| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 11 보안 지침 Oracle Solaris 11.1 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 11 보안 지침 Oracle Solaris 11.1 Information Library (한국어) |
설치 후 Oracle Solaris는 다른 보안 기능 중에서도 침입으로부터 시스템을 보호하고 로그인 시도를 모니터하는 기능을 제공합니다.
초기 사용자 및 root 역할 계정 – 초기 사용자 계정은 콘솔에서 로그인할 수 있습니다. 이 계정에는 root 역할이 지정됩니다. 두 계정의 암호는 처음에 동일합니다.
로그인 후에는 초기 사용자가 root 역할을 가정하여 추가로 시스템을 구성할 수 있습니다. 역할을 가정한 후에는 사용자에게 root 암호를 변경하라는 메시지가 표시됩니다. root 역할을 포함하여 아무도 직접 로그인할 수 없습니다.
초기 사용자에게는 /etc/security/policy.conf 파일에서 기본값이 지정됩니다. 기본값에는 기본 Solaris 사용자 권한 프로파일 및 콘솔 사용자 권한 프로파일이 포함됩니다. 이러한 권한 프로파일을 통해 사용자는 CD 또는 DVD에서 데이터를 읽고 쓰고, 권한 없이 시스템에서 명령을 실행하고, 콘솔에 있는 경우 시스템을 중지하고 다시 시작할 수 있습니다.
초기 사용자 계정에는 또한 시스템 관리자 권한 프로파일이 지정됩니다. 따라서 root 역할을 가정하지 않아도 초기 사용자에게는 소프트웨어 설치 및 이름 지정 서비스 관리 권한과 같은 일부 관리 권한이 있습니다.
암호 요구 사항 – 사용자 암호는 길이가 최소 6자 이상이어야 하고 최소한 2자 이상의 영문자와 1자 이상의 영문자가 아닌 문자가 포함되어 있어야 합니다. 암호는 SHA256 알고리즘을 사용하여 해싱됩니다. 암호를 변경할 때는 root 역할을 포함하여 모든 사용자가 이러한 암호 요구 사항을 준수해야 합니다.
제한된 네트워크 액세스 – 설치 후 시스템은 네트워크를 통한 침입으로부터 보호됩니다. 초기 사용자의 원격 로그인은 ssh 프로토콜을 사용하는 인증되고 암호화된 연결을 통해서 허용됩니다. 이 프로토콜은 수신 패킷을 수락하는 유일한 네트워크 프로토콜입니다. ssh 키는 AES128 알고리즘으로 래핑됩니다. 사용자는 암호화 및 인증을 사용하여 가로채기, 수정 또는 스푸핑 위험 없이 시스템에 연결할 수 있습니다.
기록된 로그인 시도 – 감사 서비스는 모든 login/logout 이벤트(로그인, 로그아웃, 사용자 전환, ssh 세션 시작 및 중지, 화면 잠금) 및 모든 부적합한(실패한) 로그인에 대해 사용으로 설정됩니다. root 역할은 로그인할 수 없으므로 root로 가정 중인 사용자의 이름이 감사 증적에 추적됩니다. 초기 사용자는 시스템 관리자 권한 프로파일을 통해 부여된 권한에 따라 감사 로그를 검토할 수 있습니다.
초기 사용자가 로그인한 다음에는 커널, 파일 시스템 및 데스크탑 응용 프로그램이 최소 권한, 권한 및 RBAC(역할 기반 액세스 제어)를 통해 보호됩니다.
커널 보호 – 여러 데몬 및 관리 명령에는 해당 작업을 수행하는 데 필요한 수준의 권한만 지정됩니다. 여러 데몬은 다른 작업을 수행하는 데 악용될 수 없도록 root(UID=0) 권한이 없는 특별한 관리 계정으로 실행됩니다. 이러한 특별한 관리 계정은 로그인을 수행할 수 없습니다. 장치는 권한에 따라 보호됩니다.
파일 시스템 – 기본적으로 모든 파일 시스템은 ZFS 파일 시스템입니다. 사용자의 umask는 022입니다. 따라서 사용자가 새 파일 또는 디렉토리를 만들면 해당 사용자만 이를 수정할 수 있습니다. 사용자 그룹의 구성원은 디렉토리에 대해 읽기 및 검색, 파일 읽기가 허용됩니다. 사용자 그룹 외부에서 로그인한 경우 디렉토리를 나열하고 파일을 읽을 수 있습니다. 디렉토리 권한은 drwxr-xr-x(755)입니다. 파일 권한은 -rw-r--r--(644)입니다.
데스크탑 애플릿 – 데스크탑 애플릿은 RBAC로 보호됩니다. 예를 들어, 초기 사용자 또는 root 역할만 패키지 관리자 애플릿을 사용하여 새 패키지를 설치할 수 있습니다. 패키지 관리자는 사용 권한이 지정되지 않은 일반 사용자에게 표시되지 않습니다.
Oracle Solaris 11은 사이트 보안 요구 사항을 충족시키도록 시스템 및 사용자를 구성하는 데 사용할 수 있는 보안 기능을 제공합니다.
RBAC(역할 기반 액세스 제어) – Oracle Solaris는 다양한 권한 부여, 권한 및 권한 프로파일을 제공합니다. root는 유일하게 정의된 역할입니다. 권한 프로파일은 사용자가 만드는 역할에 대한 효과적인 기준을 제공합니다. 또한 일부 관리 명령은 성공적으로 실행하기 위해 RBAC 권한 부여가 필요합니다. 권한 부여 없이는 사용자에게 필요한 권한이 있더라도 해당 명령을 실행할 수 없습니다.
사용자 권한 – 시스템 액세스가 제한되고 모니터됨에 설명된 초기 사용자의 경우와 같이 사용자에게는 /etc/security/policy.conf 파일에서 기본적인 권한, 권한 프로파일 및 권한 부여 세트가 지정됩니다. 사용자 로그인 시도는 제한되지 않지만 모든 실패한 로그인은 감사 서비스로 기록됩니다.
시스템 파일 보호 – 시스템 파일은 파일 권한에 의해 보호됩니다. root 역할만 시스템 구성 파일을 수정할 수 있습니다.
|