9.4. 보안

NSS SEED 암호가 더 이상 사용되지 않음

Mozilla Network Security Services(NSS) 라이브러리는 향후 릴리스에서 SEED 암호를 사용하는 TLS 암호화 제품군을 지원하지 않습니다. NSS에서 지원을 제거할 때 SEED 암호를 사용하는 배포를 원활하게 전환하려면 다른 암호화 제품군에 대한 지원을 활성화하는 것이 좋습니다.

SEED 암호는 RHEL;에서 기본적으로 비활성화되어 있습니다.

(BZ#1817533)

TLS 1.0 및 TLS 1.1이 더 이상 사용되지 않음

TLS 1.0 및 TLS 1.1 프로토콜은 DEFAULT 시스템 전체 암호화 정책 수준에서 비활성화됩니다. 예를 들어 Firefox 웹 브라우저에서 비디오 회의 애플리케이션을 시나리오에 사용해야 하는 경우 더 이상 사용되지 않는 프로토콜을 사용해야 하는 경우 시스템 전체 암호화 정책을 LEGACY 수준으로 전환합니다.

# update-crypto-policies --set LEGACY

자세한 내용은 RHEL 8의 powerful crypto defaults 및 Red Hat Customer Portal의 약한 암호화 알고리즘 지식 베이스 문서 및 update-crypto-policies(8) 도움말 페이지를 참조하십시오.

(BZ#1660839)

RHEL 8에서 DSA 사용 중단

Red Hat Enterprise Linux 8에서는 DSA(Digital Signature Algorithm)가 더 이상 사용되지 않습니다. DSA 키에 의존하는 인증 메커니즘은 기본 구성에서 작동하지 않습니다. OpenSSH 클라이언트는 LEGACY 시스템 전체 암호화 정책 수준에서도 DSA 호스트 키를 허용하지 않습니다.

(BZ#1646541)

SSL2 Client HelloNSS에서 더 이상 사용되지 않음

TLS(Transport Layer Security) 프로토콜 버전 1.2 이전의 SSL(Secure Sockets Layer) 프로토콜 버전 2와 역호환되는 방식으로 서식이 지정된 Client Hello 메시지와 협상을 시작할 수 있습니다. NSS(Network Security Services) 라이브러리에서 이 기능에 대한 지원은 더 이상 사용되지 않으며 기본적으로 비활성화되어 있습니다.

이 기능에 대한 지원이 필요한 애플리케이션은 새로운 SSL_ENABLE_V2_COMPATIBLE_HELLO API를 사용하여 활성화해야 합니다. 이 기능에 대한 지원은 Red Hat Enterprise Linux 8의 이후 릴리스에서 완전히 삭제될 수 있습니다.

(BZ#1645153)

TPM 1.2가 더 이상 사용되지 않음

TPM(신뢰할 수 있는 플랫폼 모듈) 보안 암호화 프로세서 표준 버전이 2016년 버전 2.0으로 업데이트되었습니다. TPM 2.0은 TPM 1.2보다 많은 개선 사항을 제공하며 이전 버전과는 역호환되지 않습니다. RHEL 8에서는 TPM 1.2가 더 이상 사용되지 않으며 다음 주요 릴리스에서 제거될 수 있습니다.

(BZ#1657927)

crypto-policies 파생 속성이 더 이상 사용되지 않음

사용자 지정 정책에 crypto-policies 지시문에 대한 범위를 도입하면서 tls_cipher, ssh_cipher,ssh_ group,ike_ protocol 및 sha1_in_ dnssec 등 파생된 속성은 더 이상 사용되지 않습니다. 또한 범위를 지정하지 않고 protocol 속성의 사용은 더 이상 사용되지 않습니다. 권장되는 대체 사항은 crypto-policies(7) 도움말 페이지를 참조하십시오.

(BZ#2011208)

/etc/selinux/config 를 사용하여 SELinux를 비활성화하는 런타임이 더 이상 사용되지 않음

/etc/selinux/config 파일에서 SELINUX=disabled 옵션을 사용하여 SELinux를 비활성화하는 런타임은 더 이상 사용되지 않습니다. RHEL 9에서 /etc/selinux/config 를 통해서만 SELinux를 비활성화하면 SELinux가 활성화된 상태로 시작되지만 정책이 로드되지 않습니다.

시나리오에서 SELinux를 완전히 비활성화해야 하는 경우 Red Hat은 SELinux 제목 사용의 부팅 시 SELinux 모드 변경 섹션에 설명된 대로 커널 명령줄에 selinux=0 매개 변수를 추가하여 SELinux 비활성화를 권장합니다.

(BZ#1932222)

ipa SELinux 모듈이 selinux-policy에서 제거됨

ipa SELinux 모듈은 더 이상 유지 관리되지 않으므로 selinux-policy 패키지에서 제거되었습니다. 이제 이 기능이 ipa-selinux 하위 패키지에 포함됩니다.

시나리오에서 로컬 SELinux 정책의 ipa 모듈의 유형 또는 인터페이스를 사용해야 하는 경우 ipa-selinux 패키지를 설치합니다.

(BZ#1461914)