4.4. 보안

NSS는 더 이상 1023 비트보다 짧은 RSA 키를 지원하지 않습니다.

NSS(Network Security Services) 라이브러리 업데이트에서는 모든 RSA 작업의 최소 키 크기를 128에서 1023비트로 변경합니다. 즉 NSS는 더 이상 다음 기능을 수행하지 않습니다.

  • 1023비트보다 짧은 RSA 키를 생성합니다.
  • RSA 키를 1023비트 미만으로 사용하여 RSA 서명을 서명하거나 확인합니다.
  • RSA 키가 1023비트보다 짧으면 값을 암호화하거나 암호를 해독합니다.

(BZ#2097837)

SCAP 보안 가이드는 0.1.63으로 재구축됩니다.

SCAP Security Guide (SSG) 패키지는 업스트림 버전 0.1.63으로 다시 설계되었습니다. 이 버전은 다음과 같은 다양한 개선 사항 및 버그 수정을 제공합니다.

  • sysctl,grub2,ECDHE_pwquality, 빌드 시간 커널 구성에 대한 새로운 규정 준수 규칙이 추가되었습니다.
  • 이제 PAM 스택을 강화하는 규칙은 구성 도구로 authselect 를 사용합니다. 참고: 이러한 변경으로 PAM 스택을 다른 방법으로 편집한 경우 PAM 스택을 강화하는 규칙이 적용되지 않습니다.

(BZ#2070564)

CIS RHEL 8 벤치마크 2.0.0에 맞춰 SSG CIS 프로필

SCAP Security Guide (SSG)에는 CIS Red Hat Enterprise Linux 8 Benchmark 버전 2.0.0과 CIS(Center for Internet Security) 프로필을 조정하는 변경 사항이 포함되어 있습니다. 이 벤치마크 버전에서는 새로운 요구 사항, 더 이상 관련이 없는 제거된 요구 사항, 일부 기존 요구 사항을 다시 정렬했습니다. 업데이트는 관련 규칙의 참조와 해당 프로필의 정확성에 영향을 미칩니다.

(BZ#2058203)

RHEL 8 STIG 프로파일이 DISA STIG 컨텐츠에 더 적합하게 조정되었습니다.

scap-security-guide (SSG) 패키지에서 사용할 수 있는 Red Hat Enterprise Linux 8용 DISA STIG프로파일(xccdf_org.sgproject.content_profile_stig)은 SAML(Security Technical Implementation Guides)에 따라 시스템을 평가하는 데 사용할 수 있습니다. SSG의 콘텐츠를 사용하여 시스템을 수정할 수 있지만 DISA STIG 자동 콘텐츠를 사용하여 평가해야 할 수도 있습니다. 이번 업데이트를 통해 DISA STIG RHEL 8 프로파일이 DISA의 컨텐츠에 맞게 조정됩니다. 이로 인해 SSG 수정 후 DISA 콘텐츠에 대한 결과가 줄어듭니다.

다음 규칙의 평가는 계속 다릅니다.

  • SV-230264r627750_rule - CCE-80790-9 (ensure_gpgcheck_globally_disabled)
  • SV-230349r833388_rule - CCE-82266-8 (configure_bashrc_exec_tmux)
  • SV-230311r833305_rule - CCE-82215-5 (sysctl_kernel_core_pattern)
  • SV-230546r833361_rule - CCE-80953-3 (sysctl_kernel_ECDHEma_ptrace_scope)
  • SV-230287r743951_rule - CCE-82424-3 (file_permissions_sshd_private_key)
  • SV-230364r627750_rule - CCE-82472-2 (accounts_password_set_min_life_existing)
  • SV-230343r743981_rule - CCE-86107-0 (account_passwords_pam_faillock_audit)

(BZ#1967947)

/tmp/var/tmp 파티션이 없는 경우 마운트 옵션에 대한 SSG 규칙이 더 이상 잘못 실패하지 않습니다.

이전에는 이러한 파티션이 시스템에 없는 경우 /tmp/var/tmp 파티션의 마운트 옵션에 대한 SCAP Security Guide(SSG) 규칙이 실패 결과를 잘못 보고했습니다.

이번 개선된 기능을 통해 실패하는 대신 이러한 규칙을 적용할 수 없습니다. 이제 파티션이 존재하고 시스템에 올바른 마운트 옵션이 없는 경우에만 규칙이 실패합니다.

이러한 마운트 옵션이 특정 정책에 필요한 경우 이러한 파티션이 존재하는 규칙을 프로필에 있어야 하며 하나의 규칙이 실패해야 합니다.

(BZ#2032403)

STIG 보안 프로파일 버전 V1R7로 업데이트

SCAP Security Guide의 DISA STIG for Red Hat Enterprise Linux 8 프로파일이 최신 버전 V1R7 과 일치하도록 업데이트되었습니다.

프로필은 DISA(정보 시스템 기관)에서 제공하는 RHEL 8 STIG(보안 기술 구현 가이드) 수동 벤치마크를 보다 안정적이고 더 잘 조정합니다. 이 반복에서는 sysctl 콘텐츠를 새 STIG에 조정하는 업데이트를 제공합니다.

이전 버전이 더 이상 유효하지 않기 때문에 이 프로필의 현재 버전만 사용해야 합니다.

주의

자동 업데이트 적용으로 인해 시스템이 작동하지 않을 수 있습니다. 테스트 환경에서 먼저 수정을 실행합니다.

(BZ#2112937)

Clevis-luks-askpass 가 기본적으로 활성화됨

/lib/systemd/system-preset/90-default.preset 파일에는 enable clevis-luks-askpass.path 설정 옵션과 clevis-systemd 하위 패키지를 설치하면 clevis-luks-askpass.path 단위 파일이 활성화됩니다. 이를 통해 Clevis 암호화 클라이언트는 부팅 프로세스 후반부에 마운트되는 LUKS 암호화 볼륨도 잠금 해제할 수 있습니다. 이번 업데이트 이전에는 관리자가 systemctl enable clevis-luks-askpass.path 명령을 사용하여 이러한 볼륨의 잠금을 해제할 수 있어야 합니다.

(BZ#2107081)

Rsyslog 오류 파일의 최대 크기 옵션 추가

새로운 action.errorfile.maxsize 옵션을 사용하여 Rsyslog 로그 처리 시스템에 대한 오류 파일의 최대 바이트 수를 지정할 수 있습니다. 오류 파일이 지정된 크기에 도달하면 Rsyslog는 추가 오류 또는 기타 데이터를 쓸 수 없습니다. 이렇게 하면 오류 파일이 파일 시스템을 채우고 호스트를 사용할 수 없게 됩니다.

(BZ#1962318)

fapolicyd rebased to 1.1.3

fapolicyd 패키지가 버전 1.1.3으로 업그레이드되었습니다. 주요 개선 사항 및 버그 수정 사항은 다음과 같습니다.

  • 이제 규칙에 주체의 상위 PID(프로세스 ID)와 일치하는 새로운 subject PPID 속성이 포함될 수 있습니다.
  • OpenSSL 라이브러리는 해시 계산을 위한 암호화 엔진으로 Libgcrypt 라이브러리를 교체했습니다.
  • 이제 fagenrules --load 명령이 올바르게 작동합니다.

(BZ#2100087)