JavaScript is required to for searching.
탐색 링크 건너뛰기
인쇄 보기 종료
Trusted Extensions 구성 및 관리     Oracle Solaris 11.1 Information Library (한국어)
search filter icon
search icon

문서 정보

머리말

제1부Trusted Extensions의 초기 구성

1.  Trusted Extensions의보안 계획

2.  Trusted Extensions용 로드맵 구성

3.  Oracle Solaris에 Trusted Extensions 기능 추가(작업)

4.  Trusted Extensions 구성(작업)

5.  Trusted Extensions에 대해 LDAP 구성(작업)

제2부Trusted Extensions 관리

6.  Trusted Extensions 관리 개념

7.  Trusted Extensions 관리 도구

8.  Trusted Extensions 시스템의 보안 요구 사항(개요)

9.  Trusted Extensions에서 일반 작업 수행

10.  Trusted Extensions의 사용자, 권한 및 역할(개요)

11.  Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)

보안을 위한 사용자 환경 사용자 정의(작업 맵)

기본 사용자 레이블 속성을 수정하는 방법

policy.conf 기본값을 수정하는 방법

Trusted Extensions에서 사용자의 시작 파일을 구성하는 방법

Trusted Extensions에서 비상 안전 세션에 로그인하는 방법

사용자 및 권한 관리(작업 맵)

사용자의 레이블 범위를 수정하는 방법

편리한 권한 부여를 위해 권한 프로파일을 만드는 방법

사용자의 권한 세트를 제한하는 방법

사용자에 대한 계정 잠금을 방지하는 방법

사용자가 데이터의 보안 레벨을 변경할 수 있게 하는 방법

Trusted Extensions 시스템에서 사용자 계정을 삭제하는 방법

12.  Trusted Extensions에서 원격 관리(작업)

13.  Trusted Extensions에서 영역 관리

14.  Trusted Extensions에서 파일 관리 및 마운트

15.  신뢰할 수 있는 네트워킹(개요)

16.  Trusted Extensions에서 네트워크 관리(작업)

17.  Trusted Extensions 및 LDAP(개요)

18.  Trusted Extensions의 다중 레벨 메일(개요)

19.  레이블이 있는 인쇄 관리(작업)

20.  Trusted Extensions의 장치(개요)

21.  Trusted Extensions에 대한 장치 관리(작업)

22.  Trusted Extensions 감사(개요)

23.  Trusted Extensions에서 소프트웨어 관리

A.  사이트 보안 정책

보안 정책 생성 및 관리

사이트 보안 정책 및 Trusted Extensions

컴퓨터 보안 권장 사항

물리적 보안 권장 사항

담당자 보안 권한 사항

일반 보안 위반

추가 보안 참조

B.  Trusted Extensions 구성 점검 목록

Trusted Extensions 구성 점검 목록

C.  Trusted Extensions 관리에 대한 빠른 참조

Trusted Extensions의 관리 인터페이스

Trusted Extensions에서 확장된 Oracle Solaris 인터페이스

Trusted Extensions의 강화된 보안 기본값

Trusted Extensions의 제한된 옵션

D.  Trusted Extensions 매뉴얼 페이지 목록

Trusted Extensions 매뉴얼 페이지(사전순)

Trusted Extensions에서 수정된 Oracle Solaris 매뉴얼 페이지

용어집

색인

보안을 위한 사용자 환경 사용자 정의(작업 맵)

다음 작업 맵에서는 모든 사용자에 대해 시스템을 사용자 정의하거나 개발 사용자의 계정을 사용자 정의할 때 수행할 수 있는 일반적인 작업을 설명합니다. 이러한 작업 중 상당수는 일반 사용자가 로그인하기 전에 수행됩니다.

작업
설명
수행 방법
레이블 속성을 변경합니다.
사용자 계정에 대한 최소 레이블 및 기본 레이블 보기와 같은 레이블 속성을 수정합니다.
시스템의 모든 사용자에 대한 Trusted Extensions 정책을 변경합니다.
policy.conf 파일을 변경합니다.
시스템이 유휴 상태인 일정 시간 경과 후 화면 보호기를 실행하거나 사용자를 로그아웃시킵니다.
시스템의 모든 일반 사용자에게서 불필요한 권한을 제거합니다.
공용 키오스크에서 인쇄된 출력에 레이블이 나타나지 않도록 합니다.
사용자에 대한 초기화 파일을 구성합니다.
모든 사용자의 시작 파일(.bashrc, .cshrc , .copy_files, .soffice 등)을 구성합니다.
비상 안전 세션에 로그인합니다.
잘못된 사용자 초기화 파일을 수정합니다.

기본 사용자 레이블 속성을 수정하는 방법

첫번째 시스템 구성 중에 기본 사용자 레이블 속성을 수정할 수 있습니다. 변경 사항을 모든 Trusted Extensions 시스템에 복사해야 합니다.


주의

주의 - 일반 사용자가 시스템에 액세스하기 전에 이 작업을 완료해야 합니다.


시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.

  1. /etc/security/tsol/label_encodings 파일에서 기본 사용자 속성 설정을 검토합니다.

    기본값은 표 1-2 in Trusted Extensions의 사용자 보안 계획을 참조하십시오.

  2. label_encodings 파일에서 사용자 속성 설정을 수정합니다.
  3. 파일 복사본을 모든 Trusted Extensions 시스템에 배포합니다.

    주의

    주의 - label_encodings 파일은 모든 시스템에서 동일해야 합니다. 한 가지 배포 방법은 Trusted Extensions에서 이동식 매체에 파일을 복사하는 방법Trusted Extensions에서 이동식 매체의 파일을 복사하는 방법을 참조하십시오.


policy.conf 기본값을 수정하는 방법

Trusted Extensions에서 policy.conf 기본값을 변경하는 것은 Oracle Solaris에서 보안 관련 시스템 파일을 변경하는 것과 유사합니다. 이 절차를 사용하여 시스템의 모든 사용자에 대한 기본값을 변경합니다.

시작하기 전에

전역 영역에서 root 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.

  1. /etc/security/policy.conf 파일에서 기본 설정을 검토합니다.

    Trusted Extensions 키워드는 표 10-1을 참조하십시오.

  2. 설정을 수정합니다.

예 11-1 시스템의 유휴 설정 변경

이 예에서 보안 관리자는 유휴 시스템을 로그인 화면으로 되돌리려고 합니다. 기본값은 유휴 시스템을 잠그는 것입니다. 따라서 root 역할은 IDLECMD keyword= value 쌍을 /etc/security/policy.conf 파일에 다음과 같이 추가합니다.

IDLECMD=LOGOUT

또한 관리자는 시스템이 유휴 상태 이후 로그아웃되는 시간을 줄이려고 합니다. 따라서 root 역할은 IDLETIME keyword=value 쌍을 policy.conf 파일에 다음과 같이 추가합니다.

IDLETIME=10

이제 시스템은 10분 동안의 유휴 상태 이후 사용자를 로그아웃합니다.

로그인 사용자가 역할을 맡을 경우 해당 사용자의 IDLECMDIDLETIME 값이 해당 역할에 적용됩니다.

예 11-2 모든 사용자의 기본 권한 세트 수정

이 예에서 대규모 Sun Ray 설치의 보안 관리자는 일반 사용자가 다른 Sun Ray 사용자의 프로세스를 보지 못하게 하려고 합니다. 따라서 Trusted Extensions로 구성된 모든 시스템에서 root 역할은 기본 권한 세트에서 proc_info를 제거합니다. /etc/policy.conf 파일의 PRIV_DEFAULT 설정은 다음과 같이 주석 처리 해제 및 수정됩니다.

PRIV_DEFAULT=basic,!proc_info

예 11-3 시스템의 모든 사용자에게 인쇄 관련 권한 부여 지정

이 예에서 사이트 보안은 공용 키오스크 컴퓨터에서 레이블 없이 인쇄할 수 있도록 허용합니다. 공용 키오스크에서 root 역할이 /etc/security/policy.conf 파일에서 AUTHS_GRANTED 값을 수정합니다. 다음 부팅부터 이 키오스크에서 모든 사용자의 인쇄 작업은 페이지 레이블 없이 인쇄됩니다.

AUTHS_GRANTED=solaris.print.unlabeled

그런 다음 관리자는 용지 절약을 위해 배너 및 트레일러 페이지를 제거하기로 결정합니다. 관리자가 policy.conf 항목을 더 수정합니다.

AUTHS_GRANTED=solaris.print.unlabeled,solaris.print.nobanner

공용 키오스크를 재부트한 후에 모든 인쇄 작업은 레이블이 없으며 배너나 트레일러 페이지도 없습니다.

Trusted Extensions에서 사용자의 시작 파일을 구성하는 방법

사용자는 최소 민감도 레이블에서 해당하는 레이블의 .copy_files 파일 및 .link_files 파일을 홈 디렉토리에 넣을 수 있습니다. 또한 사용자의 최소 레이블에서 기존 .copy_files.link_files 파일을 수정할 수 있습니다. 다음은 관리자 역할이 사이트에 대한 설정을 자동화하는 절차입니다.

시작하기 전에

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.

  1. 두 Trusted Extensions 시작 파일을 만듭니다.

    .copy_files.link_files를 시작 파일 목록에 추가할 것입니다.

    # cd /etc/skel
    # touch .copy_files .link_files
  2. .copy_files 파일을 사용자 정의합니다.
    1. 편집기에서 .copy_files 파일의 전체 경로 이름을 입력합니다.
      # pfedit /etc/skel/.copy_files
    2. 모든 레이블에서 사용자의 홈 디렉토리에 복사할 파일을 한 행에 하나씩 .copy_files에 입력합니다.

      .copy_files.link_files 파일을 참조하십시오. 샘플 파일은 예 11-4를 참조하십시오.

  3. .link_files 파일을 사용자 정의합니다.
    1. 편집기에서 .link_files의 전체 경로 이름을 입력합니다.
      # pfedit /etc/skel/.link_files
    2. 모든 레이블에서 사용자의 홈 디렉토리에 링크할 파일을 한 행에 하나씩 .link_files에 입력합니다.
  4. 사용자에 대한 기타 시작 파일을 사용자 정의합니다.
  5. (옵션) 기본 셸이 프로파일 셸인 사용자에 대한 skelP 하위 디렉토리를 만듭니다.

    P는 프로파일 셸을 나타냅니다.

  6. 사용자 정의된 시작 파일을 적절한 골격 디렉토리에 복사합니다.
  7. 사용자를 만들 때 적절한 skelX 경로 이름을 사용합니다.

    X는 셸 이름의 시작 문자를 나타냅니다(예: Bourne 셸의 경우 B, Korn 셸의 경우 K, C 셸의 경우 C, Profile 셸의 경우 P).

예 11-4 사용자의 시작 파일 사용자 정의

이 예에서 시스템 관리자는 모든 사용자의 홈 디렉토리에 대한 파일을 구성합니다. 사용자가 로그인하기 전에 파일을 배치합니다. 파일은 사용자의 최소 레이블에 있습니다. 이 사이트에서 사용자의 기본 셸은 C 셸입니다.

시스템 관리자는 다음 내용으로 .copy_files.link_files 파일을 만듭니다.

## .copy_files for regular users
## Copy these files to my home directory in every zone
.mailrc
.mozilla
.soffice
:wq
## .link_files for regular users with C shells
## Link these files to my home directory in every zone
.bashrc
.bashrc.user
.cshrc
.login
:wq
## .link_files for regular users with Korn shells
# Link these files to my home directory in every zone
.ksh
.profile
:wq

셸 초기화 파일에서 관리자는 사용자의 인쇄 작업이 레이블이 있는 프린터로 가도록 합니다.

## .cshrc file
setenv PRINTER conf-printer1
setenv LPDEST  conf-printer1
## .ksh file
export PRINTER conf-printer1
export LPDEST  conf-printer1

사용자 정의된 파일은 적절한 골격 디렉토리에 복사됩니다.

$ cp .copy_files .link_files .bashrc .bashrc.user .cshrc \
.login .profile .mailrc /etc/skelC
$ cp .copy_files .link_files .ksh .profile .mailrc \
/etc/skelK

일반 오류

가장 낮은 레이블에서 .copy_files 파일을 만든 다음 상위 영역으로 로그인하여 updatehome 명령을 실행하고 명령이 액세스 오류와 함께 실패할 경우 다음을 시도합니다.

홈 디렉토리에 대해 NFS 마운트를 사용하지 않는 경우 상위 레벨 영역의 자동 마운트는 /zone/lower-level-zone/export/home/username에서 /zone/lower-level-zone/home/username으로 루프백 마운트되어야 합니다.

Trusted Extensions에서 비상 안전 세션에 로그인하는 방법

Trusted Extensions에서 비상 안전 로그인은 보호되어 있습니다. 일반 사용자가 셸 초기화 파일을 사용자 정의한 후 로그인할 수 없게 된 경우 비상 안전 로그인을 사용하여 사용자의 파일을 수정할 수 있습니다.

시작하기 전에

root 암호를 알고 있어야 합니다.

  1. 로그인 화면에서 사용자 이름을 입력합니다.
  2. 화면 하단의 데스크탑 메뉴에서 Solaris Trusted Extensions Failsafe Session(비상 안전 세션)을 선택합니다.
  3. 메시지가 표시되면 암호를 입력합니다.
  4. 추가 암호를 입력하라는 프롬프트가 표시되면 root 암호를 입력합니다.

    이제 사용자의 초기화 파일을 디버깅할 수 있습니다.