탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 10에서 Oracle Solaris 11로 전환 Oracle Solaris 11 Information Library (한국어) |
1. Oracle Solaris 10에서 Oracle Solaris 11로 전환(개요)
2. Oracle Solaris 11 설치 방법으로 전환
Oracle Solaris 11에서 변경된 주요 보안 기능은 다음과 같습니다.
감사 – 감사는 이제 서비스이며 기본적으로 사용으로 설정되어 있습니다. 이 서비스를 사용 또는 사용 안함으로 설정할 때 재부트할 필요가 없습니다. auditconfig 명령은 감사 정책에 대한 정보를 확인하고 감사 정책을 변경하는 데 사용됩니다. 공용 객체의 감사로 감사 추적에서 잡음이 덜 생성됩니다. 또한 비커널 이벤트 감사는 성능에 영향을 미치지 않습니다.
감사 파일에 대한 ZFS 파일 시스템 만들기에 대한 자세한 내용은 Oracle Solaris 관리: 보안 서비스의 감사 파일에 대한 ZFS 파일 시스템을 만드는 방법을 참조하십시오.
BART(기본 감사 보고 도구) – BART에서 사용하는 기본 해시는 이제 MD5가 아니라 SHA256입니다. SHA256이 기본값으로 사용되는 것 이외에도, 해시 알고리즘을 선택할 수도 있습니다. Oracle Solaris 관리: 보안 서비스의 6 장, 기본 감사 보고 도구 사용(작업)을 참조하십시오.
암호화 프레임워크 – 이 기능에는 이제 Intel 및 SPARC T4 하드웨어 가속을 위해 더 많은 알고리즘, 방식, 플러그인 및 지원이 포함됩니다. 또한 Oracle Solaris 11에서는 NSA Suite B 암호화와 더 잘 호환됩니다.
Kerberos DTrace 공급자 – Kerberos 메시지(프로토콜 데이터 단위)에 대한 검사를 제공하는 새로운 DTrace USDT 공급자가 추가되었습니다. 검사는 RFC4120에 설명된 Kerberos 메시지 유형 뒤에 모델링됩니다.
키 관리 향상된 기능:
Trusted Platform Module에서 RSA 키에 대한 PKCS#11 키 저장소 지원
중앙화된 엔터프라이즈 키 관리를 위한 Oracle Key Manager에 대한 PKCS#11 액세스
lofi 명령 변경 사항 – lofi가 이제 블록 장치의 암호화를 지원합니다. lofi(7D)를 참조하십시오.
profiles 명령 변경 사항 – Oracle Solaris 10에서 이 명령은 특정 사용자나 역할에 대한 프로파일 또는 특정 명령에 대한 사용자의 권한을 나열하는 데만 사용됩니다. Oracle Solaris 11에서는 profiles 명령을 사용하여 파일 및 LDAP에서 프로파일을 만들고 수정할 수도 있습니다. profiles(1)을 참조하십시오.
sudo 명령 – sudo 명령은 Oracle Solaris 11의 새로운 명령으로, 실행 시 Oracle Solaris 감사 레코드를 생성합니다. 또한 sudoers 명령 항목에 NOEXEC라는 태그가 지정된 경우 proc_exec 기본 권한을 삭제합니다.
ZFS 파일 시스템 암호화 – ZFS 파일 시스템 암호화는 데이터 보안이 유지되도록 설계되었습니다. ZFS 파일 시스템 암호화를 참조하십시오.
rstchown 등록 정보 – 이전 릴리스에서 chown 작업을 제한하는 데 사용되던 rstchown 조정 가능 매개변수가 이제 ZFS 파일 시스템 등록 정보 rstchown입니다. 이 등록 정보는 일반 파일 시스템 마운트 옵션이기도 합니다. Oracle Solaris 관리: ZFS 파일 시스템 및 mount(1M)를 참조하십시오.
/etc/system 파일에서 더 이상 사용되지 않는 이 매개변수를 설정하려고 하면 다음과 같은 메시지가 표시됩니다.
sorry, variable 'rstchown' is not defined in the 'kernel'
이 릴리스에서 지원되는 네트워크 보안 구성 요소는 다음과 같습니다.
IKE(Internet Key Exchange) 및 IPsec – IKE는 이제 더 많은 Diffie-Hellman 그룹을 포함하며 ECC(Elliptic Curve Cryptography) 그룹도 사용할 수 있습니다. IPsec은 AES-CCM 및 AES-GCM 모드를 포함하며 이제 Oracle Solaris의 Trusted Extensions 기능에 대한 네트워크 트래픽을 보호할 수 있습니다.
IPfilter 방화벽 – 오픈 소스 IPfilter 기능과 유사한 IPfilter 방화벽은 호환이 가능하며 관리가 용이하고 SMF와 완벽히 통합됩니다. 이 기능을 사용하면 IP 주소에 따라 선별적으로 포트에 액세스할 수 있습니다.
Kerberos – Kerberos는 이제 클라이언트와 서버의 상호 인증을 가능하게 합니다. 또한 X.509 인증서를 PKINIT 프로토콜과 함께 사용하여 초기 인증에 대한 지원도 제공됩니다. Oracle Solaris 관리: 보안 서비스의 제VI부, Kerberos 서비스를 참조하십시오.
보안을 고려한 기본 설정 – Oracle Solaris 10에서 이 기능이 도입되었지만, netservices limited 상태여서 기본적으로 해제되어 있었습니다. Oracle Solaris 11에서는 이 기능이 사용으로 설정됩니다. 보안을 고려한 기본 설정 기능은 여러 네트워크 서비스를 사용 안함으로 설정하고 이러한 서비스가 공격받지 않도록 보호하며 네트워크 노출을 최소화합니다. SSH만 사용으로 설정됩니다.
SSH – X.509 인증서를 사용하여 호스트 및 사용자 인증에 대한 지원을 제공합니다.
Oracle Solaris 11에서 제외된 보안 기능은 다음과 같습니다.
ASET(자동화된 보안 강화 도구) – ASET 기능은 Oracle Solaris 11에서 지원되는 svc.ipfd, BART, SMF 및 기타 보안 기능을 포함하는 IPfilter 조합으로 바뀌었습니다.
스마트 카드 – 스마트 카드 지원은 더 이상 사용할 수 없습니다.