탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행(작업)
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
사용자가 데이터의 보안 수준을 변경할 수 있게 하는 방법
Trusted Extensions 시스템에서 사용자 계정을 삭제하는 방법
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리(작업)
14. Trusted Extensions에서 파일 관리 및 마운트(작업)
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리(참조)
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 검사 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
다음 작업 맵에서는 모든 사용자에 대해 시스템을 사용자 정의하거나 개발 사용자의 계정을 사용자 정의할 때 수행할 수 있는 일반적인 작업을 설명합니다. 이러한 작업 중 상당수는 일반 사용자가 로그인하기 전에 수행됩니다.
|
첫 번째 시스템 구성 중에 기본 사용자 레이블 속성을 수정할 수 있습니다. 변경 사항을 모든 Trusted Extensions 시스템에 복사해야 합니다.
주의 - 일반 사용자가 시스템에 액세스하기 전에 이 작업을 완료해야 합니다. |
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.
기본값은 표 1-2 in Trusted Extensions의 사용자 보안 계획을 참조하십시오.
주의 - label_encodings 파일은 모든 시스템에서 동일해야 합니다. 한 가지 배포 방법은 Trusted Extensions에서 이동식 매체에 파일을 복사하는 방법 및 Trusted Extensions에서 이동식 매체의 파일을 복사하는 방법을 참조하십시오. |
Trusted Extensions에서 policy.conf 기본값을 변경하는 것은 Oracle Solaris에서 보안 관련 시스템 파일을 변경하는 것과 유사합니다. 이 절차를 사용하여 시스템의 모든 사용자에 대한 기본값을 변경합니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.
Trusted Extensions 키워드는 표 10-1을 참조하십시오.
예 11-1 시스템의 유휴 설정 변경
이 예에서 보안 관리자는 유휴 시스템을 로그인 화면으로 되돌리려고 합니다. 기본값은 유휴 시스템을 잠그는 것입니다. 따라서 root 역할은 IDLECMD keyword= value 쌍을 /etc/security/policy.conf 파일에 다음과 같이 추가합니다.
IDLECMD=LOGOUT
또한 관리자는 시스템이 유휴 상태 이후 로그아웃되는 시간을 줄이려고 합니다. 따라서 root 역할은 IDLETIME keyword=value 쌍을 policy.conf 파일에 다음과 같이 추가합니다.
IDLETIME=10
이제 시스템은 10분 동안의 유휴 상태 이후 사용자를 로그아웃합니다.
로그인 사용자가 역할을 맡을 경우 해당 사용자의 IDLECMD 및 IDLETIME 값이 해당 역할에 적용됩니다.
예 11-2 모든 사용자의 기본 권한 세트 수정
이 예에서 대규모 설치의 보안 관리자는 일반 사용자가 다른 사용자의 프로세스를 볼 수 없게 하려고 합니다. 따라서 Trusted Extensions로 구성된 모든 시스템에서 root 역할은 기본 권한 집합에서 proc_info를 제거합니다. /etc/policy.conf 파일의 PRIV_DEFAULT 설정은 다음과 같이 주석 처리 해제 및 수정됩니다.
PRIV_DEFAULT=basic,!proc_info
예 11-3 시스템의 모든 사용자에게 인쇄 관련 인증 할당
이 예에서 사이트 보안은 공용 키오스크 컴퓨터에서 레이블 없이 인쇄할 수 있도록 허용합니다. 공용 키오스크에서 root 역할이 /etc/security/policy.conf 파일에서 AUTHS_GRANTED 값을 수정합니다. 다음 부팅부터 이 키오스크에서 모든 사용자의 인쇄 작업은 페이지 레이블 없이 인쇄됩니다.
AUTHS_GRANTED=solaris.print.unlabeled
그런 다음 관리자는 용지 절약을 위해 배너 및 트레일러 페이지를 제거하기로 결정합니다. 관리자가 policy.conf 항목을 더 수정합니다.
AUTHS_GRANTED=solaris.print.unlabeled,solaris.print.nobanner
공용 키오스크를 재부트한 후에 모든 인쇄 작업은 레이블이 없으며 배너나 트레일러 페이지도 없습니다.
사용자는 최소 민감도 레이블에서 해당하는 레이블의 .copy_files 파일 및 .link_files 파일을 홈 디렉토리에 넣을 수 있습니다. 또한 사용자의 최소 레이블에서 기존 .copy_files 및 .link_files 파일을 수정할 수 있습니다. 다음은 관리자 역할이 사이트에 대한 설정을 자동화하는 절차입니다.
시작하기 전에
전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.
.copy_files 및 .link_files를 시작 파일 목록에 추가할 것입니다.
# cd /etc/skel # touch .copy_files .link_files
# vi /etc/skel/.copy_files
.copy_files 및 .link_files 파일을 참조하십시오. 샘플 파일은 예 11-4를 참조하십시오.
시작 파일에 포함시킬 파일에 대한 자세한 내용은 Oracle Solaris 관리: 일반 작업의 사용자 작업 환경 사용자 정의를 참조하십시오.
자세한 내용은 Oracle Solaris 관리: 일반 작업의 사용자 초기화 파일을 사용자가 정의하는 방법을 참조하십시오.
P는 프로파일 셸을 나타냅니다.
X는 셸 이름의 시작 문자를 나타냅니다(예: Bourne 셸의 경우 B, Korn 셸의 경우 K, C 셸의 경우 C, Profile 셸의 경우 P).
예 11-4 사용자의 시작 파일 사용자 정의
이 예에서 시스템 관리자는 모든 사용자의 홈 디렉토리에 대한 파일을 구성합니다. 사용자가 로그인하기 전에 파일을 배치합니다. 파일은 사용자의 최소 레이블에 있습니다. 이 사이트에서 사용자의 기본 셸은 C 셸입니다.
시스템 관리자는 다음 내용으로 .copy_files 및 .link_files 파일을 만듭니다.
## .copy_files for regular users ## Copy these files to my home directory in every zone .mailrc .mozilla .soffice :wq
## .link_files for regular users with C shells ## Link these files to my home directory in every zone .bashrc .bashrc.user .cshrc .login :wq
## .link_files for regular users with Korn shells # Link these files to my home directory in every zone .ksh .profile :wq
쉘 초기화 파일에서 관리자는 사용자의 인쇄 작업이 레이블이 있는 프린터로 가도록 합니다.
## .cshrc file setenv PRINTER conf-printer1 setenv LPDEST conf-printer1
## .ksh file export PRINTER conf-printer1 export LPDEST conf-printer1
사용자 정의된 파일은 적절한 골격 디렉토리에 복사됩니다.
$ cp .copy_files .link_files .bashrc .bashrc.user .cshrc \ .login .profile .mailrc /etc/skelC $ cp .copy_files .link_files .ksh .profile .mailrc \ /etc/skelK
일반 오류
가장 낮은 레이블에서 .copy_files 파일을 만든 다음 상위 영역으로 로그인하여 updatehome 명령을 실행하고 명령이 액세스 오류와 함께 실패할 경우 다음을 시도합니다.
상위 수준 영역에서 하위 수준 디렉토리를 볼 수 있는지 확인합니다.
higher-level zone# ls /zone/lower-level-zone/home/username ACCESS ERROR: there are no files under that directory
디렉토리를 볼 수 없는 경우 상위 수준 영역에서 자동 마운트 서비스를 재시작합니다.
higher-level zone# svcadm restart autofs
홈 디렉토리에 대해 NFS 마운트를 사용하지 않는 경우 상위 수준 영역의 자동 마운트는 /zone/lower-level-zone/export/home/username에서 /zone/lower-level-zone/home/username으로 루프백 마운트되어야 합니다.
Trusted Extensions에서 비상 안전 로그인은 보호되어 있습니다. 일반 사용자가 셸 초기화 파일을 사용자 정의한 후 로그인할 수 없게 된 경우 비상 안전 로그인을 사용하여 사용자의 파일을 수정할 수 있습니다.
시작하기 전에
root 암호를 알고 있어야 합니다.
이제 사용자의 초기화 파일을 디버깅할 수 있습니다.