4.6. 보안

Libreswan 이 4.4로 업데이트

libreswan 패키지가 업스트림 버전 4.4로 업그레이드되어 많은 개선 사항 및 버그 수정이 추가되었습니다. 가장 중요한 것은 다음과 같습니다.

  • IKEv2 프로토콜:

    • 전송 모드의 TCP 캡슐화 및 호스트 간 연결에 대한 수정 사항이 추가되었습니다.
    • 리디렉션 통계를 표시하기 위해 --globalstatus 옵션을 ipsec whack 명령에 추가했습니다.
    • ipsec.conf 구성 파일의 vhostvnet 값은 더 이상 IKEv2 연결에 허용되지 않습니다.

  • pluto IKE 데몬:

    • 비표준 IKE 포트를 사용하는 호스트 간 연결에 대한 수정 사항이 추가되었습니다.
    • 최상의 초기 연결을 선택하기 위해 피어ID(IKEv2 IDr 또는 IKEv1 Aggr)가 추가되었습니다.
    • Libreswan에서 해당 기능을 아직 제공하지 않으므로 interface-ip= 옵션을 비활성화합니다.
    • 전송 모드에서 NAT에 대한 ipsec__updown 스크립트의 PLUTO_PEER_CLIENT 변수를 수정했습니다.
    • PLUTO_CONNECTION_TYPE 변수를 transport 또는 터널 로 설정합니다.
    • 템플릿이 아닌 와일드카드 ID 연결이 일치할 수 있습니다.

(BZ#1958968)

GNUTls가 3.6.16으로 다시 기반

gnutls 패키지가 3.6.16 버전으로 업데이트되었습니다. 주요 버그 수정 및 개선 사항은 다음과 같습니다.

  • gnutls_x509_crt_export2() 함수는 이제 성공할 경우 내부 base64 Blob의 크기 대신 0을 반환합니다. 이는 gnutls_x509_crt_export2(3) 도움말 페이지의 설명서와 일치합니다.
  • OCSP(Online Certificate Status Protocol) must-stapling not be followed 플래그로 인한 인증서 확인 실패가 이제 GNUTLS_CERT_INVALID 플래그로 올바르게 표시됩니다.
  • 이전 버전에서는 -VERS-TLS1.2 옵션을 통해 TLS 1.2를 명시적으로 비활성화한 경우에도 서버는 TLS 1.3이 활성화된 경우 계속 TLS 1.2를 제공했습니다. 버전 협상이 수정되었으며 TLS 1.2를 올바르게 비활성화할 수 있습니다.

(BZ#1956783)

socat 이 1.7.4로 업데이트

socat 패키지가 버전 1.7.3에서 1.7.4로 업그레이드되어 많은 버그 수정 및 개선 사항을 제공합니다. 가장 중요한 것은 다음과 같습니다.

  • GOPENUNIX-CLIENT 주소가 이제 SEQPACKET 소켓을 지원합니다.
  • 일반 setockopt-int 및 관련 옵션은 연결된 소켓에 적용되는 주소를 수신하거나 수락하는 경우입니다. 수신 대기 소켓에 옵션을 설정하도록 이제 setsockopt-listen 옵션을 사용할 수 있습니다.
  • 전송된 데이터의 원시 덤프에 대한 -r 및 -R 옵션을 파일에 추가했습니다.
  • ip-transparent 옵션과 IP_TRANSPARENT 소켓 옵션을 추가했습니다.
  • 이제 OPENSSL-CONNECT 에서 SNI 기능을 자동으로 사용하고 openssl-no-sni 옵션은 SNI를 비활성화합니다. openssl-snihost 옵션은 openssl-commonname 옵션 또는 서버 이름을 재정의합니다.
  • accept-timeoutlisten-timeout 옵션이 추가되었습니다.
  • ip-add-source-membership 옵션이 추가되었습니다.
  • 이제 UDP-DATAGRAM 주소는 1.7.3에서와 같이 응답의 피어 포트를 확인하지 않습니다. 시나리오에 이전 동작이 필요한 경우 sourceport optioon을 사용합니다.
  • 새로운 proxy-authorization-file 옵션은 파일에서 PROXY-CONNECT 자격 증명을 읽고 process 테이블에서 이 데이터를 숨길 수 있습니다.
  • VSOCK -CONNECT 및 V SOCK- LISTEN 주소에 대한 AF_V SOCK 지원이 추가되었습니다.

(BZ#1947338)

crypto-policies 가 20210617로 변경

crypto-policies 패키지가 업스트림 버전 20210617로 업그레이드되었으며, 특히 이전 버전에 비해 많은 개선 사항 및 버그 수정을 제공합니다.

  • 이제 범위가 지정된 정책을 사용하여 다양한 백엔드에 대해 다양한 알고리즘 집합을 활성화할 수 있습니다. 이제 각 구성 지시문을 특정 프로토콜, 라이브러리 또는 서비스로 제한할 수 있습니다. 사용 가능한 범위 전체 목록 및 새 구문에 대한 자세한 내용은 crypto-policies(7) 도움말 페이지를 참조하십시오. 예를 들어 다음 지시문을 사용하면 SSH 프로토콜과 함께 AES-256-CBC 암호를 사용할 수 있어 libssh 라이브러리와 OpenSSH 제품군 모두에 영향을 미칩니다. 

    cipher@SSH = AES-256-CBC+

  • 지시문은 와일드카드를 사용하여 여러 값을 지정하는 데 별표를 사용할 수 있습니다. 예를 들어 다음 지시문은 libssh 를 사용하는 애플리케이션의 모든 CBC 모드 암호를 비활성화합니다. 

    cipher@libssh = -*-CBC

    향후 업데이트에서는 현재 와일드카드와 일치하는 새로운 알고리즘을 도입할 수 있습니다.

(BZ#1960266)

crypto-policies 가 사용자 정의 정책에서 AES-192 암호화 지원

시스템 전체 암호화 정책에서는 사용자 정의 정책 및 하위 정책의 암호화 옵션에 대해 다음 값을 지원합니다. AES-192-GCM, AES-192-CCM, AES-192-CTR, and AES-192-CBC. 결과적으로 Libreswan 애플리케이션에 대해 AES-192-GCMAES-192-CBC 암호를 활성화하고 libssh 라이브러리의 AES-192- CTR 및 AES-192 -CBC 암호를 활성화할 수 있습니다.

(BZ#1876846)

FUTURE 암호화 정책에서 CBC 암호가 비활성화되어 있습니다

이번 crypto-policies 패키지 업데이트는 FUTURE 정책에서 CBC(암호 블록 체인) 모드를 사용하는 암호를 비활성화합니다. FUTURE 의 설정은 가까운 향후 공격에 대비해야 하며, 이러한 변경은 현재 진행 상황을 반영합니다. 따라서 FUTURE 정책이 활성화된 경우 암호화 정책을 준수하는 시스템 구성 요소는 CBC 모드를 사용할 수 없습니다.

(BZ#1933016)

새 커널 AVC 추적점 추가

이번 개선된 기능을 통해 SELinux 거부가 감사될 때 트리거되는 새로운 avc:selinux_audited 커널 추적 포인트가 추가됩니다. 이 기능을 사용하면 SELinux 거부를 보다 편리하게 낮은 수준의 디버깅할 수 있습니다. 새로운 추적 지점은 perf 와 같은 툴에 사용할 수 있습니다.

(BZ#1954024)

SCAP 보안 가이드의 새로운 ACSC ISM 프로파일

scap-security-guide 패키지에서는 이제 호주 크리티컬 보안 센터(ACSC) ISV(정보 보안 안내서) 규정 준수 프로필과 해당 Kickstart 파일을 제공합니다. 이번 개선된 기능을 통해 이 보안 기준을 준수하는 시스템을 설치하고 OpenSCAP 제품군을 사용하여 ACSC에 정의된 보안 제어에 위험 기반 접근 방식을 사용하여 보안 준수 및 수정을 확인할 수 있습니다.

(BZ#1955373)

SCAP 보안 가이드가 0.1.57로 업데이트

scap-security-guide 패키지는 여러 버그 수정 및 개선 사항을 제공하는 업스트림 버전 0.1.57로 업데이트되었습니다. 가장 중요한 것은 다음과 같습니다.

  • 호주 사이버 보안 센터(ACSC) Information Security Manual(ISM) 프로파일이 도입되었습니다. 프로필은 Essential Eight 프로필을 확장하고 ISM에 정의된 보안 제어를 추가합니다.
  • CIS(Center for Internet Security) 프로필은 공식 CIS 벤치마크에 정의된 대로 강화 및 시스템 유형(서버 및 워크스테이션)의 4가지 프로필로 재구성되었습니다.
  • STIG(보안 기술 구현 가이드) 보안 프로필이 업데이트되었으며 최근 릴리스된 버전 V1R3의 규칙을 구현합니다.
  • GUI를사용한 STIG(Security Technical Implementation Guide)보안 프로파일을 소개합니다. 프로필은 STIG 프로필에서 파생되며 GUI 패키지 선택 서버를 선택하는 RHEL 설치와 호환됩니다.
  • 프랑스 국가안보국(AN SSI )의 ANSSI BP-028 권장 사항을 기반으로 하는 ANSSI High level 프로파일이 도입되었습니다. 여기에는 High 강화 수준 규칙을 구현하는 프로필이 포함됩니다.

(BZ#1966577)

OpenSCAP이 1.3.5로 업데이트

OpenSCAP 패키지가 업스트림 버전 1.3.5로 업데이트되었습니다. 주요 수정 사항 및 개선 사항은 다음과 같습니다.

  • ovalxccdf 모듈의 validate 명령에 대해 기본적으로 활성화된 Schematron 기반 검증.
  • SCAP 1.3 소스 데이터 스트림 스키마가 추가되었습니다.
  • XML 서명 검증이 추가되었습니다.
  • SOURCE_DATE_EPOCH 출력 허용.
  • 추가된 심각도역할 특성.
  • XCCDF(규칙 및 그룹)의 요구 사항 및 충돌 요소 지원.
  • HTML 보고서의 Kubernetes 업데이트 적용.
  • gpfs,procsysfs 파일 시스템을 비로컬로 처리.
  • --arg=val 로 스타일화된 공통 옵션의 고정 처리.
  • StateType 연산자의 고정 동작입니다.
  • 불완전한 XPath 쿼리를 허용하기 위해 XPath 표현식(xmlfilecontent)에서 무시된 네임스페이스입니다.
  • 취약한 데이터의 존재에 대한 경고를 야기하는 문제를 해결했습니다.
  • 수정된 여러 segfaults 및 --stig-viewer 기능의 손상된 테스트.
  • TestResult/benchmark/@href 특성을 수정했습니다.
  • 많은 메모리 관리 문제를 해결했습니다.
  • 많은 메모리 누수가 수정되었습니다.

(BZ#1953092)

디지털 서명된 SCAP 소스 데이터 스트림 검증

SCAP(Security Content Automation Protocol) 1.3 사양을 준수하기 위해 OpenSCAP은 디지털 서명 SCAP 소스 데이터 스트림의 디지털 서명을 검증합니다. 결과적으로 OpenSCAP은 디지털 서명된 SCAP 소스 데이터 스트림을 평가할 때 디지털 서명을 검증합니다. 서명 검증은 파일을 로드하는 동안 자동으로 수행됩니다. 잘못된 서명이 있는 데이터 스트림은 거부되고 OpenSCAP은 해당 콘텐츠를 평가하지 않습니다. OpenSCAP은 OpenSSL 암호화 라이브러리와 함께 XML 보안 라이브러리 를 사용하여 디지털 서명을 검증합니다.

oscap xccdf eval 명령에 --skip-signature-validation 옵션을 추가하여 서명 검증을 건너뛸 수 있습니다.

중요

OpenSCAP은 KeyInfo 서명 요소의 일부이며 서명을 확인하는 데 사용되는 인증서 또는 공개 키의 신뢰성을 해결하지 않습니다. 잘못된 행위자가 수정하고 서명한 데이터 스트림의 평가를 방지하려면 이러한 키를 단독으로 확인할 수 있어야 합니다.

(BZ#1966612)

서버와 GUI 설치와 호환되는 새로운 DISA STIG 프로파일

GUI를 사용하는 DISA STIG 라는 새 프로필이 SCAP 보안 가이드에 추가되었습니다. 이 프로필은 DISA STIG 프로필에서 파생되며 GUI 패키지 그룹과 서버를 선택한 RHEL 설치와 호환됩니다. DISA STIG는 그래픽 사용자 인터페이스를 제거해야 했기 때문에 이전의 기존 stig 프로파일은 GUI와 호환되지 않았습니다. 그러나 평가 중에 보안 책임자가 올바르게 문서화한 경우 이 값을 재정의할 수 있습니다. 결과적으로 새 프로필은 DISA STIG 프로필에 정렬된 GUI를 사용하여 RHEL 시스템을 서버로 설치할 때 도움이 됩니다.

(BZ#1970137)

STIG 보안 프로파일이 버전 V1R3으로 업데이트

SCAP 보안 가이드의 Red Hat Enterprise Linux 8 프로필 DISA STIG 가 최신 버전 V1R3 에 맞게 업데이트되었습니다. RHEL 8 STIG(Security Technical Implementation Guide) 매뉴얼 벤치마크가 보다 안정적이고 효과적으로 조정됩니다.

이 두 번째 반복은 STIG와 관련하여 약 90%의 적용 범위를 제공합니다. 이전 버전이 더 이상 유효하지 않으므로 이 프로필의 현재 버전만 사용해야 합니다.

주의

자동 수정을 통해 시스템이 작동하지 않을 수 있습니다. 먼저 테스트 환경에서 수정을 실행합니다.

(BZ#1993056)

SCAP 보안 가이드의 새로운 CIS 프로파일 세 개

CIS(Center for Internet Security) Red Hat Enterprise Linux 8 벤치마크에 맞는 3개의 새 규정 준수 프로필이 SCAP 보안 가이드에 소개되었습니다. CIS RHEL 8 벤치마크는 "Server" 및 "Workstation" 배포에 대한 다양한 구성 권장 사항을 제공하며 각 배포에 대해 "레벨 1" 및 "수준 2"의 두 가지 구성을 정의합니다. 이전에 RHEL8에서 제공된 CIS 프로필은 "Server Level 2"만 표시되었습니다. 3개의 새 프로필은 CIS RHEL8 벤치마크 프로필의 범위를 완료하고 이제 CIS 권장 사항에 대해 시스템을 더 쉽게 평가할 수 있습니다.

현재 사용 가능한 모든 CIS RHEL 8 프로필은 다음과 같습니다.

워크스테이션 수준 1

xccdf_org.ssgproject.content_profile_cis_workstation_l1

워크스테이션 수준 2

xccdf_org.ssgproject.content_profile_cis_workstation_l2

서버 레벨 1

xccdf_org.ssgproject.content_profile_cis_server_l1

서버 레벨 2

xccdf_org.ssgproject.content_profile_cis

(BZ#1993197)

유사한 시스템 호출을 그룹화하여 감사에 대한 업데이트 적용 성능

이전에는 감사 수정에서 프로필에서 감사한 각 시스템 호출에 대한 개별 규칙을 생성했습니다. 이로 인해 많은 수의 감사 규칙이 생성되어 성능이 저하되었습니다. 이번 개선된 기능을 통해 감사에 대한 수정을 통해 동일한 필드를 사용하여 유사한 시스템 호출에 대한 규칙을 단일 규칙으로 그룹화할 수 있으므로 성능이 향상됩니다.

함께 그룹화된 시스템 호출의 예는 다음과 같습니다. 

-a always, exit -F arch=b32 -S chown, fchown, fchownat, lchown -F auid>=1000 -F auid!=unset -F key=perm_mod
-a always, exit -F arch=b32 -S unlink, unlinkat, rename, renameat, rmdir -F auid>=1000 -F auid!=unset -F key=delete
-a always, exit -F arch=b32 -S chown, fchown, fchownat, lchown -F exit=-EACCES -F auid>=1000 -F auid!=unset -F key=unsuccesful-perm-change
-a always, exit -F arch=b32 -S unlink, unlinkat, rename, renameat -F auid>=1000 -F auid!=unset -F exit=-EACCES -F auid>=1000 -F auid!=unset -F key=unsuccessful-delete

(BZ#1876483)

ANSSI-BP-028 상위 레벨에 대한 프로필 추가

프랑스 국가안보국(ANSSI)의 ANSSI BP-028 권장 사항을 기반으로 ANSSI 고급 프로필이 도입되었습니다. 이렇게 하면 SCAP 보안 가이드 의 모든 ANSSI-BP-028 v1.2 강화 수준에 대한 프로필의 가용성이 완료됩니다. 새 프로필을 사용하면 High hardening 수준에서 GNU/Linux 시스템용 ANSSI의 권장 사항으로 시스템을 강화할 수 있습니다. 결과적으로 ANSSI Ansible 플레이북 및 ANSSI SCAP 프로필을 사용하여 RHEL 8 시스템의 규정 준수를 가장 엄격한 강화 수준으로 구성하고 자동화할 수 있습니다.

(BZ#1955183)

Rsyslog TCP 및 RELP 트래픽 암호화를 위해 OpenSSL 추가

OpenSSL 네트워크 스트림 드라이버가 Rsyslog에 추가되었습니다. 이 드라이버는 OpenSSL 라이브러리를 사용하여 TLS 보호 전송을 구현합니다. 이는 GnuTLS 라이브러리를 사용하여 스트림 드라이버와 비교하여 추가 기능을 제공합니다. 결과적으로 OpenSSL 또는 GnuTLS를 Rsyslog 네트워크 스트림 드라이버로 사용할 수 있습니다.

(BZ#1891458)

rsyslog가 8.2102.0-5로 업데이트

rsyslog 패키지는 이전 버전에서 다음과 같은 주요 변경 사항을 제공하는 업스트림 버전 8.2102.0-5로 업데이트되었습니다.

  • 변수가 있는지 여부를 확인하기 위해 exists() 스크립트 함수를 추가했습니다(예: $!path!var ).
  • omrelp 및 imrelp 모듈에 대한 새로운 구성 매개 변수 tls.tlscfgcmd 로 OpenSSL 구성 명령 설정 지원이 추가되었습니다.

  • 원격 서버로 전송되는 속도 제한 syslog 메시지를 위해 omfwd 모듈에 새로운 속도 제한 옵션이 추가되었습니다.

    • ratelimit.interval 은 속도 제한 간격(초)을 지정합니다.
    • ratelimit.burst 는 메시지 수의 속도 제한 버스트를 지정합니다.
  • 다양한 개선 사항이 있는 immark 모듈을 다시 작성합니다.
  • max 세션 config 매개 변수를 imptcp 모듈에 추가했습니다. 최대값은 인스턴스당 측정되며 모든 인스턴스에서 전역적으로 측정되지 않습니다.
  • rsyslog-openssl 하위 패키지가 추가되었습니다. 이 네트워크 스트림 드라이버는 OpenSSL 라이브러리를 사용하여 TLS 보호 전송을 구현합니다.
  • Max BytesPerMinute 및 MaxLinesPerMinute 옵션을 사용하여 the imfile 모듈로 분당 속도 제한을 추가했습니다. 이러한 옵션은 정수 값을 허용하고 1분 내에 전송할 수 있는 바이트 또는 행 수를 제한합니다.
  • streamdriver.TlsVerifyDepth 옵션을 사용하여 인증서 체인 확인을 위한 최대 깊이를 구성하기 위해 imtcpomfwd 모듈에 대한 지원이 추가되었습니다.

(BZ#1932795)