7 장 - 시스템 보안

이 장은 새로운 시스템의 설치 및 보안에 대해 이전 장에서 제공된 정보와 전문 지식을 실현 가능한 시나리오에 적용하는 방법에 대해 설명합니다. 이 장은 Solaris 8 OS용 Check PointFirewall-1 NG를 갖는 Solaris Security Toolkit 소프트웨어를 전개하는 방법에 대해 설명합니다.

이 장에 있는 정보를 새로운 시스템 및 응용 프로그램 보안을 위한 지침 및 사례 시나리오로 사용하십시오.

Sun BluePrint 설명서와 온라인 기사는 여러 Sun 시스템의 최소화 및 강화 프로세스 과정을 이해하는데 유용합니다. 최신 제품 관련 설명서 및 기사는 다음 웹사이트를 참조하십시오.

계획 및 준비

이 사례 연구에서 설명된 것처럼 최소화 및 보안된 시스템을 효과적으로 그리고 효율적으로 전개하려면 계획과 준비가 중요합니다. 기초적인 네트워크 기반구조, 방침 및 절차가 제대로 준비되어 있어야 합니다. 또한, 시스템의 지원 및 유지에 대해 정의하고 이해해야 합니다. 계획 및 준비에 대한 자세한 정보는 2 장을 참조하십시오. 이 장에 설명된 시나리오는 시스템 관리자(SA)가 방화벽 시스템을 위해 Solaris OS 이미지의 최소화 및 강화를 위해 수행할 과정 및 작업에 대해 상세히 설명합니다.

이 시나리오에서, 시스템 관리자는 고객에게 방화벽 서비스를 제공려는 서비스 제공자를 위해 Check PointFirewall-1 NG 시스템을 구축 및 전개하기 위한 자동화되고 확장 가능한 솔루션을 만드는 작업을 합니다. 이 시나리오의 경우, 서비스 제공자의 요구사항과 고려사항은 다음과 같습니다.

이러한 요구사항에 근거하여 시스템 관리자는 JumpStart 기술과 Solaris Security Toolkit 소프트웨어를 사용하여 OS 이미지의 설치, 최소화 및 강화를 자동화하기로 결정합니다.

가정 및 제한사항

이 장은 이미 작동 중인 Solaris Security Toolkit 소프트웨어와 JumpStart 기술 설치를 사용 중이라고 가정합니다. 이 문서의 다른 장에 소프트웨어 설치를 위한 지시와 지침이 제공되어 있습니다. 해당되는 장을 참조하십시오.

이 장은 특정 응용 프로그램의 최소화 및 강화를 위해 사용자 정의 구성을 개발 중이라고 가정합니다. Solaris Security Toolkit 소프트웨어에는 해당 응용 프로그램에 대한 드라이버나 JumpStart 프로파일이 없습니다. 따라서, 이 응용 프로그램에 대해 사용자 정의된 드라이버 및 프로파일을 작성해야 합니다. 이 작업은 기존 드라이버와 프로파일을 복사한 후, 응용 프로그램에 맞게 수정하면 됩니다.

이 사례 시나리오의 경우, 시스템 관리자의 기술 레벨은 다음과 같습니다.

시스템 환경

예제 시나리오는 다음 하드웨어 및 소프트웨어 환경을 기초로 합니다.

보안 요구사항

이 시나리오의 경우, 높은 레벨의 요구사항 및 소프트웨어 패키지가 확인되었으나, 모든 패키지의 특정 구성 요소 및 서비스가 확인되어야 합니다. 또한, 시스템을 관리하기 위해 필요한 Solaris OS 기능이 확인되어야 합니다.

다음 목록은 소프트웨어 구성요소가 사용된 방법에 대한 자세한 보기를 제공합니다.

이 목록에서 보안 프로파일을 개발할 수 있습니다. 보안 프로파일 개발과 프로파일 템플릿 사용에 대한 상세 정보는 Solaris Security Toolkit 프로파일 개발 및 구현을 참조하십시오.

보안 프로파일 작성

보안 프로파일은 Solaris Security Toolkit 소프트웨어가 시스템의 보안 구성을 강화하고 최소화할 때 수행하는 보안 수정사항을 정의합니다. Solaris Security Toolkit에 포함된 표준 보안 프로파일 또는 드라이버는 최소화된 Check PointFirewall-1 NG 시스템에 대한 요구사항에 부합되지 않습니다. 따라서, 사용자 정의 보안 프로파일을 작성하여 적절한 시스템 수정사항을 적용해야 합니다.

이 시나리오의 경우, 보안 프로파일의 작성 프로세스가 해당 시나리오에 적합할 경우 이 장의 여러 절에 설명되어 있습니다. 첫 번째, 기존 드라이버에 기초하여 새 드라이버 파일을 작성합니다. 그런 다음 이전에 요약된 보안 요구사항을 준수하도록 새 드라이버를 수정합니다. 최소화는 소프트웨어 설치에서 설명되고 강화 수정은 강화 구성 사용자 정의에서 설명됩니다.

소프트웨어 설치

이 절은 소프트웨어 설치 프로세스를 설명합니다. 예제 시나리오를 위해 모든 예외사항 또는 시나리오 관련 지침을 제공합니다. 소프트웨어 설치에 대한 일반 지침을 보려면 이 안내서의 다른 부분을 참조하십시오.

보안 소프트웨어 다운로드 및 설치

아래와 같이 JumpStart 서버에 Solaris Security Toolkit과 패치를 포함한 추가 보안 소프트웨어를 다운로드 및 설치하십시오.

1. Solaris Security Toolkit 소프트웨어와 추가 보안 소프트웨어를 다운로드 및 설치하십시오.

2. 다운로드한 Solaris Security Toolkit 소프트웨어와 추가 보안 소프트웨어를 설치하십시오.

패치 설치

OS 패치는 보안 취약성, 가용성 문제, 성능 관련 사항 또는 시스템의 다른 측면을 다룰 수 있습니다. 새로운 OS 설치시, 그리고 OS 설치후 지속적으로 적절한 패치가 설치되었는지 확인하십시오.

Solaris Security Toolkit 소프트웨어는 SunSolve Online에서 이용 가능한 Recommended and Security Patch Cluster의 설치 방법을 제공합니다. OS 관련 클러스터 패치에는 가장 일반적으로 사용되는 패치가 들어있습니다.

1. 최소한 Recommended and Security Patch Cluster를 Patches 디렉토리에 다운로드하고 압축을 해제합니다.

install-recommended-patches.fin 스크립트가 강화 드라이버에 포함되는 경우 해당 패치 클러스터가 자동으로 설치됩니다.

Check PointFirewall-1 NG에 추가 문제점이 있습니다. 이 응용 프로그램은 Recommended and Security Patch Cluster에 들어있지 않은 특정 패치가 필요합니다. Check PointFirewall-1 NG는 다음 패치를 필요로 합니다.

2. 패치 108434 및 108435의 설치를 자동화하기 위해, SunSolve OnLine에서 최신 버전을 다운로드하여 Patches 디렉토리에 저장합니다.

3. 각 패치의 이름과 함께 add_patch 지원 프로그램 기능을 호출하는 새로운 종료 스크립트(예: fw1-patch-install.fin)를 작성합니다.

이 종료 스크립트는 두 개의 Check PointFirewall-1 NG 필수 패치 ID와 함께 적절한 지원 프로그램 기능을 호출합니다. 예를 들면,

#!/bin/sh

# add_patch 108434-10

# add_patch 108435-10

OS Cluster 지정 및 설치

OS 설치를 위한 디스크 레이아웃을 정의한 후, 설치할 Solaris OS 클러스터를 지정합니다. Solaris OS와 함께 사용 가능한 다섯 개의 설치 클러스터 SUNWCreq, SUNWCuser, SUNWCprog, SUNWCall 및 SUNWCXall 중 하나를 선택하십시오.

이 사례 시나리오의 목표가 최소화 및 전용 방화벽 디바이스를 구축하는 것이기 때문에 사용 가능한 Solaris OS 클러스터 중 가장 작은 SUNWCreq를 선택합니다. 이 패키지를 Core하고도 합니다.

이 클러스터는 상대적으로 적은 수의 패키지를 포함하므로 다른 패키지가 필요할 수도 있습니다. 이러한 다른 필수 패키지가 Solaris OS 클러스터 정의가 있는 프로파일에 포함되어야 합니다.

기준 프로파일 정의는 다음을 이전에 정의된 프로파일에 추가합니다.

SUNWCreq 설치 클러스터는 방화벽 Sun 서버가 올바르게 기능하기 위해 필수적이지 않은 패키지를 포함합니다. 작업 기준을 정한 후 이러한 여분의 패키지를 제거하십시오. Sun BluePrints OnLine 기사 "Minimizing the Solaris Operating Environment for Security: Updated for the Solaris 9 Operating Environment"를 참조하십시오.

2. 적절히 정의된 보안 프로파일과 함께 설치를 실행하여 패키지 종속 문제가 있는지 판별하십시오.

일부 패키지 종속성이 설치시 발생되었고, 다음 Solaris OS 패키지가 Check PointFirewall-1 NG에 필요하다고 결정하였습니다.

cluster SUNWCreq

package SUNWter add

package SUNWlibC add

package SUNWlibCx add

package SUNWadmc add

package SUNWadmfw add

이 목록은 본 사례 연구에는 완벽하지만, 이 구성이 전개될 실제 환경에 따라 추가 패키지를 추가 또는 제거해야 할 수 있습니다.

품질 보증 검사에 설명된 것처럼 시스템이 기능 및 보안 측면 모두에서 검증될 때까지 패키지의 최종 목록은 수정이 필요할 수 있습니다. 수정이 필요한 경우 프로파일을 수정하고 시스템을 재설치한 후 테스트를 반복하십시오.

3. 이전 두 단계의 패키지 종속성을 기초로 minimize-firewall.fin 스크립트를 작성합니다.

JumpStart 서버 및 클라이언트 구성

이 절은 최소화를 위해 사용자 정의 보안 프로파일을 사용하도록 JumpStart 서버 및 클라이언트를 구성하는 방법에 대해 설명합니다. JumpStart 환경에서 Solaris Security Toolkit 소프트웨어 사용에 대한 자세한 정보는 5 장을 참조하십시오.

기반구조 준비

기반구조를 준비하려면 다음 작업을 수행하십시오. 다음 작업은 기존 드라이버, 프로파일 및 종료 스크립트를 사용하는 클라이언트를 위한 기준 구성 작성 프로세스를 설명합니다. 이 기준이 적용된 후, 제대로 작동하는지 확인하고 선택된 응용 프로그램에 맞게 사용자 정의하십시오.

2. add-client 명령을 사용하여 JumpStart 서버에 클라이언트를 추가합니다.

코드 예 7-1 JumpStart 서버에 클라이언트 추가
# `pwd` `/jumpstart` # `bin/add-client -c jordan -o Solaris_8_2002-02 -m sun4u -s nomex-jumpstart` cleaning up preexisting install client "jordan" removing jordan from bootparams updating /etc/bootparams

3. 적절한 JumpStart 프로파일 및 종료 스크립트를 지정하여 클라이언트를 위한 rules 파일 항목을 작성합니다. 예를 들면,

hostname jordan - Profiles/xsp-minimal-firewall.profile \

  Drivers/xsp-firewall-secure.driver

4. Solaris Security Toolkit 소프트웨어와 함께 제공된 파일을 복사하여 xsp-minimal-firewall.profile이라는 프로파일 파일 및 xsp-firewall-secure.driver라는 드라이버 파일을 작성합니다.

이러한 파일을 작성해야 다음 단계를 성공적으로 완료할 수 있습니다. 처음에 이러한 파일은 Solaris Security Toolkit 소프트웨어와 함께 배포된 파일의 사본일 수 있습니다. Solaris Security Toolkit 소프트웨어와 함께 배포된 원본 파일을 절대 수정하지 마십시오. 다음 예제는 파일을 작성하는 방법을 보여줍니다.

코드 예 7-2 프로파일 작성
# `pwd` /jumpstart/Drivers # `cp install-Sun_ONE-WS.driver xsp-firewall-secure.driver` # `cp hardening.driver xsp-firewall-hardening.driver` [...] # `pwd` /jumpstart/Profiles # `cp minimal-Sun_ONE-WS-Solaris8-64bit.profile \` `xsp-minimal-firewall.profile`

코드 예 7-2 프로파일 작성

# pwd

/jumpstart/Drivers

# cp install-Sun_ONE-WS.driver xsp-firewall-secure.driver

# cp hardening.driver xsp-firewall-hardening.driver

[...]

# pwd

/jumpstart/Profiles

# cp minimal-Sun_ONE-WS-Solaris8-64bit.profile \

     xsp-minimal-firewall.profile

이 예제는 전용 방화벽을 개발하기 좋은 기준선이므로 전용 웹 서버 구성을 기준으로 합니다.

5. 프로파일 및 드라이버 파일을 작성한 후 다음과 같이 파일을 수정합니다.

a. hardening.driver에 대한 xsp-firewall-secure.driver 참조를 xsp-firewall-hardening.driver로 교체합니다.

b. JASS_SCRIPTS에 정의된 두 종료 스크립트를 minimize-firewall.fin에 대한 참조 및 사용자의 종료 스크립트(예: fw1-patch-install.fin)로 교체합니다.

코드 예 7-3 수정된 스크립트의 출력 예제
DIR="'/bin/dirname $0'" export DIR . ${DIR}/driver.init . ${DIR}/config.driver JASS_SCRIPTS=" minimize-firewall.fin fw1-patch-install.fin" . ${DIR}/driver.run . ${DIR}/xsp-firewall-hardening.driver

6. 다음 명령을 사용하여 rules 파일 항목이 올바른지 확인하십시오.

코드 예 7-4 `rules` 파일의 정확성 검사
# `pwd` `/jumpstart` # `./check` Validating rules... Validating profile Profiles/end-user.profile... Validating profile Profiles/xsp-minimal-firewall.profile... Validating profile Profiles/test.profile... Validating profile Profiles/entire-distribution.profile... Validating profile Profiles/oem.profile... The custom JumpStart configuration is ok.

코드 예 7-4 `rules` 파일의 정확성 검사

# pwd

/jumpstart

# ./check

Validating rules...

Validating profile Profiles/end-user.profile...

Validating profile Profiles/xsp-minimal-firewall.profile...

Validating profile Profiles/test.profile...

Validating profile Profiles/entire-distribution.profile...

Validating profile Profiles/oem.profile...

The custom JumpStart configuration is ok.

이 시점에서, 이 예제의 jordan 클라이언트에서 JumpStart 설치를 시작하는 것이 가능해야 합니다. 작성한 JumpStart 구성과 Solaris Security Toolkit 드라이버, 종료 스크립트 및 프로파일을 사용합니다.

7. rules 파일을 검사할 때 문제점이 발생하는 경우 Rules 파일 확인 및 검사를 참조하십시오.

8. 클라이언트의 ok 프롬프트에서 다음 명령을 입력하여 JumpStart 기반구조를 사용하는 클라이언트를 설치합니다.

ok> boot net - install

클라이언트가 설치되지 않는 경우 구성을 검토하여 적절히 동작할 때까지 구성을 수정하십시오. 이 절에서 JumpStart 구성의 모든 부분이 언급되지는 않습니다. 자세한 내용은 Sun BluePrint 설명서 JumpStart Technology: Effective Use in the Solaris Operating Environment를 참조하십시오.

rules 파일의 올바른 실행을 달성하고 패치가 제대로 설치되었음을 확인한 다음, 클라이언트 시스템의 기본 레벨 설치 및 그의 최소화 및 강화를 시작할 수 있습니다.

Rules 파일 확인 및 검사

rules 파일의 정확성을 확인할 때, 다양한 문제점이 발생할 수 있습니다. 일반적인 문제 몇 가지가 이 절에서 언급됩니다.

코드 예 7-5 `rules` 파일의 예제 출력
# `pwd` /jumpstart `#` `./check` `Validating rules...` `Validating profile Profiles/xsp-minimal-firewall.profile...` `Error in file "rules", line 20` `hostname jordan - Profiles/xsp-minimal-firewall.profile Drivers/xsp-firewall-secure.driver` `오류: Profile missing:` `Profiles/xsp-minimal-firewall.profile`

코드 예 7-5 `rules` 파일의 예제 출력

# pwd

/jumpstart

# ./check

Validating rules...

Validating profile Profiles/xsp-minimal-firewall.profile...

Error in file "rules", line 20

hostname jordan - Profiles/xsp-minimal-firewall.profile Drivers/xsp-firewall-secure.driver

오류: Profile missing:

   Profiles/xsp-minimal-firewall.profile

이 예제에서, jordan에 대한 rules 항목에 지정된 프로파일이 존재하지 않습니다. xsp-minimal-firewall.profile 프로파일은 profiles 디렉토리에 존재하지 않았습니다. 일반적으로 이 오류는 파일 이름의 잘못된 철자, 프로파일의 올바른 디렉토리 지정 생략 또는 프로파일을 작성하지 않은 이유로 발생됩니다. 문제점을 수정하고 검사를 재실행하십시오.

두 번째 실행은 다른 두 개의 문제점을 보입니다. 첫 번째 문제점은 xsp-firewall-secure.driver에서 호출되는 드라이버입니다. xsp-firewall-hardening.driver를 호출하는 대신, xsp-firewall-secure.driver가 여전히hardening.driver를 호출하고 있습니다.

두 번째 문제점은 JASS_SCRIPTS 변수가 minimize-firewall.fin 대신에 minimize-Sun_ONE-WS.fin으로 잘못 설정된다는 것입니다.

코드 예 7-6 잘못된 스크립트의 예제
`#!/bin/sh` DIR="`/bin/dirname $0`" `export DIR` `. ${DIR}/driver.init` `. ${DIR}/config.driver` `JASS_SCRIPTS="minimize-Sun_ONE-WS.fin"` `. ${DIR}/driver.run` `. ${DIR}/hardening.driver`

코드 예 7-7 올바른 스크립트의 예제
`#!/bin/sh` DIR="`/bin/dirname $0`" `export DIR` `. ${DIR}/driver.init` `. ${DIR}/config.driver` `JASS_SCRIPTS="` `minimize-firewall.fin"` `. ${DIR}/driver.run` `. ${DIR}/xsp-firewall-hardening.driver`

강화 구성 사용자 정의

제안된 방화벽의 강화 구성은 사용자 정의되고 정교하게 조절될 준비가 되었습니다. 초기 스크립트는 hardening.driver를 기초로 합니다. 이는 시스템이 모든 서비스를 사용할 수 없는 "warm-brick" 상태임을 의미합니다.

Solaris 8 OS에 Secure Shell 클라이언트가 포함되어 있지 않으므로, 방화벽의 원격 네트워크 기반 관리가 가능하도록 수정해야 합니다. 이 사례 시나리오의 방화벽의 경우, FTP 서비스가 사용 가능 상태로 남아있고 원격 관리를 위해 Secure Shell 클라이언트를 설치해야 합니다. 이들 서비스를 모두 개인 관리 네트워크만으로 제한함으로써 다른 네트워크 인터페이스에서 접속하지 못하도록 하십시오. 이러한 서비스 제한에 대한 정보에 대해서는, Sun BluePrints OnLine 기사 "Solaris Operating Environment Security: Updated for the Solaris 9 Operating Environment"를 참조하십시오.

이들 두 서비스를 사용 가능한 상태로 두는 것 외에, 디스크 미러링을 위해 Solstice DiskSuite를 구성하는 데 Solstice DiskSuite 그래픽 사용자 인터페이스(GUI)를 사용할 수 있도록 RPC 서비스를 사용 가능한 상태로 두십시오. Solstice DiskSuite GUI를 사용하지 않을 경우, RPC 서비스는 필요하지 않습니다. 이 예제에서는 GUI가 필요하므로 RPC 서비스는 사용 가능한 상태로 남아있습니다. Solstice DiskSuite의 설치 및 구성은 이 설명서에서 다루지 않습니다.

이 클라이언트에 필요한 최종 수정은 xSP(서비스 제공자)의 중앙 집중된 SYSLOG 서버를 사용하는 사용자 정의된 syslog.conf가 정교하게 만들어지는 것입니다. 이 사용자 정의된 syslog.conf 파일이 각 방화벽 시스템에 설치되어야 합니다.

이 수정을 위해서는 Solaris Security Toolkit의 구성 옵션을 변경해야 합니다. 필요한 각 수정사항이 다음 절에서 상세히 설명됩니다.

FTP 서비스 사용

이 사례 시나리오의 방화벽의 경우 FTP 서비스를 사용 가능하게 하십시오.

1. FTP를 사용 가능한 상태로 두기 위해, JASS_SVCS_DISABLE 및 JASS_SVCS_ENABLE 변수를 설정하여 update-inetd-conf.fin 파일의 기본 동작을 수정합니다.

FTP를 제외한 모든 표준 Solaris OS 서비스를 사용 불가능하게 하려면, 본 사례 시나리오에 대한 최선의 방법은 JASS_SVCS_DISABLE이 finish.init 스크립트에서 받은 기본값으로 남아있는지 확인하면서 JASS_SVCS_ENABLE이 ftp가 되도록 정의하는 것이다. Solaris Security Toolkit 4.1 Reference Manual을 참조하십시오.

2. 환경 변수를 통해 변경을 구현하기 위해 xsp-firewall-hardening.driver에 대한 호출 전에 다음과 비슷한 항목을 xsp-firewall-secure.driver에 추가합니다.

JASS_SVCS_ENABLE="ftp"

3. FTP가 방화벽 소프트웨어를 통해 실행함으로써 시스템 관리자의 관리 네트워크에서만 사용 가능한지 확인합니다.

또 다른 요구사항은 FTP가 시스템 관리자의 관리 네트워크에서만 사용 가능한지 여부입니다. Solaris 8 OS에서 TCP 랩퍼를 시스템에 통합함으로써 또는 방화벽 소프트웨어 자체를 통해서 이 요구사항을 수행할 수 있습니다. 이 사례 시나리오에서는 방화벽 소프트웨어를 통해서 수행하십시오.

Secure Shell 소프트웨어 설치

Solaris 8 OS에는 Secure Shell 클라이언트가 들어있지 않으므로, 원격 관리를 위해 Secure Shell 클라이언트를 설치하십시오.

Solaris Security Toolkit 소프트웨어를 구성하여 OpenSSH 도구를 설치할 수 있습니다. xsp-firewall-secure.driver에 의해 사용된 config.driver 파일에 나열되는 install-openssh.fin 스크립트를 사용하십시오.

2. 파일 사본에서 install-openssh.fin에 대한 항목을 주석으로 처리합니다.

3. xsp-firewall-config.driver에서 config.driver를 호출하는 항목을 수정하여 대신 xsp-firewall-secure.driver를 호출합니다.

패치 및 OS 릴리스의 경우와 마찬가지로 OpenSSH의 최신 버전을 사용하십시오. 최신 릴리스 정보는 다음 OpenSSH 웹 페이지를 참조하십시오.

5. OpenSSH 패키지를 컴파일하고, 적절하게 이름을 지정한 후 Packages디렉토리에 설치합니다.

이 패키지에 대한 자세한 정보는, Sun BluePrints 온라인 기사 "Configuring OpenSSH for the Solaris Operating Environment"를 참조하십시오.

6. 올바른 OpenSSH 패키지 이름을 반영하도록 install-openssh.fin스크립트를 업데이트합니다.

install-openssh.fin 스크립트를 수정해야 하는 경우가 있습니다. 이 스크립트는 OpenSSH 패키지의 패키지 이름을 다음과 유사하게 형식화되도록 정의합니다.

OBSDssh-3.5p1-sparc-sun4u-5.8.pkg

여기서 패키지 이름은 버전 번호(3.5p1), 구조(sparc), 구조의 버전(sun4u), 패키지가 컴파일되는 대상 OS(5.8) 및 pkg 접미어의 형식을 따릅니다.

7. FTP가 방화벽 소프트웨어를 통해 실행함으로써 시스템 관리자의 관리 네트워크에서만 사용 가능한지 확인합니다.

또 다른 요구사항은 FTP가 시스템 관리자의 관리 네트워크에서만 사용 가능한지 여부입니다. Solaris 8 OS에서 TCP 랩퍼를 시스템에 통합함으로써 또는 방화벽 소프트웨어 자체를 통해 이 요구사항을 구현할 수 있습니다. 이 사례 시나리오의 경우, 방화벽 소프트웨어를 통해 구현합니다. 또한 Secure Shell 서버의 구성을 수정하여 구현할 수도 있습니다.

RPC 서버 사용

RPC가 필요한 디스크 미러링을 위해 SDS를 사용할 수 있도록 RPC 서비스를 사용 가능한 상태로 두십시오.

이 수정은 특정 종료 스크립트인 disable-rpc.fin가 Solaris Security Toolkit 실행 중에 RPC 서비스를 사용 불가능하게 할 수 있기 때문에 비교적 간단합니다.

xsp-firewall-hardening.driver에서 disable-rpc.fin에 대한 항목을 주석으로 처리합니다.

스크립트를 제거하는 대신 주석으로 처리하여 드라이버에서 스크립트를 사용할 수 없도록 합니다. 주석 값의 특정 조합만이 허용되기 때문에 JASS_SCRIPTS 정의의 항목을 주석화할 때 주의하십시오.

다음은 Solaris Security Toolkit 소프트웨어가 JASS_SCRIPTS 정의에서 주석 표시기로서 허용하는 것에 대해 driver.funcs script에 들어있는 주석입니다.

#Very rudimentary comment handler. This code will only recognize

#comments where a single `#' is placed before the file name

#(separated by white space or not). It then will only skip the

#very next argument.

syslog.conf 파일 사용자 정의

1. xSP 표준 syslog.conf 파일을 복사한 후 syslog.conf.jordan로 이름을 바꾸고 Files/etc 디렉토리에 저장합니다.

Solaris Security Toolkit 소프트웨어는 다양한 파일 복사 모드를 지원합니다. 이 구성에 가장 적합한 옵션은 syslog.conf 파일이 jordan에만 복사되도록 시스템의 호스트 이름을 파일에 접미어로 추가하는 것으로, 그것이 고유한 방화벽 특성 수정사항을 갖기 때문입니다. 이 경우, 클라이언트를 jordan이라고 하므로 Files/etc에 사용된 실제 파일 이름은 syslog.conf.jordan입니다. JASS_FILES 정의는 이 접미어가 추가되지 않아야 한다는 것을 주의하십시오. 접미어에 대한 자세한 정보는, Solaris Security Toolkit 4.1 Reference Manual을 참조하십시오.

2. xSP 표준 syslog.conf 파일을 사용할 수 없는 경우 다음과 같이 사용자 정의 syslog.conf 파일을 작성합니다.

a. Solaris Security Toolkit 소프트웨어에 포함된 syslog.conf 파일을 복사하여 syslog.conf.jordan으로 이름을 바꾼 다음 Files/etc 디렉토리에 저장합니다.

b. SYSLOG에 대해 xSP 표준을 준수하도록 syslog.conf.jordan을 수정합니다.

3. /etc/syslog.conf 파일이 xsp-firewall-hardening.driver의 JASS_FILES 정의에 나열되는지 확인합니다.

기본적으로 xsp-firewall-hardening.driver의 수정된 JASS_FILE 정의는 다음과 같이 나타납니다.

코드 예 7-8 수정된 `xsp-firewall-hardening.driver` 의 출력 예제
`JASS_FILES="` `/etc/dt/config/Xaccess` `/etc/init.d/inetsvc` `/etc/init.d/nddconfig` `/etc/init.d/set-tmp-permissions` `/etc/issue` `/etc/motd` `/etc/notrouter` `/etc/rc2.d/S00set-tmp-permissions` `/etc/rc2.d/S07set-tmp-permissions` `/etc/rc2.d/S70nddconfig` `/etc/syslog.conf` `"`

이제 모든 필수 수정사항이 만들어졌습니다. OS의 설치, 최소화 및 강화는 특정 응용 프로그램에 맞게 사용자 정의되고 완전히 자동화되었습니다. 완전히 자동화되지 않은 유일한 프로세스는 방화벽 소프트웨어와 Solstice DiskSuite의 구성 및 설치입니다. JumpStart 기술을 사용하여 이러한 구성을 수행할 수도 있지만, 이 책에서는 다루지 않습니다. Sun BluePrints 설명서 JumpStart Technology: Effective Use in the Solaris Operating Environment를 참조하십시오.

클라이언트 설치

드라이버에 대한 모든 수정사항을 작성한 뒤 이 절에서 설명한 것처럼 클라이언트를 설치하십시오.

1. 드라이버에 대한 모든 필수 수정사항을 작성한 후, JumpStart 기반구조를 사용하여 클라이언트를 설치합니다.

ok> boot net - install

2. 오류가 발생할 경우, 오류를 수정하고 클라이언트 OS를 재설치합니다.

품질 보증 검사

프로세스의 마지막 작업은 시스템이 제공하는 응용 프로그램 및 서비스가 올바르게 기능하고 있는지 확인하는 것입니다. 또한, 이 작업은 보안 프로파일이 필수 수정사항을 성공적으로 이행하고 있는지 확인합니다.

모든 이상 징후나 문제점이 감지되고 신속히 정정되도록 하려면, 강화 및 최소화된 플랫폼을 재부팅한 다음 이 작업을 신속하고 꼼꼼하게 수행해야 합니다. 이 프로세스는 프로파일 설치 확인 및 응용 프로그램과 서비스 기능성 확인의 두 작업으로 구분됩니다.

Solaris Security Toolkit 소프트웨어가 보안 프로파일을 오류 없이 올바르게 설치했는지 확인하기 위해 다음을 검토하고 평가하십시오.

감사 옵션에 대한 자세한 정보는 6 장을 참조하십시오. 이 시나리오의 경우, 클라이언트에서 Solaris Security Toolkit 소프트웨어가 설치된 디렉토리에서 다음 명령을 사용합니다.

코드 예 7-9 보안 구성 평가
# `./jass-execute -a xsp-firewall-secure.driver` [NOTE] Executing driver, xsp-firewall-secure.driver =================================================================== xsp-firewall-secure.driver: Driver started. =================================================================== =================================================================== Solaris Security Toolkit Version: 4.1.0 `[...]`

코드 예 7-9 보안 구성 평가

# ./jass-execute -a xsp-firewall-secure.driver

[NOTE] Executing driver, xsp-firewall-secure.driver

===================================================================

xsp-firewall-secure.driver: Driver started.

===================================================================

===================================================================

Solaris Security Toolkit Version:   4.1.0

[...]

Solaris Security Toolkit 검증 실행시 불일치가 발견되면, 해당 불일치는 기록됩니다. 실행 완료시 발견된 총 불일치 수가 요약에서 보고됩니다. 실행의 전체 출력은 JASS_REPOSITORY 디렉토리에 있습니다.

응용 프로그램 및 서비스에 대한 확인 프로세스에는 잘 정의된 테스트 및 허용 계획의 실행이 포함됩니다. 이 계획은 시스템 또는 응용 프로그램의 다양한 구성요소를 조사하여 구성요소가 사용 가능한 상태 및 작업 명령 상태에 있는지 판별하는데 사용됩니다. 이러한 계획이 사용 불가능할 경우, 시스템의 사용 방법을 기초로 시스템을 합리적으로 검사하십시오. 강화 프로세스는 해당 기능을 수행하기 위해 응용 프로그램 및 서비스 기능에 영향을 미치지 않음을 확인하는 것이 중요합니다.

1. 시스템이 강화된 후 응용 프로그램이나 서비스가 제대로 작동하지 않음을 발견하는 경우 2 장에 설명된 기법을 사용하여 문제점을 판별하십시오.

예를 들어, truss 명령을 사용하십시오. 이 명령은 응용 프로그램에 문제가 발생하는 지점을 결정하는데 사용될 수 있습니다. 이 지점을 찾으면 이 문제에 대해 Solaris Security Toolkit 소프트웨어로 작업한 변경사항을 다시 추적할 수 있습니다.

2. 유사한 방법으로 Check PointFirewall-1 NG 소프트웨어를 검사하고, Solaris Security Toolkit 소프트웨어 수정으로 인한 모든 문제점을 다시 추적하고, 문제를 정정합니다.

3. 패키지의 최종 목록에 수정이 필요한 경우, 프로파일을 수정하고 시스템을 재설치한 후 검사를 반복하십시오.

7장

시스템 보안

계획 및 준비

가정 및 제한사항

시스템 환경

보안 요구사항

보안 프로파일 작성

소프트웨어 설치

보안 소프트웨어 다운로드 및 설치

보안 소프트웨어 다운로드 및 설치

패치 설치

패치 설치

OS Cluster 지정 및 설치

OS 클러스터 지정 및 설치

JumpStart 서버 및 클라이언트 구성

기반구조 준비

기반구조 준비

코드 예 7-1 JumpStart 서버에 클라이언트 추가

코드 예 7-2 프로파일 작성

코드 예 7-3 수정된 스크립트의 출력 예제

코드 예 7-4 rules 파일의 정확성 검사

Rules 파일 확인 및 검사

코드 예 7-5 rules 파일의 예제 출력

코드 예 7-6 잘못된 스크립트의 예제

코드 예 7-7 올바른 스크립트의 예제

강화 구성 사용자 정의

FTP 서비스 사용

FTP 서비스 사용

Secure Shell 소프트웨어 설치

Secure Shell 설치

RPC 서버 사용

RPC 사용

syslog.conf 파일 사용자 정의

syslog.conf 파일 사용자 정의

코드 예 7-8 수정된 xsp-firewall-hardening.driver 의 출력 예제

클라이언트 설치

클라이언트 설치

품질 보증 검사

프로파일 설치 확인

코드 예 7-9 보안 구성 평가

응용 프로그램 및 서비스 기능 확인

코드 예 7-4 `rules` 파일의 정확성 검사

코드 예 7-5 `rules` 파일의 예제 출력

`syslog.conf` 파일 사용자 정의

`syslog.conf` 파일 사용자 정의

코드 예 7-8 수정된 `xsp-firewall-hardening.driver` 의 출력 예제