8.5. 보안

OpenSCAP 수정은 /etc/tmux.conf에 대한 올바른 권한을 설정합니다.

이전 버전에서는 SCAP 규칙 configure_tmux_lock_after_time 을 수정할 때 /etc/tmux.conf 파일은 4.6.1(600)에 대한 권한으로 생성되었습니다. 이로 인해 일반 사용자가 /etc/tmux.conf 를 읽을 수 없게 되었습니다. 일반 사용자가 로그인하면 오류 메시지가 수신되고 시간 초과가 실행되어 로그인되기까지 몇 분 정도 기다려야 했습니다. 이번 업데이트를 통해 configure_tmux_lock_after_time 규칙 수정을 통해 /etc/tmux.conf 의 특정 권한을 644로 설정합니다. 결과적으로 일반 사용자는 더 이상 오류 메시지 또는 로그인 지연이 발생하지 않습니다.

(BZ#2064696)

Rsyslog에 대한 SCAP 규칙이 .conf 파일을 올바르게 식별합니다.

이전 버전에서는 "System Log Files Have Correct Permissions"(xccdf_org.sgproject.content_rule_files_permissions)에서 glob 표현식을 Rsyslog include 문을 확장하지 않았습니다. 그 결과 규칙에서 모든 관련 구성 파일을 구문 분석하지 않았으며 일부 로그 파일에 권한이 확인되지 않았습니다. 이번 업데이트를 통해 규칙은 구문 분석에 필요한 .conf 파일을 식별하기 위해 glob 표현식을 올바르게 확장합니다. 결과적으로 이제 규칙에서 필요한 .conf 파일을 올바르게 처리하여 구성된 모든 로그 파일에 올바른 권한이 있는지 확인합니다.

(BZ#2075384)

chronyd 에 대한 규칙에는 명시적 chrony 사용자 구성이 필요하지 않습니다.

RHEL은 기본적으로 chrony 사용자에서 chronyd 를 실행합니다. 이전 버전에서는 chronyd 서비스 구성 사용자에 대한 검사 및 수정이 필요 이상으로 복잡했습니다. 과도하게 엄격한 점검으로 인해 잘못된 긍정과 과도한 수정을 초래했습니다. 이 버전에서는 최소 올바른 구성과 레거시 명시적인 올바른 구성 모두에 대해 규칙 xccdf_org.ssgproject.content_ruled_run_as_chrony_user 규칙의 검사 및 수정이 업데이트됩니다. 결과적으로 규칙은 기본 RHEL 동작을 준수하며 명시적 chrony 사용자 구성이 필요하지 않습니다.

(BZ#2077531)

rsyslog_remote_loghost에 경고 추가

SCAP 규칙 xccdf_org.ssgproject.content_rule_remote_loghost 는 로그 메시지를 원격 로그 호스트에 전송하도록 Rsyslog 데몬이 구성되었는지 확인합니다. 그러나 규칙은 TCP 큐를 구성하지 않습니다. 결과적으로 TCP 대기열이 구성되지 않은 경우 시스템이 중단되고 원격 로그 호스트를 사용할 수 없게 됩니다. 이번 업데이트에서는 TCP 큐 구성 방법을 설명하는 경고 메시지가 추가되었습니다. 이 규칙을 사용하는 동안 시스템이 중단되면 경고를 읽고 시스템을 올바르게 구성합니다.

(BZ#2078974)

사용자 정의 sudo 로그 파일에 sudo_custom_logfile 의 수정

이전 버전에서는 SCAP 보안 가이드 규칙 xccdf_org.ssgproject.content_sudo_custom_logfile 을 수정해도 /var/log/ sudo.log 와 다른 경로가 있는 사용자 지정 sudo 로그 파일에 대해 작동하지 않았습니다. 이번 업데이트를 통해 시스템에 예상 경로와 일치하지 않는 사용자 지정 sudo 로그 파일이 있는 경우 적절하게 수정할 수 있도록 규칙이 수정되었습니다.

(BZ#2083109)

firewalld_sshd_port_enabled 의 수정이 올바르게 작동합니다.

이전에는 SCAP 규칙 xccdf_org.ssgproject.content_rule_firewalld_sshd_port_enabled 에 대한 Bash 수정을 잘못 처리했습니다. 또한 구성 파일에는 필수 이름과 다릅니다. 이번 업데이트에서는 수정이 수정되었습니다. 결과적으로 업데이트 적용은 모든 네트워크 인터페이스를 올바르게 처리하고 구성 파일에 예측 가능한 이름이 있습니다.

(BZ#2109602)

fagenrules --load 가 올바르게 작동합니다.

이전에는 fapolicyd 서비스에서 신호가 올바르게 처리되지 않았습니다(SIGHUP). 그 결과 SIGHUP 신호를 수신한 후 fapolicyd 가 종료되고 fagenrules --load 명령이 제대로 작동하지 않았습니다. 이번 업데이트에서는 이 문제에 대한 수정 사항이 포함되어 있습니다. 결과적으로 fagenrules --load 가 이제 올바르게 작동하며 규칙 업데이트에 더 이상 fapolicyd 를 수동으로 다시 시작할 필요가 없습니다.

(BZ#2070639)