test

Sun Management Center 3.5 설치 및 구성 설명서

보안 권장 사항

이 장에서는 Sun Management Center 액세스, 서버와 에이전트 구성 요소 및 보안 키에 대한 권장 사항에 대하여 설명합니다.

사용자, 그룹 및 역할 개요

Sun Management Center 사용자 및 사용자 그룹을 설정하려면 가능한 관리 작업을 적당한 사용자 클래스에 지정할 수 있도록 관리 작업의 유형에 대하여 알고 있어야 합니다. 사용자 그룹 및 역할을 신중하게 계획하면 적합한 구성 관리, 관리 정보 및 시스템 자원의 데이터 무결성과 보안이 보장됩니다.

먼저 마스터 액세스 파일 /var/opt/SUNWsymon/cfg/esusers에서 사용자가 명시적으로 식별되지 않는 경우 사용자는 Sun Management Center에 대한 액세스 권한을 얻을 수 없습니다. Sun Management Center에 대한 액세스 권한을 부여하려면 /var/opt/SUNWsymon/cfg/esusers에 UNIX 사용자 이름을 추가해야 합니다. 그런 다음 표준 UNIX 사용자 이름 및 암호를 사용하여 Sun Management Center에 로그인할 수 있습니다.

사용자가 로그인하면 Sun Management Center는 액세스를 제어하고 다음 기능 역할을 기반으로 하여 사용자 권한을 정합니다.

대규모 조직에서는 Sun Management Center의 보안 역할을 기존 시스템 관리 및 지원 기능에 직접 매핑할 수 있습니다. 소규모 조직의 경우에는 회사 기능과 제품 역할 간의 매핑이 그다지 분명하지 않기 때문에 해당 프로세스가 더 복잡할 수 있습니다. 경우에 따라 모든 논리 역할이 단일 사용자에게 지정될 수도 있습니다.

주 –

권한 지정에는 유연성이 있어 4가지 Sun Management Center 보안 역할에 제한될 필요가 없습니다.

Sun Management Center 권한은 도메인, 토폴로지 컨테이너, 에이전트 및 모듈 수준에서 명시적으로 지정할 수 있습니다. 권한 지정 시 임의의 UNIX 사용자 또는 그룹을 참조할 수 있으며 위에서 지정한 그룹은 관례적으로 많이 사용하는 그룹일 뿐입니다. Sun Management Center 권한 그룹을 사용하면 기능 역할을 지정할 때 기존 계정 구성을 사용할 수 있습니다. 권한을 지정할 때 사용자를 명시적으로 지정하는 것은 권장되지 않지만 UNIX 그룹이 이미 구축되어 있는 환경에서는 해당 UNIX 그룹을 사용하는 것이 편리할 수 있습니다.

보안 역할, 그룹 및 사용자에 대한 자세한 내용은 사용자 설정“Sun Management Center 보안” in Sun Management Center 3.5 사용자 설명서을 참조하십시오.

Sun Management Center 내부 보안

이 절에서는 Sun Management Center 구성 요소 간에 사용되는 보안 프로세스에 대하여 설명합니다.

서버와 에이전트 간 보안

Sun Management Center 서버 및 관리 대상 노드 간 통신은 주로 산업 표준 Simple Network Management Protocol 버전 2를 사용하여 수행되며 사용자 보안 모델 SNMP v2usec를 사용합니다. SNMPv2 메커니즘은 서버 계층의 사용자 자격 증명을 에이전트 쪽 작업에 매핑하는 데 편리하게 사용할 수 있습니다. SNMPv2는 액세스 제어 정책을 피할 수 없게 하는 기본 메커니즘입니다.

Sun Management Center는 커뮤니티 기반 보안의 SNMP v1 및 v2를 지원합니다. SNMP v1 및 v2 지원은 보안의 관점에서는 견고하지는 않지만 기타 장치 및 관리 플랫폼과의 통합에 중요한 역할을 합니다. 이와 같은 메커니즘을 사용하는 것이 바람직하지 않은 환경에서는 액세스 제어 지정 메커니즘을 사용하여 SNMP v1 및 v2 프로토콜을 사용하는 프로세스에 대한 액세스를 제한하거나 금지할 수 있습니다.

데이터 스트리밍이 필요할 수 있는 사용자 정의 작업의 경우 검사 메커니즘도 사용됩니다. SNMP 작업에서 검사 메커니즘을 시작합니다. 검사 작업이 시작되면 스트리밍 TCP 연결을 사용하여 관리 대상 노드에서 잠재적인 대화형의 양방향 서비스(예: 로그 파일 보기)가 구현됩니다. 검사 메커니즘이 SNMP 통신을 사용하므로 패킷 페이로드의 암호화는 수행되지 않습니다.

서버 컨텍스트 간 보안

Sun Management Center에서 로컬 서버 컨텍스트 외부의 관리 대상 노드와 통신하는 경우, 보안 모델은 작업이 일반 espublic SNMPv2 usec 사용자로서 수행되는지 확인합니다. espublic을 사용하면 권한이 상당히 제한되어 사용자는 관리 데이터를 읽을 수 있는 권한만 갖게 됩니다.

클리이언트와 서버 간 보안

Sun Management Center 서버 계층과 클라이언트(예: 콘솔 및 명령줄 인터페이스) 간 통신은 포괄적 제품별 보안 모델과 함께 Java 기술인 원격 메서드 호출(RMI)을 사용하여 수행됩니다. 보안 모델을 사용하여 클라이언트는 낮음, 중간 또는 높음 등의 보안 모드에서 작업할 수 있습니다. 보안 모델은 수행되는 메시지 인증 수준에 영향을 줍니다.

보안 수준이 높은 경우 성능에 잠재적인 영향을 주게 되므로 메시지 인증 요구 사항을 신중하게 고려해야 합니다.

보안 키 및 SNMP 커뮤니티 문자열

개별 시스템에 Sun Management Center 에이전트를 설치 및 설정하면 에이전트에 대한 보안 키를 생성하는 데 사용되는 암호를 입력하라는 메시지가 표시됩니다. Sun Management Center 서버를 설정하는 동안 지정한 암호와 같은 암호를 입력해야 합니다. Sun Management Center 서버 및 에이전트에 서로 다른 보안 키가 있는 경우 해당 서버와 에이전트는 서로 통신할 수 없습니다. 보안 키를 다시 생성하는 방법에 대한 자세한 내용은 보안 키 재생성를 참조하십시오.

설정 중에 기본 SNMP 커뮤니티 문자열(공용)을 수락할 것인지 개인 커뮤니티 문자열을 지정할 것인지를 묻는 메시지도 표시됩니다. 본질적으로 SNMP 커뮤니티 문자열은 권한 있는 내부 계정용 암호입니다. 따라서 일반 SNMPv2 usec 도구를 사용하는 경우 해당 문자열을 사용하여 서버 계층을 흉내낼 수 있습니다. 그러므로 기본 커뮤니티 문자열을 사용하지 마십시오. 서버 컨텍스트마다 개별적이고 개인적인 커뮤니티 문자열을 지정하십시오.

수퍼유저 암호와 마찬가지로 보안 암호와 SNMP 커뮤니티 문자열도 중요하게 생각해야 합니다.