탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11 보안 지침 Oracle Solaris 11 Information Library (한국어) |
이 때, 역할을 가정할 수 있는 사용자를 만들고 역할을 만들었을 수 있습니다. root 역할만 시스템 파일을 수정할 수 있습니다.
다음 네트워크 작업에서 사이트 요구 사항에 따라 추가 보안을 제공하는 작업을 수행합니다. 이러한 네트워크 작업은 원격으로 로그인한 사용자에게 시스템이 보호되고 있음을 알리고 IP, ARP 및 TCP 프로토콜을 강화합니다.
|
다음 절차는 원격 로그인 및 파일 전송 시 경고를 표시하는 방법입니다.
시작하기 전에
root 역할을 가진 사용자여야 합니다. /etc/issue 파일은 배너 파일에 보안 메시지 배치의 단계 1에서 이미 만들었습니다.
# vi /etc/ssh/sshd_config # Banner to be printed before authentication starts. Banner /etc/issue
# svcadm refresh ssh
자세한 내용은 issue(4) 및 sshd_config(4) 매뉴얼 페이지를 참조하십시오.
# vi /etc/proftpd.conf # Banner to be printed before authentication starts. DisplayConnect /etc/issue
# svcadm restart ftp
자세한 내용은 ProFTPD 웹 사이트를 참조하십시오.
이 절차에 따라 기본 라우터를 지정하여 설치한 후 네트워크 라우팅을 방지합니다. 그렇지 않으면 라우팅을 수동으로 구성한 후 이 절차를 수행하십시오.
주 - 여러 네트워크 구성 절차에서는 라우팅 데몬을 사용 안함으로 설정해야 합니다. 따라서 대규모 구성 절차에서는 이 데몬이 사용 안함으로 설정되었을 수 있습니다.
시작하기 전에
네트워크 관리 권한 프로파일을 지정해야 합니다.
# svcs -x svc:/network/routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: online since April 10, 2011 05:15:35 AM PDT See: in.routed(1M) See: /var/svc/log/network-routing-route:default.log Impact: None.
서비스가 실행 중이 아니면 여기에서 중지할 수 있습니다.
# routeadm -d ipv4-forwarding -d ipv6-forwarding # routeadm -d ipv4-routing -d ipv6-routing # routeadm -u
# svcs -x routing/route:default svc:/network/routing/route:default (in.routed network routing daemon) State: disabled since April 11, 2011 10:10:10 AM PDT Reason: Disabled by an administrator. See: http://sun.com/msg/SMF-8000-05 See: in.routed(1M) Impact: This service is not running.
참조
routeadm(1M) 매뉴얼 페이지
기본적으로 Oracle Solaris는 브로드캐스트 패킷을 전달합니다. 사이트 보안 정책에 따라 브로드캐스트 범람 가능성을 줄여야 하는 경우 이 절차를 사용하여 기본값을 변경하십시오.
주 - _forward_directed_broadcasts 네트워크 등록 정보를 사용 안함으로 설정하면 브로드캐스트 핑이 사용 안함으로 설정됩니다.
시작하기 전에
네트워크 관리 권한 프로파일을 지정해야 합니다.
# ipadm set-prop -p _forward_directed_broadcasts=0 ip
# ipadm show-prop -p _forward_directed_broadcasts ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _forward_directed_broadcasts rw 0 -- 0 0,1
참조
ipadm(1M) 매뉴얼 페이지
이 절차를 사용하여 네트워크 토폴로지에 대한 정보 배포를 방지합니다.
시작하기 전에
네트워크 관리 권한 프로파일을 지정해야 합니다.
# ipadm set-prop -p _respond_to_echo_broadcast=0 ip # ipadm show-prop -p _respond_to_echo_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_echo_broadcast rw 0 -- 1 0,1
# ipadm set-prop -p _respond_to_echo_multicast=0 ipv4 # ipadm set-prop -p _respond_to_echo_multicast=0 ipv6 # ipadm show-prop -p _respond_to_echo_multicast ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _respond_to_echo_multicast rw 0 -- 1 0,1 # ipadm show-prop -p _respond_to_echo_multicast ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _respond_to_echo_multicast rw 0 -- 1 0,1
참조
자세한 내용은 Oracle Solaris 조정 가능 매개변수 참조 설명서의 _respond_to_echo_broadcast 및 _respond_to_echo_multicast (ipv4 or ipv6) 및 ipadm(1M) 매뉴얼 페이지를 참조하십시오.
다른 시스템에 대한 게이트웨이인 시스템(예: 방화벽 또는 VPN 노드)의 경우 이 절차를 사용하여 엄격한 다중 홈 지정을 설정합니다.
Oracle Solaris 11 릴리스에는 IPv4 및 IPv6에 대한 새로운 등록 정보인 hostmodel이 도입되었습니다. 이 등록 정보는 다중 홈 지정 시스템에 대한 IP 패킷의 전송 및 수신 동작을 제어합니다.
시작하기 전에
네트워크 관리 권한 프로파일을 지정해야 합니다.
# ipadm set-prop -p hostmodel=strong ipv4 # ipadm set-prop -p hostmodel=strong ipv6
# ipadm show-prop -p hostmodel ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 hostmodel rw strong strong weak strong,src-priority,weak ipv4 hostmodel rw strong strong weak strong,src-priority,weak
참조
자세한 내용은 Oracle Solaris 조정 가능 매개변수 참조 설명서의 hostmodel (ipv4 or ipv6) 및 ipadm(1M) 매뉴얼 페이지를 참조하십시오.
엄격한 다중 홈 지정 사용에 대한 자세한 내용은 Oracle Solaris 관리: IP 서비스의 터널 모드에서 IPsec를 사용하여 VPN을 보호하는 방법를 참조하십시오.
이 절차에 따라 완전하지 않은 보류 중인 연결 개수를 제어하여 서비스 거부(DOS) 공격을 방지합니다.
시작하기 전에
네트워크 관리 권한 프로파일을 지정해야 합니다.
# ipadm set-prop -p _conn_req_max_q0=4096 tcp
# ipadm show-prop -p _conn_req_max_q0 tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q0 rw 4096 -- 128 1-4294967295
참조
자세한 내용은 Oracle Solaris 조정 가능 매개변수 참조 설명서의 _conn_req_max_q0 및 ipadm(1M) 매뉴얼 페이지를 참조하십시오.
이 절차에 따라 허용된 수신 중인 연결 개수를 제어하여 DOS 공격을 방지합니다.
시작하기 전에
네트워크 관리 권한 프로파일을 지정해야 합니다.
# ipadm set-prop -p _conn_req_max_q=1024 tcp
# ipadm show-prop -p _conn_req_max_q tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _conn_req_max_q rw 1024 -- 128 1-4294967295
참조
자세한 내용은 Oracle Solaris 조정 가능 매개변수 참조 설명서의 _conn_req_max_q 및 ipadm(1M) 매뉴얼 페이지를 참조하십시오.
이 절차에서는 RFC 1948을 준수하는 TCP 초기 시퀀스 번호 생성 매개변수를 설정합니다.
시작하기 전에
시스템 파일을 수정하려면 사용자가 root 역할이어야 합니다.
# vi /etc/default/inetinit # TCP_STRONG_ISS=1 TCP_STRONG_ISS=2
기본적으로 보안되는 여러 네트워크 매개변수는 튜닝 가능하므로 변경될 수 있습니다. 사이트 조건에서 허용하는 경우 다음과 같은 튜닝 가능한 매개변수를 해당 기본값으로 반환합니다.
시작하기 전에
네트워크 관리 권한 프로파일을 지정해야 합니다. 매개변수의 현재 값이 기본값보다 보안이 낮습니다.
기본값은 허위로 제공된 패킷으로부터의 DOS 공격을 방지합니다.
# ipadm set-prop -p _forward_src_routed=0 ipv4 # ipadm set-prop -p _forward_src_routed=0 ipv6 # ipadm show-prop -p _forward_src_routed ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _forward_src_routed rw 0 -- 0 0,1 # ipadm show-prop -p _forward_src_routed ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _forward_src_routed rw 0 -- 0 0,1
자세한 내용은 Oracle Solaris 조정 가능 매개변수 참조 설명서의 forwarding (ipv4 or ipv6)을 참조하십시오.
기본값은 네트워크 토폴로지 정보의 배포를 방지합니다.
# ipadm set-prop -p _respond_to_address_mask_broadcast=0 ip # ipadm show-prop -p _respond_to_address_mask_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_address_mask_broadcast rw 0 -- 0 0,1
기본값은 시스템에서 추가 CPU 요구를 제거하고 네트워크 정보의 배포를 방지합니다.
# ipadm set-prop -p _respond_to_timestamp=0 ip # ipadm show-prop -p _respond_to_timestamp ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp rw 0 -- 0 0,1
기본값은 시스템에서 추가 CPU 요구를 제거하고 네트워크 정보의 배포를 방지합니다.
# ipadm set-prop -p _respond_to_timestamp_broadcast=0 ip # ipadm show-prop -p _respond_to_timestamp_broadcast ip PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ip _respond_to_timestamp_broadcast rw 0 -- 0 0,1
기본값은 시스템에서 추가 CPU 요구를 방지합니다.
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
진단 목적을 위해 IP 소스 라우팅이 필요한 경우 이 네트워크 매개변수를 사용 안함으로 설정하지 마십시오.
# ipadm set-prop -p _rev_src_routes=0 tcp # ipadm show-prop -p _rev_src_routes tcp PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE tcp _rev_src_routes rw 0 -- 0 0,1
자세한 내용은 Oracle Solaris 조정 가능 매개변수 참조 설명서의 _rev_src_routes를 참조하십시오.
기본값은 시스템에서 추가 CPU 요구를 방지합니다. 잘 구성된 네트워크에서는 일반적으로 재지정이 필요하지 않습니다.
# ipadm set-prop -p _ignore_redirect=0 ipv4 # ipadm set-prop -p _ignore_redirect=0 ipv6 # ipadm show-prop -p _ignore_redirect ipv4 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv4 _ignore_redirect rw 0 -- 0 0,1 # ipadm show-prop -p _ignore_redirect ipv6 PROTO PROPERTY PERM CURRENT PERSISTENT DEFAULT POSSIBLE ipv6 _ignore_redirect rw 0 -- 0 0,1
참조
ipadm(1M) 매뉴얼 페이지