7.4. 보안

신뢰할 수 있는 경우 Gnu tls에서 SHA-1 서명 CA를 더 이상 거부하지 않습니다.

이전에는 CA가 명백하게 신뢰되더라도 GnuTLS 라이브러리에서 모든 CA(인증 기관)의 서명 해시 강점을 확인했습니다. 결과적으로 SHA-1 알고리즘과 함께 서명된 CA가 포함된 체인은 오류 메시지 인증서의 서명 해시 강도와 함께 거부되었습니다. 이번 업데이트를 통해 GnuTLS 는 서명 해시 강도 검사에서 신뢰할 수 있는 CA를 제외하므로, 취약한 알고리즘을 사용하여 서명된 CA가 포함된 CA가 포함된 인증서 체인을 더 이상 거부하지 않습니다.

(BZ#1965445)

FIPS 모드에서 하드웨어 최적화 활성화

이전에는 연방 정보 처리 표준 (FIPS 140-2)에서 하드웨어 최적화를 사용할 수 없었습니다. 따라서 FIPS 모드에서 libgcrypt 패키지에서 작업이 비활성화되었습니다. 이번 업데이트를 통해 FIPS 모드에서 하드웨어 최적화가 가능하므로 모든 암호화 작업이 더 빠르게 수행됩니다.

(BZ#1976137)

leftikeportrightikeport 옵션이 올바르게 작동합니다.

이전에는 Libreswan이 host-to-host Libreswan 연결에서 left ikeport 및 rightikeport 옵션을 무시했습니다. 결과적으로 Libreswam은 기본이 아닌 옵션 설정에 관계없이 기본 포트를 사용했습니다. 이번 업데이트를 통해 문제가 해결되었으며 기본 옵션에 대해 leftikeportrightikeport 연결 옵션을 사용할 수 있습니다.

(BZ#1934058)

SELinux 정책에서 GDM이 GRUB boot_success 플래그를 설정할 수 없습니다

이전에는 SELinux 정책에서 GDM(GNOME Display Manager)이 전원 끄기 및 재부팅 작업 중에 GRUB boot_success 플래그를 설정할 수 없었습니다. 그 결과 GRUB 메뉴가 다음 부팅에 표시됩니다. 이번 업데이트를 통해 SELinux 정책에는 GDM이 GRUB boot _success 플래그를 설정할 수 있고 기본적으로 활성화되어 있는 새로운 xdm_ exec_bootloader 부울이 도입되었습니다. 그 결과 첫 번째 부팅 시 GRUB 부팅 메뉴가 표시되고 깜박이는 부팅 지원 기능이 올바르게 작동합니다.

(BZ#1994096)

SELinux-policy 는 TCP 캡슐화를 사용하여 IPsec 기반 VPN을 지원합니다.

RHEL 8.4 이후 libreswan 패키지는 TCP 캡슐화를 사용하는 IPsec 기반 VPN을 지원했지만 selinux-policy 패키지는 이 업데이트를 반영하지 않았습니다. 결과적으로 Libreswan이 TCP를 사용하도록 구성되면 ipsec 서비스가 지정된 TCP 포트에 바인딩되지 못했습니다. 이번 업데이트를 통해 ipsec 서비스는 일반적으로 사용되는 TCP 포트 4500 바인딩하고 연결할 수 있으므로 IPsec 기반 VPN에서 TCP 캡슐화를 사용할 수 있습니다.

(BZ#1931848)

SELinux 정책으로 staff_u 사용자가 unconfined_r로 전환하지 못하도록 방지

이전에는 secure_mode 부울이 활성화되면 staff_u 사용자가 unconfined_r 역할로 잘못 전환할 수 있었습니다. 그 결과 staff_u 사용자는 시스템의 보안에 영향을 미치는 권한 있는 작업을 수행할 수 있었습니다. 수정판에서는 SELinux 정책을 통해 staff_u 사용자가 newrole 명령을 사용하여 staff_u 사용자가 unconfined_r 역할로 전환하지 못하게 합니다. 따라서 권한이 없는 사용자는 권한 있는 작업을 실행할 수 없습니다.

(BZ#1947841)

OSCAP Anaconda 애드온 에서 사용자 지정 프로파일 처리

이전에는 OSCAP Anaconda 애드온 플러그인이 별도의 파일의 사용자 지정으로 보안 프로필을 올바르게 처리하지 않았습니다. 그 결과 해당 Kickstart 섹션에서 지정한 경우에도 RHEL 그래픽 설치에서 사용자 지정된 프로필을 사용할 수 없었습니다. 처리가 수정되었으며 RHEL 그래픽 설치에서 사용자 지정 SCAP 프로필을 사용할 수 있습니다.

(BZ#1691305)

STIG 프로필 및 기타 SCAP 콘텐츠를 평가하는 동안 OpenSCAP이 더 이상 실패하지 않습니다

이전에는 OpenSCAP의 암호화 라이브러리 초기화가 OpenSCAP, 특히 filehash58 프로브에서 제대로 수행되지 않았습니다. 그 결과 filehash58_test OVAL(Open Vulnerability Assessment Language) 테스트를 포함하는 SCAP 콘텐츠를 평가하는 동안 분할 오류가 발생했습니다. 이는 특히 Red Hat Enterprise Linux 8의 STIG 프로필 평가에 영향을 주었습니다. 평가가 예기치 않게 실패했으며 결과가 생성되지 않았습니다. 라이브러리를 초기화하는 프로세스는 새 버전의 openscap 패키지에서 수정되었습니다. 결과적으로 RHEL 8의 STIG 프로필과 filehash58_test OVAL 테스트가 포함된 기타 SCAP 콘텐츠를 평가하는 동안 OpenSCAP이 더 이상 실패하지 않습니다.

(BZ#1959570)

Ansible은 필요한 경우에만 배너 파일을 업데이트합니다.

이전에는 배너 수정에 사용된 플레이북이 항상 파일을 제거하여 다시 생성했습니다. 결과적으로 배너 파일 inode는 필요에 관계없이 항상 수정되었습니다. 이번 업데이트를 통해 먼저 기존 콘텐츠를 원하는 콘텐츠와 비교하고 필요한 경우에만 파일을 업데이트하는 copy 모듈을 사용하도록 Ansible 해결 플레이북이 개선되었습니다. 결과적으로 기존 콘텐츠가 의도한 콘텐츠와 다를 때만 배너 파일이 업데이트됩니다.

(BZ#1857179)

DISA STIG 프로파일에서 USB 장치가 올바르게 작동합니다.

이전에는 DISA STIG 프로필에서 USBGuard 서비스를 활성화했지만 처음에 연결된 USB 장치를 구성하지 않았습니다. 결과적으로 USBGuard 서비스는 구체적으로 허용되지 않은 장치를 차단했습니다. 이로 인해 스마트 카드와 같은 일부 USB 장치에 연결할 수 없었습니다. 이번 업데이트를 통해 DISA STIG 프로필을 적용할 때 초기 USBGuard 구성이 생성되고 연결된 모든 USB 장치를 사용할 수 있습니다. 결과적으로 USB 장치가 차단되지 않고 올바르게 작동합니다.

(BZ#1946252)

OSCAP Anaconda 애드온 이 선택된 모든 패키지를 텍스트 모드로 설치

이전에는 OSCAP Anaconda Addon 플러그인에서 텍스트 모드에서 실행할 때 설치가 시작되기 전에 특정 파티션 레이아웃 또는 패키지 설치 및 제거가 필요한 규칙을 평가하지 않았습니다. 그 결과 Kickstart를 사용하여 보안 정책 프로필을 지정하고 설치가 텍스트 모드로 실행 중이면 선택한 보안 프로필에 필요한 추가 패키지가 설치되지 않았습니다. OSCAP Anaconda 애드온은 설치가 그래픽 또는 텍스트 기반인지 여부에 관계없이 설치가 시작되기 전에 필수 점검을 수행합니다. 선택한 모든 패키지가 텍스트 모드에도 설치됩니다.

(BZ#1674001)

CIS 프로파일에서 제거된 rpm_verify_permissions

파일 권한을 패키지 기본 권한과 비교하는 rpm_verify_permissions 규칙은 CIS(Center for Internet Security) Red Hat Enterprise Linux 8 벤치마크에서 제거되었습니다. 이번 업데이트를 통해 CIS 프로필은 CIS RHEL 8 벤치마크와 일치하므로 이 규칙은 더 이상 CIS에 따라 시스템을 강화하는 사용자에게 영향을 미치지 않습니다.

(BZ#1843913)