상 디렉토리에 남아 있었습니다. 이번 업데이트를 통해 setfiles 는 레이블을 다시 지정할 수 없는 파일을 건너뛰므로 setfiles 는 대상 디렉터리의 모든 파일을 처리합니다.

정전 시 SELinux 정책 저장소 재구축이 강화되었습니다.

이전에는 캐싱을 작성하여 SELinux-policy 재빌드가 전원 오류로 인해 문제가 발생하지 않았습니다. 결과적으로 정책을 다시 빌드하는 동안 정전 후 SELinux 정책 저장소가 손상될 수 있습니다. 이번 업데이트를 통해 libsemanage 라이브러리는 메타데이터에 보류 중인 모든 수정 사항을 사용하고 정책 저장소가 포함된 파일 시스템에 캐시된 파일 데이터를 사용하기 전에 씁니다. 결과적으로 정책 저장소가 전력 실패 및 기타 중단에 더 취약해졌습니다.

libselinux 에서 SELinux 사용자의 기본 컨텍스트를 올바르게 결정합니다.

이전에는 더 이상 사용되지 않는 security_compute_user() 함수를 사용하기 때문에 libselinux 라이브러리에서 일부 시스템에서 SELinux 사용자의 기본 컨텍스트를 확인하지 못했습니다. 결과적으로 복잡한 보안 정책이 있는 시스템에서 일부 시스템 서비스를 사용할 수 없었습니다. 이번 업데이트를 통해 libselinux 에서 더 이상 security_compute_user() 를 사용하지 않고 정책 복잡성과 관계없이 SELinux 사용자의 기본 컨텍스트를 적절하게 결정합니다.

rsync 모드의 Geo-replication이 SELinux로 인해 더 이상 실패하지 않음

이전에는 SELinux 정책에서 rsync_t 에서 실행되는 프로세스에서 security.trusted 확장 속성의 값을 설정하지 못했습니다. 그 결과 RHGS(Red Hat Gluster Storage)의 geo-replication이 실패했습니다. 이번 업데이트에는 rsync_ t 프로세스에서 security.trusted 를 설정할 수 있는 새로운 SELinux 부울 rsync_ sys_admin 이 포함되어 있습니다. 결과적으로 rsync_sys_admin 부울이 활성화된 경우 rsync 는 security.trusted 확장 속성을 설정할 수 있으며 geo-replication은 더 이상 실패하지 않습니다.

OpenSCAP에서 메모리가 부족하지 않고 많은 수의 파일이 있는 시스템을 스캔할 수 있음

이전에는 RAM이 적고 많은 수의 파일이 있는 시스템을 스캔할 때 OpenSCAP 스캐너로 인해 시스템에 메모리가 부족한 경우가 있었습니다. 이번 업데이트를 통해 OpenSCAP 스캐너 메모리 관리가 개선되었습니다. 결과적으로 스캐너는 많은 수의 파일을 스캔할 때 RAM이 부족한 시스템에서 더 이상 메모리가 부족하지 않습니다(예: GUI 및 Workstation 을 사용한 패키지 그룹 서버 ).

FAT가 있는 CIS에서 조정된 시스템은 더 이상 부팅 시 실패하지 않습니다

이전에는 SCAP 보안 가이드(SSG)의 CIS(Center for Internet Security Guide) 프로필에 FAT 파일 시스템 액세스를 담당하는 커널 모듈 로드를 비활성화하는 규칙이 포함되어 있었습니다. 결과적으로 SSG가 이 규칙을 수정하면 시스템이 ESP(EFI 시스템 파티션)를 포함하여 FAT12, FAT16 및 FAT32 파일 시스템으로 포맷된 파티션에 액세스할 수 없었습니다. 이로 인해 시스템이 부팅되지 않았습니다. 이번 업데이트를 통해 프로필에서 규칙이 제거되었습니다. 결과적으로 이러한 파일 시스템을 사용하는 시스템은 더 이상 부팅되지 않습니다.

OVAL 검사는 GPFS를 원격로 간주합니다.

이전에는 OpenSCAP 스캐너가 마운트된 GPG(일반 병렬 파일 시스템)를 원격 파일 시스템(FS)으로 식별하지 않았습니다. 그 결과 OpenSCAP은 로컬 시스템에만 적용된 OVAL 검사를 위해 GPFS를 스캔했습니다. 이로 인해 스캐너가 리소스가 부족하여 검사를 완료하지 못하는 경우가 있었습니다. 이번 업데이트를 통해 GPFS가 원격 FS 목록에 포함되었습니다. 결과적으로 OVAL 검사는 GPFS를 원격 FS로 올바르게 고려하고 검사가 더 빠릅니다.

fapolicyd-selinux SELinux 정책에서 모든 파일 유형을 지원합니다.

이전에는 fapolicyd-selinux SELinux 정책에서 모든 파일 유형을 다루지 않았습니다. 결과적으로 fapolicyd 서비스는 sysfs 와 같은 모니터링되지 않은 위치에 있는 파일에 액세스할 수 없었습니다. 이번 업데이트를 통해 fapolicyd 서비스는 모든 파일 시스템 유형을 대상으로 하며 분석합니다.

fapolicyd 가 더 이상 RHEL 업데이트를 금지하지 않음

업데이트가 실행 중인 애플리케이션의 바이너리를 교체하면 커널은 (삭제된) 접미사를 추가하여 메모리의 애플리케이션 바이너리 경로를 수정합니다. 이전에는 fapolicyd 파일 액세스 정책 데몬이 애플리케이션을 신뢰할 수 없는 것으로 처리했습니다. 결과적으로 fapolicyd 는 이러한 애플리케이션이 다른 파일을 열고 실행하는 것을 방지했습니다. 이번 업데이트를 통해 fapolicyd 는 바이너리 경로의 접미사를 무시하므로 바이너리 데이터베이스와 일치할 수 있습니다. 결과적으로 fapolicyd 는 규칙을 올바르게 적용하고 업데이트 프로세스를 완료할 수 있습니다.

1.0.0-1로 업데이트하는 usbguard

usbguard 패키지가 업스트림 버전 1.0.0-1로 업데이트되었습니다. 이번 업데이트에서는 개선 사항 및 버그 수정을 제공합니다. 특히 다음과 같습니다.

usbguard에서 감사 메시지를 보낼 수 있음

서비스 강화의 일환으로 CAP_AUDIT_WRITE 기능이 누락된 동안 usbguard.service 의 기능이 제한되었습니다. 결과적으로 시스템 서비스로 실행 중인 usbguard 는 감사 이벤트를 보낼 수 없었습니다. 이번 업데이트를 통해 서비스 구성이 업데이트되어 USBGuard에서 감사 메시지를 보낼 수 있습니다.

tangd 에서 잘못된 요청을 올바르게 처리

이전에는 tangd 데몬에서 일부 잘못된 요청에 대해 오류 종료 코드를 반환했습니다. 그 결과 tangd.socket@.service 가 실패했습니다. 이로 인해 실패한 유닛 수가 증가하면 문제가 발생할 수 있습니다. 이번 업데이트를 통해 tangd 서버 자체에 문제가 있을 때만 오류 코드로 종료됩니다. 결과적으로 tangd 는 잘못된 요청을 올바르게 처리합니다.