10.4. 보안

NSS SEED 암호화는 더 이상 사용되지 않음

Mozilla Network Security Services (NSS) 라이브러리는 향후 릴리스에서 SEED 암호를 사용하는 TLS 암호화 제품군을 지원하지 않습니다. NSS가 지원을 제거할 때 SEED 암호를 사용하는 배포의 원활한 전환을 위해 Red Hat은 다른 암호화 제품군에 대한 지원을 활성화하는 것이 좋습니다.

TLS 1.0 및 TLS 1.1은 더 이상 사용되지 않음

TLS 1.0 및 TLS 1.1 프로토콜은 기본 시스템 전체 의 암호화 정책 수준에서 비활성화되어 있습니다. 시나리오(예: Firefox 웹 브라우저의 동영상 컨퍼런스 애플리케이션)에서 더 이상 사용되지 않는 프로토콜을 사용해야 하는 경우 시스템 전체 암호화 정책을 LEGACY 수준으로 전환합니다.

RHEL 8에서 DSA가 더 이상 사용되지 않음

Red Hat Enterprise Linux 8에서는 DSA(Digital Signature Algorithm)가 더 이상 사용되지 않습니다. DSA 키에 의존하는 인증 메커니즘은 기본 구성에서 작동하지 않습니다. OpenSSH 클라이언트는 LEGACY 시스템 전체의 암호화 정책 수준에서도 DSA 호스트 키를 허용하지 않습니다.

SSL2 Client Hello 가 NSS에서 더 이상 사용되지 않음

TLS(Transport Layer Security) 프로토콜 버전 1.2 이하에서는SSL(Secure Sockets Layer) 프로토콜 버전 2와 역호환되는 방식으로 포맷된 Client Hello 메시지와 협상을 시작할 수 있습니다. NSS(Network Security Services) 라이브러리에서 이 기능에 대한 지원은 더 이상 사용되지 않으며 기본적으로 비활성화되어 있습니다.

TPM 1.2가 더 이상 사용되지 않음

신뢰할 수 있는 플랫폼 모듈(TPM) 보안 암호화 프로세서 표준이 2016년에 버전 2.0으로 업데이트되었습니다. TPM 2.0은 TPM 1.2에 비해 많은 개선 사항을 제공하며 이전 버전과 호환되지 않습니다. TPM 1.2는 RHEL 8에서 더 이상 사용되지 않으며 다음 주요 릴리스에서 제거될 수 있습니다.

crypto-policies 파생 속성이 더 이상 사용되지 않음

사용자 지정 정책에 crypto-policies 지시문에 대한 범위가 도입되면서 tls_cipher,ssh_cipher,ssh_group,ike_protocol, sha1_in_dnssec 등의 파생 속성이 더 이상 사용되지 않습니다. 또한 범위를 지정하지 않고 protocol 속성을 사용하면 더 이상 사용되지 않습니다. 권장 교체 방법은 crypto-policies man 페이지를 참조하십시오.

/etc/selinux/config 를 사용하여 SELinux 비활성화 런타임이 더 이상 사용되지 않음

/etc/selinux/config 파일에서 SELINUX=disabled 옵션을 사용하여 SELinux를 비활성화하는 런타임이 더 이상 사용되지 않습니다. RHEL 9에서 /etc/selinux/config 를 통해서만 SELinux를 비활성화하면 시스템은 SELinux를 활성화하지만 정책이 로드되지 않은 상태로 시작됩니다.

selinux-policy에서 ipa SELinux 모듈 제거

ipa SELinux 모듈이 더 이상 유지 관리되지 않으므로 selinux-policy 패키지에서 제거되었습니다. 이제 ipa-selinux 하위 패키지에 기능이 포함됩니다.

fapolicyd.rules 가 더 이상 사용되지 않음

허용 및 거부 실행 규칙이 포함된 파일의 /etc/fapolicyd/rules.d/ 디렉터리에는 /etc/fapolicyd/fapolicyd.rules 파일이 교체됩니다. 이제 fagenrules 스크립트가 이 디렉터리의 모든 구성 요소 규칙 파일을 /etc/fapolicyd/ECDHE.rules 파일에 병합합니다. /etc/fapolicyd/fapolicyd.trust 의 규칙은 여전히 fapolicyd 프레임워크에서 처리되지만 이전 버전과의 호환성을 위해서만 처리됩니다.