4.6. 보안

libreswan은 4.9로 다시 설정

libreswan 패키지가 4.9 버전으로 업그레이드되었습니다. 이전 버전의 주요 변경 사항은 다음과 같습니다.

OpenSSL이 3.0.7로 다시 시작

OpenSSL 패키지는 다양한 버그 수정 및 개선 사항이 포함된 버전 3.0.7로 변경되었습니다. 특히 기본 공급자에는 이제 RIPEMD160 해시 기능이 포함됩니다.

libssh 에서 스마트 카드 지원

이제 PKI(Public-Key Cryptography Standard) #11 URI(Uniform Resource Identifier)를 통해 스마트 카드를 사용할 수 있습니다. 결과적으로 libssh SSH 라이브러리와 libssh 를 사용하는 애플리케이션에서 스마트 카드를 사용할 수 있습니다.

libssh rebased to 0.10.4

시스템 간 보안 원격 액세스 및 파일 전송을 위해 SSH 프로토콜을 구현하는 libssh 라이브러리가 버전 0.10.4로 업데이트되었습니다.

3.5로 업데이트 된 SELinux 사용자 공간 패키지

SELinux 사용자 공간 패키지 libselinux,libse manage,checkpolicy,mcstrans, policycoreutils, sepolicy 유틸리티를 포함하는 버전 3.5로 업데이트되었습니다. 주요 개선 사항 및 버그 수정 사항은 다음과 같습니다.

OpenSCAP이 1.3.7로 재기반

OpenSCAP 패키지는 업스트림 버전 1.3.7로 변경되었습니다. 이 버전은 다양한 버그 수정 및 개선 사항을 제공합니다.

SCAP 보안 가이드 0.1.66으로 업데이트

SCAP Security Guide (SSG) 패키지는 업스트림 버전 0.1.66으로 변경되었습니다. 이 버전은 다양한 개선 사항 및 버그 수정을 제공합니다.

유휴 세션 종료를 위한 새로운 SCAP 규칙

새로운 SCAP 규칙 logind_session_timeout 이 강화 및 높은 수준의 ANSSI-BP-028 프로파일의 scap-security-guide 패키지에 추가되었습니다. 이 규칙은 systemd 서비스 관리자의 새로운 기능을 사용하고 특정 시간 후에 유휴 사용자 세션을 종료합니다. 이 규칙은 여러 보안 정책에 필요한 강력한 유휴 세션 종료 메커니즘의 자동 구성을 제공합니다. 결과적으로 OpenSCAP은 유휴 사용자 세션 종료와 관련된 보안 요구 사항을 자동으로 확인하고 필요한 경우 문제를 해결할 수 있습니다.

Rsyslog 로그 파일에 대한 SCAP -security-guide 규칙은 RainerScript 로그와 호환됩니다.

Rsyslog 로그 파일의 소유권 확인 및 수정, 그룹 소유권 및 권한에 대한 scap-security-guide 의 규칙도 이제 RainerScript 구문과 호환됩니다. 최신 시스템에서는 Rsyslog 구성 파일에서 RainerScript 구문을 이미 사용하고 있으며 해당 규칙은 이 구문을 인식하지 못했습니다. 결과적으로 scap-security-guide 규칙은 이제 사용 가능한 두 구문에서 소유권, 그룹 소유권 및 권한을 확인하고 수정할 수 있습니다.

Keylime re based to 6.5.2

keylime 패키지는 업스트림 버전인 keylime-6.5.2-5.el9로 변경되었습니다. 이 버전에는 다양한 개선 사항 및 버그 수정이 포함되어 있으며 특히 다음과 같습니다.

Clevis에서 외부 토큰 허용

Clevis 자동 암호화 툴에 도입된 새로운 -e 옵션을 사용하면 cryptsetup 중에 암호를 입력하지 않도록 외부 토큰 ID를 제공할 수 있습니다. 이 기능을 사용하면 구성 프로세스를 보다 자동화하고 편리하게 수행할 수 있으며 Clevis를 사용하는 stratis 과 같은 패키지에 특히 유용합니다.

rsyslog TLS 암호화 로깅이 여러 CA 파일 지원

새로운 NetstreamDriverCaExtraFiles 지시문을 사용하면 TLS 암호화 원격 로깅을 위한 추가 CA(인증 기관) 파일 목록을 지정할 수 있습니다. 새 지시문은 ossl (OpenSSL) Rsyslog 네트워크 스트림 드라이버에서만 사용할 수 있습니다.

rsyslog 권한은 제한됩니다.

이제 Rsyslog 로그 처리 시스템의 권한은 Rsyslog에 명시적으로 필요한 권한으로만 제한됩니다. 이렇게 하면 입력 리소스 오류(예: 네트워킹 플러그인)의 경우 보안 노출이 최소화됩니다. 그 결과 Rsyslog는 동일한 기능을 가지지만 불필요한 권한은 없습니다.

SELinux 정책을 통해 Rsyslog는 시작 시 권한을 삭제할 수 있습니다.

Rsyslog 로그 처리 시스템의 권한이 보안 노출 최소화로 제한되기 때문에 (RH#2127404) SELinux 정책이 업데이트되어 rsyslog 서비스가 시작 시 권한을 삭제할 수 있습니다.

Tang에서 systemd-sysusers사용

Tang 네트워크 존재 서버는 이제 useradd 명령을 포함하는 쉘 스크립트 대신 systemd-sysusers 서비스를 통해 시스템 사용자 및 그룹을 추가합니다. 이를 통해 시스템 사용자 목록을 쉽게 확인할 수 있으며, sysuser.d 파일을 더 높은 우선 순위로 제공하여 시스템 사용자 정의도 재정의할 수 있습니다.

Opencryptoki rebased to 3.19.0

opencryptoki 패키지는 많은 개선 사항 및 버그 수정을 제공하는 3.19.0 버전으로 변경되었습니다. 특히 opencryptoki 는 다음과 같은 기능을 지원합니다.

이제 SELinux가 CloudEvent tcpd 및 udftools를 제한합니다.

이 selinux-policy 패키지가 업데이트되면 SELinux는 다음 서비스를 제한합니다.

fapolicyd에서 RPM 데이터베이스 필터링 제공

새 구성 파일 /etc/fapolicyd/rpm-filter.conf 를 사용하면 fapolicyd 소프트웨어 프레임워크가 trust 데이터베이스에 저장하는 RPM-database 파일 목록을 사용자 지정할 수 있습니다. 이렇게 하면 RPM으로 설치된 특정 애플리케이션을 차단하거나 기본 구성 필터로 거부된 애플리케이션을 허용할 수 있습니다.

GnuTLS는 암호 해독 및 암호화 중에 패딩을 추가 및 제거할 수 있습니다.

특정 프로토콜을 구현하려면 암호 해독 및 암호화 중에 PKCS#7 패딩이 필요합니다. gnutls_cipher_encrypt3 및 gnutls_cipher_decrypt3 블록 암호화 기능이 GnuTLS에 추가되었습니다. 결과적으로 GNUTLS_CIPHER_PADDING_PKCS7 플래그와 함께 이러한 함수를 사용하여 원래 일반 텍스트의 길이가 블록 크기 중 다수가 아닌 경우 패딩을 자동으로 추가하거나 제거할 수 있습니다.

NSS는 1023비트보다 짧은 RSA 키를 더 이상 지원하지 않음

NSS(Network Security Services) 라이브러리 업데이트에서는 모든 RSA 작업의 최소 키 크기를 128비트에서 1023비트로 변경합니다. 즉 NSS가 다음 기능을 더 이상 수행하지 않습니다.

EUS ( Extended Master Secret TLS Extension)가 FIPS 지원 시스템에서 적용됩니다.

RHSA-2023:3722 권고가 릴리스되면서 TLS 확장 마스터 시크릿 (ECDSA) 확장(RFC 7627)은 FIPS 지원 RHEL 9 시스템에서 TLS 1.2 연결에 필요합니다. 이는 FIPS-140-3 요구 사항에 따라 수행됩니다. TLS 1.3은 영향을 받지 않습니다.