10장. 보안

다음 장에서는 RHEL 8과 RHEL 9 간의 보안에 대한 주요 변경 사항이 포함되어 있습니다.

10.1. 보안 규정 준수

DRAFT로 제공되는 CIS 및 DISAonnectionFactory 프로파일

CIS(Center for Internet Security) 및 Defence Industry Security Association Security Implementation Guides (DISAbaremetal)의 벤치마크를 기반으로 하는 프로필은 아직 RHEL 9에 대한 공식 벤치마크를 게시하지 않았기 때문에 DRAFT로 제공됩니다. 또한 OSSP 프로파일은 구현되기 때문에 DRAFT에 있습니다.

RHEL 9에서 사용 가능한 전체 프로필 목록은 RHEL 9 에서 지원되는 SCAP 보안 가이드 프로필을 참조하십시오.

OpenSCAP이 더 이상 SHA-1 및 MD5를 지원하지 않음

Red Hat Enterprise Linux 9에서 SHA-1 및 MD5 해시 함수가 제거되었기 때문에 OVAL filehash_test 에 대한 지원이 OpenSCAP에서 제거되었습니다. 또한 SHA-1 및 MD5 해시 함수에 대한 지원이 OpenSCAP의 OVAL filehash58_test 구현에서 제거되었습니다. 결과적으로 OpenSCAP는 OVAL filehash_test검사하지 않은 상태로 사용하는 SCAP 콘텐츠에서 규칙을 평가합니다. 또한 OpenSCAP은 filehash58_objectSHA-1 또는 MD5 로 설정된 hash_type 요소를 사용하여 OVAL filehash58_test 를 평가할 때도 검사되지 않았습니다.

OVAL 콘텐츠를 업데이트하려면 파일hash_test 대신 filehash58_test 를 사용하고 filehash58_object 내의 hash_ type 요소에서 SHA -256,SHA-384,SHA-512 중 하나를 사용하도록 영향을 받는 SCAP 콘텐츠를 다시 작성합니다.

OpenSCAP은 XCCDF 파일 대신 데이터 스트림 파일을 사용합니다.

SCAP 소스 데이터 스트림 파일(ssg-rhel9-ds.xml)에는 이전 버전의 RHEL에 있는 모든 데이터가 XCCDF 파일(sg-rhel9-xccdf.xml)에 포함되어 있습니다. SCAP 소스 데이터 스트림은 규정 준수 검사를 수행하는 데 필요한 모든 구성 요소(XCCDF, OVAL, cp)를 포함하는 컨테이너 파일입니다. RHEL 7부터 XCCDF 대신 SCAP 소스 데이터 스트림을 사용하는 것이 좋습니다. 이전 버전의 RHEL에서는 XCCDF 파일과 SCAP 소스 데이터 스트림의 데이터가 복제되었습니다. RHEL 9에서는 RPM 패키지 크기를 줄이기 위해 이러한 중복이 제거됩니다. 데이터 스트림 대신 별도의 파일을 사용해야 하는 경우 이 명령을 사용하여 데이터 스트림 파일을 분할할 수 있습니다. # oscap ds sds-split /usr/share/xml/scap/ssg/content/ssg-rhel9-ds.xml output_directory.