보안 NFS 시스템 관리

보안 NFS 시스템을 사용하려면 모든 관리 대상 컴퓨터에 도메인 이름이 있어야 합니다. 일반적으로 도메인은 대규모 네트워크에 속한 여러 컴퓨터의 관리 엔티티입니다. 이름 서비스를 실행 중인 경우에는 도메인에 대해서도 이름 서비스를 설정해야 합니다. Oracle Solaris Administration: Naming and Directory Services 를 참조하십시오.

NFS 서비스에서는 Kerberos V5 인증을 지원합니다. Oracle Solaris 11.1 관리: 보안 서비스의 19 장, Kerberos 서비스 소개에서는 Kerberos 서비스에 대해 설명합니다.

Diffie-Hellman 인증을 사용하도록 보안 NFS 환경을 구성할 수도 있습니다. Oracle Solaris 11.1 관리: 보안 서비스의 18 장, 네트워크 서비스 인증(작업)에서는 인증 서비스에 대해 설명합니다.

DH 인증을 사용하여 보안 NFS 환경을 설정하는 방법

도메인 이름을 지정합니다.
도메인의 각 컴퓨터에 도메인 이름을 알립니다.
클라이언트 사용자용으로 공개 키와 암호 키를 설정합니다.
newkey 명령을 사용합니다. 각 사용자가 chkey 명령을 사용하여 자신의 보안 RPC 암호를 직접 설정하도록 합니다.

주 - 이러한 명령에 대한 자세한 내용은 newkey(1M) 및 chkey(1) 매뉴얼 페이지를 참조하십시오.

공개 키 및 암호 키를 생성하면 해당 공개 키 및 암호화된 암호 키는 publickey 데이터베이스에 저장됩니다.
이름 서비스가 응답하는지 확인합니다.
예를 들면 다음과 같습니다.
- NIS를 실행 중인 경우 ypbind 데몬이 실행 중인지 확인합니다.

키 서버의 keyserv 데몬이 실행 중인지 확인합니다.

다음 명령을 입력합니다.

# ps -ef | grep keyserv
root    100      1  16    Apr 11 ?        0:00 /usr/sbin/keyserv
root   2215   2211   5  09:57:28 pts/0    0:00 grep keyserv

데몬이 실행 중이지 않으면 다음을 입력하여 키 서버를 시작합니다.

# svcadm enable network/rpc/keyserv

암호 키의 암호를 해독하고 키를 저장합니다.
일반적으로 로그인 암호는 네트워크 암호와 같습니다. 이 경우 keylogin은 필요하지 않습니다. 암호가 다른 경우에는 사용자가 로그인하여 keylogin을 실행해야 합니다. /etc/.rootkey에 암호가 해독된 암호 키를 저장하려면 keylogin -r 명령을 root로 사용해야 합니다.

주 - 루트 암호 키가 변경되거나 /etc/.rootkey가 손실된 경우에는 keylogin -r을 실행해야 합니다.
공유할 파일 시스템에 대해 보안 모드를 설정합니다.
Diffie-Hellman 인증의 경우에는 명령줄에 sec=dh 옵션을 추가합니다.
```
# share -F nfs -o sec=dh /export/home
```
보안 모드에 대한 자세한 내용은 nfssec(5) 매뉴얼 페이지를 참조하십시오.
파일 시스템의 자동 마운트 맵을 업데이트합니다.
auto_master 데이터를 편집하여 sec=dh를 Diffie-Hellman 인증의 해당 항목에 마운트 옵션으로 포함합니다.
```
/home    auto_home    -nosuid,sec=dh
```
컴퓨터를 다시 설치하거나 이동하거나 업그레이드할 때 root에 대해 키를 변경하거나 새 키를 설정하지 않는 경우에는 /etc/.rootkey를 저장해야 합니다. /etc/.rootkey를 삭제하는 경우 언제든지 다음을 입력하면 됩니다.
```
# keylogin -r
```

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle Solaris 11.1에서 네트워크 파일 시스템 관리 Oracle Solaris 11.1 Information Library (한국어)