탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11 보안 지침 Oracle Solaris 11 Information Library (한국어) |
이제 root 역할을 사용할 수 있는 초기 사용자만 시스템에 액세스할 수 있습니다. 다음 작업은 일반 사용자가 로그인하기 전에 순서대로 수행하는 것이 가장 좋습니다.
|
기본값이 사용자의 사이트 보안 요구 사항을 충족하지 못할 경우 이 절차를 수행합니다. 이러한 단계는 /etc/default/passwd 파일의 항목 목록을 따릅니다.
시작하기 전에
기본값을 변경하기 전에 변경 사항에 따라 모든 사용자가 해당 응용 프로그램에 인증할 수 있고 네트워크의 다른 시스템에도 인증할 수 있는지 확인하십시오.
root 역할을 가진 사용자여야 합니다.
## /etc/default/passwd ## MAXWEEKS= MINWEEKS= MAXWEEKS=4 MINWEEKS=3
#PASSLENGTH=6 PASSLENGTH=8
#HISTORY=0 HISTORY=10
#MINDIFF=3 MINDIFF=4
#MINUPPER=0 MINUPPER=1
#MINDIGIT=0 MINDIGIT=1
참조
암호 만들기를 제한하는 변수 목록은 /etc/default/passwd 파일을 참조하십시오. 기본값은 파일에 표시되어 있습니다.
설치 후 적용되는 암호 제약 조건은 시스템 액세스가 제한되고 모니터됨을 참조하십시오.
passwd(1) 매뉴얼 페이지
로그인 시도가 특정 횟수만큼 실패한 후 일반 사용자 계정을 잠그려면 이 절차를 수행합니다.
주 - 사용자가 역할을 잠글 수 있으므로 역할을 가정할 수 있는 다른 사용자에 대해 계정 잠금을 설정하지 마십시오.
시작하기 전에
root 역할을 가진 사용자여야 합니다. 관리 작업을 수행하기 위해 사용하는 시스템에서 이 시스템 차원의 보호를 설정하지 마십시오.
# vi /etc/security/policy.conf ... #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES ...
# usermod -K lock_after_retries=yes username
# vi /etc/default/login ... #RETRIES=5 RETRIES=3 ...
참조
사용자 및 역할 보안 속성에 대한 자세한 내용은 Oracle Solaris 관리: 보안 서비스의 10 장, Oracle Solaris의 보안 속성(참조)을 참조하십시오.
선택한 매뉴얼 페이지에 policy.conf(4) 및 user_attr(4)가 포함됩니다.
기본값인 umask 값 022가 충분히 제한적이지 않으면 이 절차에 따라 보다 제한적인 마스크를 설정합니다.
시작하기 전에
root 역할을 가진 사용자여야 합니다.
Oracle Solaris는 관리자가 사용자 셸 기본값을 사용자 정의할 수 있는 디렉토리를 제공합니다. 이러한 골격 디렉토리에는 .profile, .bashrc, .kshrc와 같은 파일이 포함되어 있습니다.
다음 값 중 하나를 선택합니다.
umask 027 – 중간 수준의 파일 보호를 제공합니다.
(740) – 그룹의 경우 w, 기타의 경우 rwx입니다.
umask 026 – 조금 더 엄격한 파일 보호를 제공합니다.
(741) – 그룹의 경우 w, 기타의 경우 rw입니다.
umask 077 – 완전한 파일 보호를 제공합니다.
(700) – 그룹 및 기타에 대한 액세스 권한이 제공되지 않습니다.
참조
자세한 내용은 다음을 참조하십시오.
선택한 매뉴얼 페이지에 usermod(1M) 및 umask(1)가 포함됩니다.
이 절차에 따라 관리 명령, 시스템 침입 시도 및 사이트 보안 정책에 의해 지정된 기타 중요 이벤트를 감사합니다.
주 - 이 절차의 예로는 사용자의 보안 정책을 만족시키는 데 충분하지 않을 수 있습니다.
시작하기 전에
root 역할을 가진 사용자여야 합니다. 감사와 관련하여 사이트의 보안 정책을 구현합니다.
모든 사용자 및 역할에 대해 해당 사전 선택 마스크에 AUE_PFEXEC 감사 이벤트를 추가합니다.
# usermod -K audit_flags=lo,ps:no username
# rolemod -K audit_flags=lo,ps:no rolename
# auditconfig -setpolicy +argv
# auditconfig -setpolicy +arge
참조
감사 정책에 대한 자세한 내용은 Oracle Solaris 관리: 보안 서비스의 감사 정책를 참조하십시오.
감사 플래그 설정 예는 Oracle Solaris 관리: 보안 서비스의 감사 서비스 구성(작업) 및 Oracle Solaris 관리: 보안 서비스의 감사 서비스 문제 해결(작업)을 참조하십시오.
감사를 구성하려면 auditconfig(1M) 매뉴얼 페이지를 참조하십시오.
이 절차에 따라 이벤트가 발생할 때 모니터링하려는 이벤트에 대해 audit_syslog 플러그인을 활성화합니다.
시작하기 전에
syslog.conf 파일을 수정하려면 사용자가 root 역할이어야 합니다. 기타 단계에서는 사용자에게 감사 구성 권한 프로파일이 지정되어야 합니다.
# auditconfig -setplugin audit_syslog active p_flags=lo
기본 항목에는 로그 파일 위치가 포함됩니다.
# cat /etc/syslog.conf … audit.notice /var/adm/auditlog
# touch /var/adm/auditlog
# svcadm refresh system/system-log
감사 서비스는 새로 고쳐질 때 감사 플러그인 변경 사항을 읽습니다.
# audit -s
참조
감사 요약을 다른 시스템으로 전송하려면 Oracle Solaris 관리: 보안 서비스의 syslog 감사 로그를 구성하는 방법 예를 참조하십시오.
감사 서비스는 확장 출력을 생성할 수 있습니다. 로그를 관리하려면 logadm(1M) 매뉴얼 페이지를 참조하십시오.
출력을 모니터하려면 audit_syslog 감사 요약 모니터링을 참조하십시오.
특정 환경에서는 일반 사용자의 기본 집합에서 세 가지 기본 권한 중 하나 이상을 제거할 수 있습니다.
file_link_any – 프로세스가 해당 프로세스의 유효 UID와 다른 UID로 소유되는 파일에 대해 하드 링크를 만들 수 있도록 허용합니다.
proc_info – 프로세스가 신호를 보낼 수 있는 프로세스 이외의 다른 프로세스 상태를 검사할 수 있도록 허용합니다. 조사할 수 없는 프로세스는 /proc에서 볼 수 없고 존재하지 않는 것으로 표시됩니다.
proc_session – 프로세스가 세션 외부에서 신호를 보내거나 프로세스를 추적할 수 있도록 허용합니다.
시작하기 전에
root 역할을 가진 사용자여야 합니다.
# usermod -K defaultpriv=basic,!file_link_any user
# usermod -K defaultpriv=basic,!proc_info user
# usermod -K defaultpriv=basic,!proc_session user
# usermod -K defaultpriv=basic,!file_link_any,!proc_info,!proc_session user
참조
자세한 내용은 Oracle Solaris 관리: 보안 서비스의 8 장, 역할 및 권한 사용(개요) 및 privileges(5) 매뉴얼 페이지를 참조하십시오.