Trusted Extensions의 일반 작업(작업 맵)

다음 작업 맵에서는 Trusted Extensions의 일반적인 관리 절차를 설명합니다.

작업	설명	수행 방법
`root` 암호를 변경합니다.	`root` 역할에 대한 새 암호를 지정합니다.	root 암호를 변경하는 방법
레이블이 있는 영역에서 암호 변경 사항을 반영합니다.	영역을 재부트하여 암호가 변경된 영역을 업데이트합니다.	레이블이 있는 영역에서 새 로컬 사용자 암호를 강제 적용하는 방법
보안 키 조합을 사용합니다.	마우스나 키보드의 컨트롤을 가져옵니다. 또한 마우스나 키보드를 신뢰할 수 있는지 여부를 테스트합니다.	데스크탑의 현재 포커스에 대한 컨트롤을 다시 얻는 방법
레이블에 대한 16진수를 결정합니다.	텍스트 레이블에 대한 내부 표현을 표시합니다.	레이블에 해당하는 16진수를 얻는 방법
레이블에 대한 텍스트 표현을 결정합니다.	16진수 레이블에 대한 텍스트 표현을 표시합니다.	읽기 가능한 레이블을 해당 16진수 형식에서 얻는 방법
장치를 할당합니다.	사용자가 장치를 할당할 수 있도록 합니다. 주변 기기를 사용하여 정보를 추가하거나 시스템에서 정보를 제거합니다.	Oracle Solaris 관리: 보안 서비스의 장치를 할당할 수 있도록 사용자를 인증하는 방법 Trusted Extensions 사용자 설명서의 Trusted Extensions에서 장치를 할당하는 방법
원격으로 시스템을 관리합니다.	원격 시스템에서 Trusted Extensions 시스템을 관리합니다.	12 장Trusted Extensions에서 원격 관리(작업)

root 암호를 변경하는 방법

Trusted Extensions에서는 암호 변경을 위한 GUI를 제공합니다.

root 역할을 맡습니다.
단계는 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.
신뢰할 수 있는 스트라이프에서 신뢰할 수 있는 기호를 눌러서 Trusted Path(신뢰할 수 있는 경로) 메뉴를 엽니다.
Change Login Password(로그인 암호 변경)를 선택합니다.
영역마다 별도의 암호가 만들어진 경우 Change Workspace Password(작업 공간 암호 변경) 메뉴가 나타날 수도 있습니다.
암호를 변경하고 변경 내용을 확인합니다.

레이블이 있는 영역에서 새 로컬 사용자 암호를 강제 적용하는 방법

다음 조건에서는 레이블이 있는 영역을 재부트해야 합니다.

한 명 이상의 로컬 사용자가 암호를 변경했습니다.
모든 영역에서 단일 인스턴스의 이름 지정 서비스 캐시 데몬(nscd)을 사용합니다.
시스템이 LDAP가 아닌 파일로 관리됩니다.

시작하기 전에

Zone Security 권한 프로파일이 지정되어 있어야 합니다.

암호 변경 사항을 강제 적용하려면 사용자가 액세스할 수 있는 레이블이 있는 영역을 재부트합니다.
다음 방법 중 하나를 사용합니다.
- txzonemgr GUI를 사용합니다.
```
# txzonemgr &
```
  Labeled Zone Manager(레이블이 있는 영역 관리자)에서 레이블이 있는 영역으로 이동하고 명령 목록에서 Halt(정지)를 선택한 다음 Boot(부트)를 선택합니다.
- 전역 영역의 터미널 창에서 영역 관리 명령을 사용합니다.
  시스템을 종료하거나 정지하도록 선택할 수 있습니다.
  - zlogin 명령은 영역을 완전히 종료합니다.
```
# zlogin labeled-zone shutdown -i 0
# zoneadm -z labeled-zone boot
```
  - halt 하위 명령은 종료 스크립트를 건너뜁니다.
```
# zoneadm -z labeled-zone halt
# zoneadm -z labeled-zone boot
```

일반 오류

레이블이 있는 영역에 대한 사용자 암호를 자동으로 업데이트하려면 LDAP를 구성하거나 영역마다 하나의 이름 지정 서비스를 구성해야 합니다. 둘 다 구성할 수도 있습니다.

LDAP를 구성하려면 5 장Trusted Extensions에 대해 LDAP 구성(작업) 을 참조하십시오.
영역마다 하나의 이름 지정 서비스를 구성하려면 고급 네트워킹 기술이 필요합니다. 절차는 각 레이블이 있는 영역에 대해 별도의 이름 서비스를 구성하는 방법을 참조하십시오.

데스크탑의 현재 포커스에 대한 컨트롤을 다시 얻는 방법

“보안” 키 조합을 사용하여 신뢰할 수 없는 응용 프로그램의 포인터 잡기나 키보드 잡기를 해제할 수 있습니다. 또한 이 키보드 조합을 사용하여 신뢰할 수 있는 응용 프로그램에서 포인터가 키보드를 잡았는지 확인할 수 있습니다. 여러 개의 신뢰할 수 있는 스트라이프를 표시하도록 스푸핑된 멀티헤디드 시스템에서 이 키 조합은 인증된 신뢰할 수 있는 스트라이프로 포인터를 가져옵니다.

Sun 키보드의 컨트롤을 다시 얻으려면 다음 키 조합을 사용하십시오.
키를 동시에 눌러 현재 데스크탑 포커스에 대한 컨트롤을 다시 얻습니다. Sun 키보드에서 다이아몬드는 Meta 키입니다.
```
<Meta> <Stop>
```
포인터와 같은 잡기를 신뢰할 수 없는 경우 포인터가 스트라이프로 이동합니다. 신뢰할 수 있는 포인터는 신뢰할 수 있는 스트라이프로 이동하지 않습니다.
Sun 키보드를 사용하지 않을 경우 다음 키 조합을 사용하십시오.
```
<Alt> <Break>
```
키를 동시에 눌러 랩탑에서 현재 데스크탑 포커스에 대한 컨트롤을 다시 얻습니다.

예 9-1 암호 프롬프트를 신뢰할 수 있는지 테스트

Sun 키보드를 사용하는 x86 시스템에서는 사용자에게 암호를 묻는 프롬프트가 나타납니다. 커서가 잡혔으며 암호 대화 상자에 있습니다. 프롬프트를 신뢰할 수 있는지 확인하기 위해 사용자가 <Meta> <Stop> 키를 동시에 누릅니다. 포인터가 대화 상자에 남아 있으면 암호 프롬프트를 신뢰할 수 있는 것입니다.

그러나 포인터가 신뢰할 수 있는 스트라이프로 이동하면 암호 프롬프트를 신뢰할 수 없는 것이므로 관리자에게 문의해야 합니다.

예 9-2 포인터를 신뢰할 수 있는 스트라이프로 가져오기

이 예에서 사용자는 신뢰할 수 있는 프로세스를 실행하고 있지 않지만 마우스 포인터를 볼 수 없습니다. 포인터를 신뢰할 수 있는 스트라이프의 중앙으로 가져오기 위해 사용자는 <Meta> <Stop> 키를 동시에 누릅니다.

레이블에 해당하는 16진수를 얻는 방법

이 절차에서는 레이블의 내부 16진수 표현을 제공합니다. 이 표현은 공용 디렉토리에 저장하기에 안전합니다. 자세한 내용은 atohexlabel(1M) 매뉴얼 페이지를 참조하십시오.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.

레이블에 대한 16진수 값을 얻으려면 다음 중 하나를 수행하십시오.
- 민감도 레이블에 대한 16진수 값을 얻으려면 명령에 레이블을 전달합니다.
```
$ atohexlabel "CONFIDENTIAL : INTERNAL USE ONLY"
0x0004-08-48
```
  문자열은 대소문자를 구분하지 않지만 공백은 정확해야 합니다. 예를 들어, 다음 따옴표로 묶인 문자열은 16진수 레이블을 반환합니다.
  - "CONFIDENTIAL : INTERNAL USE ONLY"
  - "cnf : Internal"
  - "confidential : internal"
  다음 따옴표로 묶인 문자열은 구문 분석 오류를 반환합니다.
  - "confidential:internal"
  - "confidential: internal"
- 클리어런스에 대한 16진수 값을 얻으려면 -C 옵션을 사용합니다.
```
$ atohexlabel -c "CONFIDENTIAL NEED TO KNOW"
0x0004-08-68
```
  주 - 사람이 읽을 수 있는 민감도 레이블과 클리어런스 레이블은 label_encodings 파일의 규칙에 따라 구성됩니다. 각 유형의 레이블은 이 파일의 개별 구역에 있는 규칙을 사용합니다. 민감도 레이블과 클리어런스 레이블 모두 동일한 기본 수준의 민감도를 표현할 경우 두 레이블의 16진수 형식은 동일합니다. 그러나 사람이 읽을 수 있는 형식은 다를 수 있습니다. 사람이 읽을 수 있는 형식을 입력으로 받아들이는 시스템 인터페이스에서는 한 가지 유형의 레이블을 예상합니다. 레이블 유형에 대한 텍스트 문자열이 다를 경우 이들 텍스트 문자열을 혼용할 수 없습니다.
  label_encodings 파일에서 클리어런스 레이블에 해당하는 텍스트에는 콜론(:)이 포함되지 않습니다.

예 9-3 atohexlabel 명령 사용

16진수 형식의 올바른 레이블을 전달하면 명령에서 인수를 반환합니다.

$ atohexlabel 0x0004-08-68
0x0004-08-68

관리 레이블을 전달하면 명령에서 인수를 반환합니다.

$ atohexlabel admin_high
ADMIN_HIGH
atohexlabel admin_low
ADMIN_LOW

일반 오류

위치 0의 <문자열>에서 atohexlabel 구문 분석 오류가 발생했습니다는 오류 메시지는 atohexlabel에 전달한 <문자열> 인수가 올바른 레이블이나 클리어런스가 아님을 나타냅니다. 입력 내용을 확인하고 설치한 label_encodings 파일에 레이블이 존재하는지 확인합니다.

읽기 가능한 레이블을 해당 16진수 형식에서 얻는 방법

이 절차에서는 내부 데이터베이스에 저장된 레이블을 복구하는 방법을 제공합니다. 자세한 내용은 hextoalabel(1M) 매뉴얼 페이지를 참조하십시오.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.

레이블의 내부 표현에 해당하는 텍스트를 가져오려면 다음 중 하나를 수행하십시오.
- 민감도 레이블에 해당하는 텍스트를 가져오려면 레이블의 16진수 형식을 전달합니다.
```
$ hextoalabel 0x0004-08-68
CONFIDENTIAL : NEED TO KNOW
```
- 클리어런스에 해당하는 텍스트를 가져오려면 -C 옵션을 사용합니다.
```
$ hextoalabel -c 0x0004-08-68
CONFIDENTIAL NEED TO KNOW
```

시스템 파일에서 보안 기본값을 변경하는 방법

Oracle Solaris의 Trusted Extensions에서 root 계정은 시스템의 기본 보안 값을 변경할 수 있습니다.

보안 값은 /etc/security 및 /etc/default 디렉토리의 파일에 있습니다. 자세한 내용은 Oracle Solaris 관리: 보안 서비스의 3 장, 시스템에 대한 액세스 제어(작업)를 참조하십시오.

주의 - 사이트 보안 정책에서 허용하는 경우에만 시스템 보안 기본값을 완화하십시오.

시작하기 전에

전역 영역에서 root 역할을 가진 사용자여야 합니다.

시스템 파일을 편집합니다.

다음 표에는 보안 파일 및 해당 파일에서 변경할 수 있는 보안 값이 나열되어 있습니다.

파일	작업	자세한 정보
`/etc/default/login`	허용되는 암호 시도 횟수를 줄입니다.	Oracle Solaris 관리: 보안 서비스의 실패한 모든 로그인 시도 모니터 방법에 있는 예를 참조하십시오. `passwd`(1) 매뉴얼 페이지
`/etc/default/kbd`	키보드 셧다운을 비활성화합니다.	Oracle Solaris 관리: 보안 서비스의 시스템 중단 시퀀스를 사용 안함으로 설정하는 방법 주 - 관리자가 디버깅에 사용하는 호스트에서 `KEYBOARD_ABORT`에 대한 기본 설정은 `kadb` 커널 디버거에 대한 액세스를 허용합니다. `kadb`(1M) 매뉴얼 페이지
`/etc/security/policy.conf`	사용자 암호에 대한 보다 강력한 알고리즘을 필요로 합니다. 이 호스트의 모든 사용자에게서 기본 권한을 제거합니다. 이 호스트의 사용자를 Basic Solaris User(기본 Solaris 사용자) 인증으로 제한합니다.	`policy.conf`(4) 매뉴얼 페이지
`/etc/default/passwd`	사용자가 암호를 자주 변경해야 합니다. 사용자가 최대한 다른 암호를 만들어야 합니다. 보다 긴 사용자 이름을 요구합니다. 사전에서 찾을 수 없는 암호를 요구합니다.	`passwd`(1) 매뉴얼 페이지

탐색 링크 건너뛰기
인쇄 보기 종료
	Trusted Extensions 구성 및 관리 Oracle Solaris 11 Information Library (한국어)