보안을 위한 사용자 환경 사용자 정의(작업 맵)

다음 작업 맵에서는 모든 사용자에 대해 시스템을 사용자 정의하거나 개발 사용자의 계정을 사용자 정의할 때 수행할 수 있는 일반적인 작업을 설명합니다. 이러한 작업 중 상당수는 일반 사용자가 로그인하기 전에 수행됩니다.

기본 사용자 레이블 속성을 수정하는 방법

첫 번째 시스템 구성 중에 기본 사용자 레이블 속성을 수정할 수 있습니다. 변경 사항을 모든 Trusted Extensions 시스템에 복사해야 합니다.

---

주의 - 일반 사용자가 시스템에 액세스하기 전에 이 작업을 완료해야 합니다.

---

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.

1. /etc/security/tsol/label_encodings 파일에서 기본 사용자 속성 설정을 검토합니다.

   기본값은 표 1-2 in Trusted Extensions의 사용자 보안 계획을 참조하십시오.

2. label_encodings 파일에서 사용자 속성 설정을 수정합니다.
3. 파일 복사본을 모든 Trusted Extensions 시스템에 배포합니다.

   ---

   주의 - label_encodings 파일은 모든 시스템에서 동일해야 합니다. 한 가지 배포 방법은 Trusted Extensions에서 이동식 매체에 파일을 복사하는 방법 및 Trusted Extensions에서 이동식 매체의 파일을 복사하는 방법을 참조하십시오.

   ---

policy.conf 기본값을 수정하는 방법

Trusted Extensions에서 policy.conf 기본값을 변경하는 것은 Oracle Solaris에서 보안 관련 시스템 파일을 변경하는 것과 유사합니다. 이 절차를 사용하여 시스템의 모든 사용자에 대한 기본값을 변경합니다.

시작하기 전에

전역 영역에서 root 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.

1. /etc/security/policy.conf 파일에서 기본 설정을 검토합니다.

   Trusted Extensions 키워드는 표 10-1을 참조하십시오.

2. 설정을 수정합니다.

예 11-1 시스템의 유휴 설정 변경

이 예에서 보안 관리자는 유휴 시스템을 로그인 화면으로 되돌리려고 합니다. 기본값은 유휴 시스템을 잠그는 것입니다. 따라서 root 역할은 IDLECMD keyword= value 쌍을 /etc/security/policy.conf 파일에 다음과 같이 추가합니다.

IDLECMD=LOGOUT

또한 관리자는 시스템이 유휴 상태 이후 로그아웃되는 시간을 줄이려고 합니다. 따라서 root 역할은 IDLETIME keyword=value 쌍을 policy.conf 파일에 다음과 같이 추가합니다.

IDLETIME=10

이제 시스템은 10분 동안의 유휴 상태 이후 사용자를 로그아웃합니다.

로그인 사용자가 역할을 맡을 경우 해당 사용자의 IDLECMD 및 IDLETIME 값이 해당 역할에 적용됩니다.

예 11-2 모든 사용자의 기본 권한 세트 수정

이 예에서 대규모 설치의 보안 관리자는 일반 사용자가 다른 사용자의 프로세스를 볼 수 없게 하려고 합니다. 따라서 Trusted Extensions로 구성된 모든 시스템에서 root 역할은 기본 권한 집합에서 proc_info를 제거합니다. /etc/policy.conf 파일의 PRIV_DEFAULT 설정은 다음과 같이 주석 처리 해제 및 수정됩니다.

PRIV_DEFAULT=basic,!proc_info

예 11-3 시스템의 모든 사용자에게 인쇄 관련 인증 할당

이 예에서 사이트 보안은 공용 키오스크 컴퓨터에서 레이블 없이 인쇄할 수 있도록 허용합니다. 공용 키오스크에서 root 역할이 /etc/security/policy.conf 파일에서 AUTHS_GRANTED 값을 수정합니다. 다음 부팅부터 이 키오스크에서 모든 사용자의 인쇄 작업은 페이지 레이블 없이 인쇄됩니다.

AUTHS_GRANTED=solaris.print.unlabeled

그런 다음 관리자는 용지 절약을 위해 배너 및 트레일러 페이지를 제거하기로 결정합니다. 관리자가 policy.conf 항목을 더 수정합니다.

AUTHS_GRANTED=solaris.print.unlabeled,solaris.print.nobanner

공용 키오스크를 재부트한 후에 모든 인쇄 작업은 레이블이 없으며 배너나 트레일러 페이지도 없습니다.

Trusted Extensions에서 사용자의 시작 파일을 구성하는 방법

사용자는 최소 민감도 레이블에서 해당하는 레이블의 .copy_files 파일 및 .link_files 파일을 홈 디렉토리에 넣을 수 있습니다. 또한 사용자의 최소 레이블에서 기존 .copy_files 및 .link_files 파일을 수정할 수 있습니다. 다음은 관리자 역할이 사이트에 대한 설정을 자동화하는 절차입니다.

시작하기 전에

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.

1. 두 Trusted Extensions 시작 파일을 만듭니다.

   .copy_files 및 .link_files를 시작 파일 목록에 추가할 것입니다.

   # cd /etc/skel
   # touch .copy_files .link_files

2. .copy_files 파일을 사용자 정의합니다.
   1. 편집기에서 .copy_files 파일의 전체 경로 이름을 입력합니다.

      # vi /etc/skel/.copy_files

   2. 모든 레이블에서 사용자의 홈 디렉토리에 복사할 파일을 한 줄에 하나씩 .copy_files에 입력합니다.

      .copy_files 및 .link_files 파일을 참조하십시오. 샘플 파일은 예 11-4를 참조하십시오.

3. .link_files 파일을 사용자 정의합니다.
   1. 편집기에서 .link_files의 전체 경로 이름을 입력합니다.

      # vi /etc/skel/.link_files

   2. 모든 레이블에서 사용자의 홈 디렉토리에 링크할 파일을 한 줄에 하나씩 .link_files에 입력합니다.
4. 사용자에 대한 기타 시작 파일을 사용자 정의합니다.

   • 시작 파일에 포함시킬 파일에 대한 자세한 내용은 Oracle Solaris 관리: 일반 작업의 사용자 작업 환경 사용자 정의를 참조하십시오.

   • 자세한 내용은 Oracle Solaris 관리: 일반 작업의 사용자 초기화 파일을 사용자가 정의하는 방법을 참조하십시오.

5. (옵션) 기본 셸이 프로파일 셸인 사용자에 대한 skelP 하위 디렉토리를 만듭니다.

   P는 프로파일 셸을 나타냅니다.

6. 사용자 정의된 시작 파일을 적절한 골격 디렉토리에 복사합니다.
7. 사용자를 만들 때 적절한 skelX 경로 이름을 사용합니다.

   X는 셸 이름의 시작 문자를 나타냅니다(예: Bourne 셸의 경우 B, Korn 셸의 경우 K, C 셸의 경우 C, Profile 셸의 경우 P).

예 11-4 사용자의 시작 파일 사용자 정의

이 예에서 시스템 관리자는 모든 사용자의 홈 디렉토리에 대한 파일을 구성합니다. 사용자가 로그인하기 전에 파일을 배치합니다. 파일은 사용자의 최소 레이블에 있습니다. 이 사이트에서 사용자의 기본 셸은 C 셸입니다.

시스템 관리자는 다음 내용으로 .copy_files 및 .link_files 파일을 만듭니다.

## .copy_files for regular users
## Copy these files to my home directory in every zone
.mailrc
.mozilla
.soffice
:wq

## .link_files for regular users with C shells
## Link these files to my home directory in every zone
.bashrc
.bashrc.user
.cshrc
.login
:wq

## .link_files for regular users with Korn shells
# Link these files to my home directory in every zone
.ksh
.profile
:wq

쉘 초기화 파일에서 관리자는 사용자의 인쇄 작업이 레이블이 있는 프린터로 가도록 합니다.

## .cshrc file
setenv PRINTER conf-printer1
setenv LPDEST  conf-printer1

## .ksh file
export PRINTER conf-printer1
export LPDEST  conf-printer1

사용자 정의된 파일은 적절한 골격 디렉토리에 복사됩니다.

$ cp .copy_files .link_files .bashrc .bashrc.user .cshrc \
.login .profile .mailrc /etc/skelC
$ cp .copy_files .link_files .ksh .profile .mailrc \
/etc/skelK

일반 오류

가장 낮은 레이블에서 .copy_files 파일을 만든 다음 상위 영역으로 로그인하여 updatehome 명령을 실행하고 명령이 액세스 오류와 함께 실패할 경우 다음을 시도합니다.

• 상위 수준 영역에서 하위 수준 디렉토리를 볼 수 있는지 확인합니다.

  higher-level zone# ls /zone/lower-level-zone/home/username
  ACCESS ERROR: there are no files under that directory

• 디렉토리를 볼 수 없는 경우 상위 수준 영역에서 자동 마운트 서비스를 재시작합니다.

  higher-level zone# svcadm restart autofs

홈 디렉토리에 대해 NFS 마운트를 사용하지 않는 경우 상위 수준 영역의 자동 마운트는 /zone/lower-level-zone/export/home/username에서 /zone/lower-level-zone/home/username으로 루프백 마운트되어야 합니다.

Trusted Extensions에서 비상 안전 세션에 로그인하는 방법

Trusted Extensions에서 비상 안전 로그인은 보호되어 있습니다. 일반 사용자가 셸 초기화 파일을 사용자 정의한 후 로그인할 수 없게 된 경우 비상 안전 로그인을 사용하여 사용자의 파일을 수정할 수 있습니다.

시작하기 전에

root 암호를 알고 있어야 합니다.

1. 로그인 화면에서 사용자 이름을 입력합니다.
2. 화면 하단의 데스크탑 메뉴에서 Solaris Trusted Extensions Failsafe Session(비상 안전 세션)을 선택합니다.
3. 메시지가 표시되면 암호를 입력합니다.
4. 추가 암호를 입력하라는 프롬프트가 표시되면 root 암호를 입력합니다.

   이제 사용자의 초기화 파일을 디버깅할 수 있습니다.