10.6. 보안
/etc/passwd- 의 파일 권한은 CIS RHEL 8 벤치마크 1.0.0과 일치하지 않습니다.
CIS Benchmark의 문제로 인해 /etc/passwd- 백업 파일의 권한을 보장하는 SCAP 규칙의 수정으로 권한을 0644 로 구성합니다. 그러나 CIS Red Hat Enterprise Linux 8 벤치마크 1.0.0 에는 해당 파일에 대해 파일 권한 0600 이 필요합니다. 결과적으로 /etc/passwd- 의 파일 권한은 해결 후 벤치마크와 일치하지 않습니다.
libselinux-python 은 해당 모듈을 통해서만 사용할 수 있습니다.
libselinux-python 패키지에는 SELinux 애플리케이션 개발을 위한 Python 2 바인딩만 포함되어 있으며 이전 버전과의 호환성을 위해 사용됩니다. 이러한 이유로 libselinux-python 은 yum install libselinux-python 명령을 통해 기본 RHEL 8 리포지토리에서 더 이상 사용할 수 없습니다.
이 문제를 해결하려면 libselinux-python 및 python27 모듈을 모두 활성화하고 다음 명령을 사용하여 libselinux-python 패키지와 해당 종속 항목을 설치합니다.
# yum module enable libselinux-python # yum install libselinux-python
또는 설치 프로필을 단일 명령과 함께 사용하여 libselinux-python 을 설치합니다.
# yum module install libselinux-python:2.8/common
결과적으로 각 모듈을 사용하여 libselinux-python 을 설치할 수 있습니다.
(BZ#1666328)
udica 는 --env container=podman으로 시작된 경우에만 UBI 8 컨테이너를 처리합니다.
Red Hat UBI 8(Universal Base Image 8) 컨테이너는 컨테이너 환경 변수를 podman 값 대신 oci 값으로 설정합니다. 이렇게 하면 udica 툴이 컨테이너 JSON(JavaScript Object Notation) 파일을 분석하는 것을 방지할 수 있습니다.
이 문제를 해결하려면 --env container=podman 매개변수와 함께 podman 명령을 사용하여 UBI 8 컨테이너를 시작합니다. 결과적으로 udica 는 설명된 해결 방법을 사용하는 경우에만 UBI 8 컨테이너에 대한 SELinux 정책을 생성할 수 있습니다.
/etc/selinux/config 에서 SELINUX=disabled 가 제대로 작동하지 않음
/etc/selinux/config 에서 SELINUX=disabled 옵션을 사용하여 SELinux를 비활성화하면 커널이 SELinux가 활성화된 상태로 부팅되고 부팅 프로세스 후반부에서 비활성화 모드로 전환됩니다. 이로 인해 메모리 누수가 발생할 수 있습니다.
이 문제를 해결하려면 시나리오가 SELinux를 완전히 비활성화해야 하는 경우 Using SELinux 제목 에서 SELinux 모드 변경 섹션에 설명된 대로 커널 명령줄에 selinux=0 매개 변수를 추가하여 SELinux를 비활성화합니다.
(JIRA:RHELPLAN-34199)
sshd -T 는 Ciphers, MAC 및 KeX 알고리즘에 대한 부정확한 정보를 제공합니다.
명령의 출력에는 sshd -T/etc/sysconfig/sshd 의 환경 파일에서 가져올 수 있고 sshd 명령에서 인수로 적용되는 시스템 전체 암호화 정책 구성 또는 기타 옵션이 포함되어 있지 않습니다. 이는 업스트림 OpenSSH 프로젝트에서 RHEL 8에서 Red-Hat 제공 암호화 기본값을 지원하기 위해 Include 지시문을 지원하지 않았기 때문에 발생합니다. crypto 정책은 EnvironmentFile 을 사용하여 서비스를 시작하는 동안 단위의 sshd 실행 파일에 명령줄 인수로 적용됩니다. 이 문제를 해결하려면 환경 파일과 함께 sshd.servicesource 명령을 사용하고 sshd -T $CRYPTO_POLICY 와 같이 crypto 정책을 sshd 명령에 인수로 전달합니다. 자세한 내용은 Ciphers, MACs 또는 KeX 알고리즘은 sshd -T 와 현재 암호화 정책 수준에서 제공하는 것과 다릅니다. 결과적으로 sshd -T 의 출력은 현재 구성된 암호화 정책과 일치합니다.
(BZ#2044354)
FIPS 모드의 OpenSSL은 특정 D-H 매개변수만 허용
FIPS 모드에서 OpenSSL을 사용하는 TLS 클라이언트는 잘못된 dh 값 오류를 반환하고 수동으로 생성된 매개변수를 사용하는 서버에 TLS 연결을 중단합니다. FIPS Ingester를 준수하여 작동하도록 설정된 OpenSSL이 NIST SP 800-56A rev3 부록 D (RFC 3526에 정의된 그룹 14, 15, 16, 17 및 18)와 호환되며 RFC 7919)에 정의된 그룹과 함께 작동하도록 설정되어 있기 때문입니다. 또한 OpenSSL을 사용하는 서버는 다른 모든 매개변수를 무시하고 대신 유사한 크기의 알려진 매개변수를 선택합니다. 이 문제를 해결하려면 호환 그룹만 사용하십시오.
(BZ#1810911)
crypto-policies 에서 Camellia 암호 허용
RHEL 8 시스템 전체 암호화 정책은 제품 설명서에 명시된 대로 모든 정책 수준에서 Camellia 암호를 비활성화해야 합니다. 그러나 Kerberos 프로토콜은 기본적으로 암호를 활성화합니다.
이 문제를 해결하려면 NO-CAMELLIA 하위 정책을 적용합니다.
# update-crypto-policies --set DEFAULT:NO-CAMELLIA
이전 명령에서 DEFAULT 로 전환한 경우 DEFAULT 를 암호화 수준 이름으로 바꿉니다.
결과적으로 솔루션 해결 방법을 통해 시스템 전체 암호화 정책을 사용하는 모든 애플리케이션에서 Camellia 암호가 올바르게 허용되지 않습니다.
OpenSC pkcs15-init 를 통한 스마트 카드 프로비저닝 프로세스가 제대로 작동하지 않음
file_caching 옵션은 기본 OpenSC 구성에서 활성화되어 있으며 파일 캐싱 기능은 pkcs15-init 도구의 일부 명령을 올바르게 처리하지 않습니다. 따라서 OpenSC를 통한 스마트 카드 프로비저닝 프로세스가 실패합니다.
이 문제를 해결하려면 다음 스니펫을 /etc/opensc.conf 파일에 추가하십시오.
app pkcs15-init {
framework pkcs15 {
use_file_caching = false;
}
}
pkcs15-init 를 통한 스마트 카드 프로비저닝은 이전에 설명한 해결 방법을 적용하는 경우에만 작동합니다.
SHA-1 서명을 사용하는 서버에 대한 연결은 GnuTLS에서 작동하지 않습니다.
인증서의 SHA-1 서명은 안전하지 않은 GnuTLS 보안 통신 라이브러리에 의해 거부됩니다. 결과적으로 GnuTLS를 TLS 백엔드로 사용하는 애플리케이션은 이러한 인증서를 제공하는 피어에 대한 TLS 연결을 설정할 수 없습니다. 이 동작은 다른 시스템 암호화 라이브러리와 일관되지 않습니다.
이 문제를 해결하려면 SHA-256 또는 더 강력한 해시로 서명된 인증서를 사용하도록 서버를 업그레이드하거나 LEGACY 정책으로 전환하십시오.
(BZ#1628553)
IKE over TCP connections는 사용자 지정 TCP 포트에서 작동하지 않습니다.
tcp-remoteport Libreswan 구성 옵션이 제대로 작동하지 않습니다. 따라서 TCP 연결을 통한 IKE는 기본이 아닌 TCP 포트를 지정해야 하는 경우 설정할 수 없습니다.
Kickstart 설치 중 서비스 관련 규칙 수정에 실패할 수 있습니다.
Kickstart를 설치하는 동안 OpenSCAP 유틸리티에서 서비스 활성화 또는 비활성화 상태 수정이 필요하지 않은 것으로 잘못 표시되는 경우가 있습니다. 결과적으로 OpenSCAP는 설치된 시스템의 서비스를 비호환 상태로 설정할 수 있습니다. 이 문제를 해결하려면 Kickstart 설치 후 시스템을 검사하고 수정할 수 있습니다. 그러면 서비스 관련 문제가 해결됩니다.
설치 중 시스템을 강화할 때 RHV 하이퍼바이저가 제대로 작동하지 않을 수 있습니다.
RHV-H(Red Hat Virtualization Hypervisor)를 설치하고 Red Hat Enterprise Linux 8tekton 프로필을 적용하면 OSCAP Anaconda 애드온에서 RVH-H 대신 시스템을 RHEL로 강화할 수 있으며 RHV-H의 필수 패키지를 제거할 수 있습니다. 따라서 RHV 하이퍼바이저가 작동하지 않을 수 있습니다. 문제를 해결하려면 프로필 강화를 적용하지 않고 RHV-H 시스템을 설치하고 설치가 완료된 후 OpenSCAP을 사용하여 프로필을 적용합니다. 결과적으로 RHV 하이퍼바이저가 올바르게 작동합니다.
Red Hat은 CVE OVAL 보고서를 압축 형식으로 제공합니다.
Red Hat은 CVE OVAL 피드를 SSDT2 압축 형식으로 제공하며 XML 파일 형식으로 더 이상 사용할 수 없습니다. 이러한 변경 사항을 반영하도록 RHEL 8의 피드 위치가 업데이트되었습니다. 압축된 콘텐츠를 참조하는 것은 표준화되지 않기 때문에 타사 SCAP 스캐너에는 피드를 사용하는 검사 규칙에 문제가 있을 수 있습니다.
SSG의 특정 상호 종속 규칙 세트가 실패할 수 있습니다.
규칙 및 종속 항목의 정의되지 않은 순서로 인해 벤치마크에서 SCAP 보안 가이드 (SSG) 규칙을 수정할 수 없습니다. 예를 들어 특정 순서로 두 개 이상의 규칙을 실행해야 하는 경우(예: 한 규칙이 구성 요소를 설치하고 다른 규칙은 동일한 구성 요소를 구성하는 경우) 잘못된 순서로 실행되어 오류를 보고할 수 있습니다. 이 문제를 해결하려면 수정을 두 번 실행하고 두 번째 실행에서는 종속 규칙을 수정합니다.
GUI 및 서버는 CIS Server 프로파일에서는 사용할 수 없습니다.Workstation 을 사용하는
CIS 서버 수준 1 및 레벨 2 보안 프로필은 GUI 및 워크스테이션 소프트웨어 선택 서버와 호환되지 않습니다. 결과적으로 GUI 소프트웨어 선택 및 CIS Server 프로필이 있는 Server 를 사용하는 RHEL 8 설치를 수행할 수 없습니다. CIS 서버 수준 1 또는 레벨 2 프로필을 사용하여 시도한 설치와 이러한 소프트웨어 선택 중 하나를 선택하면 오류 메시지가 생성됩니다.
package xorg-x11-server-common has been added to the list of excluded packages, but it can't be removed from the current software selection without breaking the installation.
CIS 벤치마크에 따라 서버에 GUI 또는 Workstation 소프트웨어 선택 항목을 사용하여 시스템을 조정해야 하는 경우 CIS Workstation Level 1 또는 레벨 2 프로필을 대신 사용하십시오.
Kickstart는 RHEL 8에서 com_redhat_oscap 대신 org_fedora_oscap 을 사용합니다.
Kickstart는 com_redhat_oscap 대신 OSCAP(Open Security Content Automation Protocol) Anaconda 애드온을 org_fedora_oscap 으로 참조하므로 혼동이 발생할 수 있습니다. 이는 Red Hat Enterprise Linux 7과의 이전 버전과의 호환성에 필요합니다.
(BZ#1665082)
ImageStreamTag 프로필의 SSH 시간 초과 규칙 구성 잘못된 옵션
OpenSSH 업데이트는 다음과 같은 Defense 정보 시스템국(DISAonnectionFactory) 프로필의 규칙에 영향을 미쳤습니다.
-
DISA STIG for RHEL 8 (
xccdf_org.ssgproject.content_profile_stig) -
RHEL 8용 GUI(
xccdf_org.ssgproject.content_profile_stig_gui)
이러한 각 프로필에서는 다음 두 가지 규칙이 영향을 받습니다.
Title: Set SSH Client Alive Count Max to zero CCE Identifier: CCE-83405-1 Rule ID: xccdf_org.ssgproject.content_rule_sshd_set_keepalive_0 STIG ID: RHEL-08-010200 Title: Set SSH Idle Timeout Interval CCE Identifier: CCE-80906-1 Rule ID: xccdf_org.ssgproject.content_rule_sshd_set_idle_timeout STIG ID: RHEL-08-010201
SSH 서버에 적용할 때 이러한 각 규칙은 더 이상 이전처럼 작동하지 않는 옵션(ClientAliveCountMax 및 ClientAliveInterval)을 구성합니다. 결과적으로 이러한 규칙에서 구성한 타임아웃에 도달하면 OpenSSH는 더 이상 유휴 SSH 사용자의 연결을 끊지 않습니다. 해결 방법으로 이러한 규칙은 솔루션이 개발될 때까지 RHEL 8용 GUI와 함께 DISA STIG for RHEL 8 및 DISA StatefulSet에서 일시적으로 제거되었습니다.
특정 rsyslog 우선순위 문자열이 올바르게 작동하지 않음
imtcp 에 대한 GnuTLS 우선순위 문자열을 지원하여 암호화를 세밀하게 제어할 수 있습니다. 결과적으로 rsyslog 에서 다음 우선 순위 문자열이 제대로 작동하지 않습니다.
NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+DHE-RSA:+AES-256-GCM:+SIGN-RSA-SHA384:+COMP-ALL:+GROUP-ALL
이 문제를 해결하려면 올바르게 작동하는 우선 순위 문자열만 사용하십시오.
NONE:+VERS-ALL:-VERS-TLS1.3:+MAC-ALL:+ECDHE-RSA:+AES-128-CBC:+SIGN-RSA-SHA1:+COMP-ALL:+GROUP-ALL
따라서 현재 구성이 올바르게 작동하는 문자열로 제한되어야 합니다.
성능에 기본 로깅 설정의 부정적인 영향
systemd-journald 가 rsyslog 를 사용하여 실행되는 경우 기본 로깅 환경 설정에서는 4GB의 메모리를 사용하거나 속도 제한 값의 조정이 복잡할 수 있습니다.
자세한 내용은 성능 및 완화에 대한 RHEL 기본 로깅 설정의 부작용을 참조하십시오.
(JIRA:RHELPLAN-10431)
Ansible 수정에는 추가 컬렉션이 필요합니다.
ansible-core 패키지에서 Ansible Engine을 교체하면 RHEL 서브스크립션과 함께 제공되는 Ansible 모듈 목록이 줄어듭니다. 결과적으로 scap-security-guide 패키지에 포함된 Ansible 콘텐츠를 사용하는 수정을 실행하려면 rhc-worker-playbook 패키지의 컬렉션이 필요합니다.
Ansible 수정을 위해 다음 단계를 수행합니다.
필수 패키지를 설치합니다.
# dnf install -y ansible-core scap-security-guide rhc-worker-playbook
/usr/share/scap-security-guide/ansible디렉토리로 이동합니다.# cd /usr/share/scap-security-guide/ansible
추가 Ansible 컬렉션 경로를 정의하는 환경 변수를 사용하여 관련 Ansible 플레이북을 실행합니다.
# ANSIBLE_COLLECTIONS_PATH=/usr/share/rhc-worker-playbook/ansible/collections/ansible_collections/ ansible-playbook -c local -i localhost, rhel9-playbook-cis_server_l1.ymlcis_server_l1을 시스템을 수정하려는 프로필의 ID로 바꿉니다.
결과적으로 Ansible 콘텐츠가 올바르게 처리됩니다.
rhc-worker-playbook 에 제공된 컬렉션 지원은 scap-security-guide 에서 제공되는 Ansible 콘텐츠를 사용하도록 제한됩니다.
(BZ#2114981)
