보안 개선 내용

이 절에서는 Solaris 9 OS가 2002년 5월에 처음 배포된 이후 새로 추가되거나 향상된 Solaris 10 3/05 릴리스의 보안 기능 향상에 대해 설명합니다. 처리 권한 관리 및 축소된 네트워킹 소프트웨어 그룹이 특히 중요합니다. Solaris 10 7/05 릴리스에 새로 추가된 보안 개선을 보려면 보안 개선 내용을 참조하십시오.

여기에서 설명한 보안 기능 외에도 개발자 도구 부분과 설치 부분에 있는 다음의 보안 관련 기능 설명을 참조하십시오.

• WAN 부트 설치 방법

• 축소된 네트워킹 소프트웨어 그룹

• Solaris 암호화 프레임워크용 새 메커니즘

• Solaris 암호화 프레임워크의 제공자용 판매 또는 비판매 옵션

• 개발자를 위한 단순 인증 및 보안 계층

• GSS-API 응용 프로그램용 SPNEGO 유사 메커니즘

• 소프트웨어 개발자용 crypt() 기능 강화

• 스마트 카드 터미널 인터페이스

• 스마트 카드 미들웨어 API

ELF 객체 서명

이 기능은 Solaris 10 3/05 릴리스의 새로운 기능입니다.

Solaris 10 OS 릴리스의 라이브러리와 실행 파일에는 파일 무결성을 확인하는 데 사용할 수 있는 디지털 서명이 들어 있습니다 디지털 서명을 사용하면 실행 가능한 파일 내용이 실수로 변경되거나 고의로 무단 변경된 경우를 감지할 수 있습니다.

Solaris 암호화 프레임워크용 플러그인은 시스템에서 로드할 때 자동으로 확인됩니다. 수동으로 elfsign 명령을 사용하면 서명된 모든 파일을 확인할 수 있습니다. 또한 개발자와 관리자가 elfsign을 사용하여 자체 코드를 서명할 수도 있습니다.

자세한 내용은 elfsign(1) 매뉴얼 페이지를 참조하십시오.

처리 권한 관리

이 기능은 Software Express 파일럿 프로그램의 새로운 기능입니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다.

Solaris 소프트웨어에서 이전에 수퍼유저 권한이 필요했던 관리 작업은 이제 처리 권한 관리에 의하여 보호됩니다. 처리 권한 관리는 권한을 사용하여 명령, 사용자, 역할 또는 시스템 수준에서 프로세스를 제한합니다. 권한은 프로세스가 작업을 수행할 때 필요한 고유한 권한입니다. 시스템은 현재 작업을 수행하는 데 필요한 권한으로 프로세스를 제한합니다. 따라서 남용의 위험이 있는 root 프로세스의 수가 감소됩니다. setuid 프로그램의 수가 많이 감소되었습니다.

Software Express 릴리스 및 Solaris 10 3/05 릴리스가 설치되면 권한 향상의 면에서 이전 릴리스의 Solaris 운영 체제와 완전히 호환됩니다. root로 실행되는 수정되지 않은 프로그램에는 모든 권한이 부여됩니다.

장치 보호 – 장치는 보안 정책으로 보호됩니다. 정책은 권한으로 강화합니다. 따라서 장치 파일에 대한 권한만으로 장치의 가용도가 전적으로 결정되지는 않습니다. 장치를 작동하려면 또한 권한이 필요할 수 있습니다.

UNIX 사용 권한으로 보호되었던 시스템 인터페이스는 이제 권한으로 보호됩니다. 예를 들어 sys 그룹의 구성원은 더 이상 자동으로 /dev/ip 장치를 열도록 허용되지 않습니다. net_rawaccess 권한으로 실행되는 프로세스는 /dev/ip 장치에 액세스할 수 있습니다. 시스템이 부트되면 모든 장치로의 액세스는 부트 시퀀스 동안 devfsadm 명령이 실행될 때까지 제한됩니다. 첫 정책은 가능한 한 엄격히 적용됩니다. 정책은 수퍼유저를 제외한 모든 사용자가 연결을 시작할 수 없도록 방지합니다.

자세한 내용은 다음의 매뉴얼 페이지를 참조하십시오.

• getdevpolicy(1M)

• ppriv(1)

• add_drv(1M)

• update_drv(1M)

• rem_drv(1M)

• devfsadm(1M)

Solaris IP MIB 정보를 검색해야 하는 프로세스는 /dev/arp를 열고 "tcp" 및 "udp" 모듈을 푸시해야 합니다. 필요한 권한은 없습니다. 이 방법은 /dev/ip를 열고 “arp”, “tcp” 및 “udp” 모듈을 푸시하는 것과 같습니다. 이제 /dev/ip을 열려면 권한이 필요하므로 /dev/arp 메소드를 사용하는 것이 좋습니다.

자세한 내용은 System Administration Guide: Security Services의 다음 내용을 참조하십시오.

• “Using Roles and Privileges (Overview)”

• “Privileges (Overview)”

• “Privileges (Tasks)”

Solaris 10 OS의 PAM 변경 사항

새 pam_deny 모듈이 Software Express 파일럿 프로그램에서 소개되었으며 Solaris 6/04 릴리스에서 향상되었습니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다. 모듈은 이름이 지정된 PAM 서비스에 대한 액세스를 거부할 때 사용합니다. 기본적으로 pam_deny 모듈은 사용되지 않습니다. 자세한 내용은 pam_deny(5) 매뉴얼 페이지를 참조하십시오.

Solaris 10 소프트웨어에서 PAM 프레임워크에 다음의 사항이 변경되었습니다.

• 이제 pam_authtok_check 모듈을 사용하여 이제 /etc/default/passwd 파일의 새 조정 가능 항목을 사용하여 엄격히 비밀번호를 검사할 수 있습니다. 새 조정 가능 항목은 다음과 같이 정의됩니다.

  • 비밀번호에서 일반적인 사전 단어를 검사하는데 사용되는 쉼표로 분리된 사전 파일 목록

  • 새 비밀번호와 이전 비밀번호 사이에 필요한 최소 차이

  • 새 비밀번호에 반드시 사용되어야 하는 영문자 및 영문자의 최소 수

  • 새 비밀번호에 반드시 사용되어야 하는 대문자 및 소문자의 최소 수

  • 허용 가능한 연속 반복 문자의 수

  • 새 비밀번호에서 반드시 사용해야 하는 문자의 수

  • 새 비밀번호에 공백이 허용되는가의 여부

• pam_unix_auth 모듈은 로컬 사용자용 계정 잠금을 구현합니다. 계정 잠금은 /etc/security/policy.conf에 있는 LOCK_AFTER_RETRIES 조정 가능 항목 및 /etc/user_attr의 lock_after-retries 키로 사용 가능해집니다.

• 새 binding 제어 플래그가 정의되었습니다. PAM 모듈이 성공적이며 required로 플래그된 이전 모듈이 실패하지 않은 경우 PAM은 나머지 모듈을 생략하고 인증 요청이 성공합니다. 그러나 실패가 반환된 경우 PAM은 필요한 실패를 기록한 후, 스택의 처리를 계속합니다. 이 제어 플래그에 대한 설명은 pam.conf(4) 매뉴얼 페이지에 있습니다.

• pam_unix 모듈이 제거되었으며 동일 또는 그 이상의 기능성을 지닌 일련의 서비스 모듈로 대체되었습니다. 이 모듈은 대부분 Solaris 9 시스템에서 새로 추가되었습니다. 대체 모듈 목록은 다음과 같습니다.

  • pam_authtok_check

  • pam_authtok_get

  • pam_authtok_store

  • pam_dhkeys

  • pam_passwd_auth

  • pam_unix_account

  • pam_unix_auth

  • pam_unix_cred

  • pam_unix_session

• pam_unix_auth 모듈의 기능은 두 개의 모듈로 나누어졌습니다. pam_unix_auth 모듈은 이제 사용자용 비밀번호가 올바른지 검증합니다. 새 pam_unix_cred 모듈은 사용자 자격 증명 정보를 설정하는 기능을 제공합니다.

• PAM 프레임워크를 사용하여 커버로스 자격 증명 캐시를 관리하기 위하여 pam_krb5 모듈에 내용이 추가되었습니다. 커버로스 기능 강화를 참조하십시오.

pam_ldap 변경

계정 관리 기능을 제외한 다음의 pam_ldap 변경 사항이 Solaris Express 10/04 릴리스에서 새로 추가되었습니다. 이 관리 기능은 Software Express 파일럿 프로그램과 Solaris 9 12/02 릴리스의 새로운 기능입니다. 이들 변경 사항에 대한 자세한 내용은 pam_ldap(5) 매뉴얼 페이지를 참조하십시오.

• 이전에 지원되었던 use_first_pass 및 try_first_pass 옵션은 Solaris 10 소프트웨어 릴리스부터 더 이상 사용하지 않습니다. 이들 옵션은 더 이상 필요하지 않습니다. 옵션은 pam.conf에서 안전하게 제거될 수 있으며 확인 없이 무시됩니다.

• 비밀번호 프롬프트 표시는 반드시 인증 및 비밀번호 모듈 스택의 pam_ldap 전에 pam_authtok_get을 스택에 넣고 passwd_service_auth 스택에 pam_passwd_auth을 포함하여 제공해야 합니다.

• 이전에 지원된 비밀번호 업데이트 기능은 이 릴리스에서 server_policy 옵션과 함께 pam_authtok_store를 사용하는 것으로 대체되었습니다.

• pam_ldap 계정 관리 기능은 LDAP 이름 지정 서비스의 전체 보안을 강화합니다. 구체적으로 계정 관리 기능은 다음을 수행합니다.

  • 비밀번호 에이징 및 만료를 추적할 수 있도록 합니다.

  • 사용자가 너무 평범한 비밀번호 또는 이전에 사용한 비밀번호를 선택하지 않도록 합니다.

  • 비밀번호 만료 시기가 가까워지면 사용자에게 경고합니다.

  • 반복해서 로그인에 실패한 사용자를 잠급니다.

  • 허가된 시스템 관리자가 아닌 다른 사용자가 초기화된 계정을 비활성화할 수 없도록 방지

이전 목록에서는 명확하며 자동화된 업데이트를 변경용으로 제공할 수 없었습니다. 따라서 Solaris 10 이후의 릴리스로 업그레이드하는 경우에도 기존 pam.conf 파일이 pam_ldap의 변경 사항을 반영하도록 자동으로 업데이트할 수 없습니다. 기존 pam.conf 파일에 pam_ldap 구성이 있는 경우 업그레이드 후에 CLEANUP 파일로 통지를 받습니다. pam.conf 파일을 확인하고 필요한 경우 수정합니다.

자세한 내용은 다음의 매뉴얼 페이지를 참조하십시오.

• pam_passwd_auth(5)

• pam_authtok_get(5)

• pam_authtok_store(5)

• pam.conf(4)

Solaris 이름 지정 및 디렉토리 서비스에 대한 자세한 내용은 System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)를 참조하십시오. Solaris 보안 기능에 대한 내용은 System Administration Guide: Security Services를 참조하십시오.

Solaris Secure Shell 기능 강화

이 기능 설명은 Solaris Express 10/04 릴리스에서 새로 추가되었습니다.

Solaris 10 OS에서는 Solaris Secure Shell의 다음 기능이 강화되었습니다.

• Solaris Secure Shell은 OpenSSH 3.5p1에 기반합니다. Solaris 구현에는 OpenSSH 3.8p1 이전 버전의 기능과 오류 수정 내용 또한 포함됩니다.

• Solaris Secure Shell으로 이제 사용자용 GSS-API 사용을 지원하며 커버로스 V를 사용하는 호스트 인증을 지원합니다.

  비밀번호 시간 경과 지원을 포함하여 PAM 지원이 향상되었습니다.

• /etc/ssh/sshd 구성 파일에서 X11Forwarding의 기본값은 Yes입니다.

• 이제 ARCFOUR 및 AES128-CTR 암호를 사용할 수 있습니다. ARCFOUR은 또한 RC4라고 합니다. AES 암호는 상대 모드의 AES입니다.

• 추가 기능 향상에 대해서는 sshd 데몬 및 /etc/default/login에 대한 설명을 참조하십시오.

Solaris 10 OS의 보안에 대한 자세한 내용은 System Administration Guide: Security Services를 참조하십시오.

OpenSSL 및 OpenSSL PKCS#11 엔진

이 기능은 Solaris Express 8/04 릴리스의 새로운 기능입니다.

이 릴리스의 Solaris는 /usr/sfw에 OpenSSL 라이브러리 및 명령을 포함합니다.

이 릴리스에는 또한 PKCS#11에 대한 OpenSSL 엔진 인터페이스가 있으므로 OpenSSL 사용자가 Solaris 암호화 프레임워크에서 하드웨어 및 소프트웨어 암호화 제공자에 액세스할 수 있습니다.

일부 국가에서는 암호화 수입을 제한하므로 SUNWcry 패키지가 설치되지 않은 경우 대칭형 키 암호화 알고리즘은 128비트로 제한됩니다. SUNWcry는 Solaris 소프트웨어에 포함되지 않습니다. 이 패키지는 별도의 통제된 다운로드로 제공됩니다.

sshd 데몬 및 /etc/default/login

이 기능은 Solaris Express 10/04 릴리스의 새로운 기능입니다.

sshd 데몬은 /etc/default/logi 및 login 명령의 변수를 사용합니다. etc/default/login 변수는 sshd_config 파일의 값으로 대체될 수 있습니다.

자세한 내용은 System Administration Guide: Security Services의 “Solaris Secure Shell and Login Environment Variables”를 참조하십시오. 또한 sshd_config(4) 매뉴얼 페이지를 참조하십시오.

Nonlogin 및 잠긴 계정에 대한 새 비밀번호 옵션

이 기능은 Solaris Express 10/04 릴리스의 새로운 기능입니다.

passwd 명령에는 -N 및 - u의 두 가지 새 옵션이 있습니다. -N 옵션은 nonlogin 계정에 대한 비밀번호 항목을 만듭니다. 이 옵션은 로그인하지 않아야 하지만 반드시 cron 작업을 실행해야 하는 계정에 유용합니다. -u 옵션은 이전에 잠긴 계정의 잠금을 해제합니다.

자세한 내용은 passwd(1) 매뉴얼 페이지를 참조하십시오.

auditconfig의 -setcond 옵션 제거

이 기능은 Solaris Express 10/04 릴리스의 새로운 기능입니다.

auditconfig 명령에 대한 -setcond 옵션이 제거되었습니다. 감사를 임시적으로 사용하지 않게 설정하려면 audit -t 명령을 사용하십시오. 감사를 다시 시작하려면 audit - s 명령을 사용하십시오.

perzone 감사 정책

이 기능은 Solaris Express 8/04 릴리스의 새로운 기능입니다.

perzone 감사 정책을 사용하여 비전역 영역을 개별적으로 감사할 수 있습니다. 별도의 감사 데몬이 각 영역에서 실행됩니다. 데몬은 해당 영역에 특정한 감사 구성 파일을 사용합니다. 또한 감사 큐는 영역에 국한됩니다. 기본적으로 이 정책은 사용하지 않습니다.

자세한 내용은 auditd(1M) 및 auditconfig(1M) 매뉴얼 페이지를 참조하십시오.

커버로스 기능 강화

이들 커버로스 기능 강화는 Solaris 10 릴리스에서 소개되었습니다. 기능 향상 중 몇 가지는 이전 Software Express 릴리스에서 새로 추가되었습니다.

• 커버로스 프로토콜 지원이 ftp, rcp, rdist, rlogin, rsh 및 telnet 같은 원격 응용 프로그램에서 제공됩니다. 자세한 내용은 각 명령 또는 데몬에 대한 매뉴얼 페이지와 krb5_auth_rules(5) 매뉴얼 페이지를 참조하십시오.

• 커버로스 기본 데이터베이스는 이제 매번 전체 데이터베이스를 전송하지 않고 점증적인 업데이트로 전송할 수 있게 되었습니다. 점증적 전달을 사용하면 다음을 포함하여 여러 가지 장점이 있습니다.

  • 서버 전체의 데이터베이스 일관성 향상

  • 네트워크 및 CPU 자원 등의 자원에 대한 필요 감소

  • 업데이트를 더욱 적시에 전달

  • 자동화된 전달 방법

• 새 스크립트가 커버로스 클라이언트를 자동으로 구성하는 데 도움이 됩니다. 관리자는 스크립트를 사용하여 빠르고 쉽게 커버로스 클라이언트를 설정할 수 있습니다. 새 스크립트를 사용하는 절차는 System Administration Guide: Security Services의 22장, “Configuring the Kerberos Service (Tasks)”를 참조하십시오. 또한 자세한 내용은 kclient(1M) 매뉴얼 페이지를 참조하십시오.

• 커버로스 서비스에 여러 가지 새 암호화 유형이 추가되었습니다. 이들 새 암호화 유형은 보안을 향상시키고 이들 암호화 유형을 지원하는 다른 커버로스 구현과의 호환성을 향상시킵니다. 모든 암호화 유형에 대한 설명은 mech(4) 매뉴얼 페이지에 있습니다. 자세한 내용은 System Administration Guide: Security Services의 "Using Kerberos Encryption Types"를 참조하십시오. 암호화 유형에는 다음의 기능이 제공됩니다.

  • AES 암호화 유형은 커버로스 세션의 고속, 고급 보안 암호화에 사용할 수 있습니다. AES를 사용하려면 암호화 프레임워크에서 사용 설정합니다.

  • ARCFOUR-HMAC는 다른 커버로스 버전과의 호환성을 향상시킵니다.

  • SHA1이 있는 3DES(Triple DES)는 보안을 강화합니다. 또한 이 암호화 유형은 이 암호화 유형을 지원하는 다른 커버로스 구현과의 호환성을 향상시킵니다.

• 이제 KDC 소프트웨어와 kinit 명령은 TCP 네트워크 프로토콜을 사용할 수 있도록 지원합니다. 이 지원을 추가하여 더욱 견고한 운영을 제공하고 다른 커버로스 구현과 더욱 잘 상호 운용되도록 했습니다. KDC는 이제 종래의 UDP 포트 및 TCP 포트에서 "수신 대기"하므로 두 프로토콜 중 하나를 사용하는 요청에 응답할 수 있습니다. kinit 명령은 KDC로 요청을 보낼 때 우선 UDP를 시도합니다. 실패하는 경우 kinit 명령은 TCP를 시도합니다.

• IPv6 지원이 kinit , klist 및 kprop 명령과 함께 KDC 소프트웨어에 추가되었습니다. IPv6 주소에 대한 지원은 기본으로 제공됩니다. 이 지원을 사용하도록 설정하는 경우 구성 매개변수를 변경할 필요가 없습니다.

• kadmin 명령의 여러 가지 하위 명령에 -e 옵션이 새로 추가되었습니다. 이 새 옵션을 사용하면 대표를 만들 때 암호화 유형을 선택할 수 있습니다. 자세한 내용은 kadmin(1M) 매뉴얼 페이지를 참조하십시오.

• pam_krb5 모듈에 대한 추가 내용은 PAM 프레임워크를 사용하여 커버로스 자격 증명 캐시를 관리합니다. 자세한 내용은 pam_krb5(5) 매뉴얼 페이지를 참조하십시오.

• 커버로스 KDC, 관리 서버, kpasswd 서버 및 DNS 조회를 사용하는 호스트 또는 도메인 이름-영역 매핑의 자동 검색에 대한 지원이 제공됩니다. 이 지원으로 커버로스 클라이언트를 설치할 때 필요한 일부 단계가 감소됩니다. 클라이언트는 구성 파일을 읽지 않고 DNS를 사용하여 KDC 서버의 위치를 찾을 수 있습니다. 자세한 내용은 krb5.conf(4) 매뉴얼 페이지를 참조하십시오.

• pam_krb5_migrate라는 이름의 새 PAM 모듈이 소개되었습니다. 사용자에게 아직 커버로스 계정이 없는 경우 새 모듈을 사용하면 사용자를 로컬 커버로스 영역으로 자동 이전하는 데 도움이 됩니다. 자세한 내용은 pam_krb5_migrate(5) 매뉴얼 페이지를 참조하십시오.

• ~/.k5login 파일은 이제 GSS 응용 프로그램 ftp 및 ssh와 함께 사용될 수 있습니다. 자세한 내용은 krb5_auth_rules(5) 매뉴얼 페이지를 참조하십시오.

• kproplog 유틸리티가 각 로그 항목의 모든 속성을 표시하도록 업데이트되었습니다. 자세한 내용은 kproplog(1M) 매뉴얼 페이지를 참조하십시오.

• 새 구성 파일 옵션을 사용하면 엄격한 TGT(Ticket Granting Ticket) 검증 기능을 영역별로 구성할 수도 있습니다. 자세한 내용은 krb5.conf(4) 매뉴얼 페이지를 참조하십시오.

• 비밀번호 변경 유틸리티가 확장되어 Solaris Kerberos V5 관리 서버가 Solaris가 아닌 클라이언트의 비밀번호 변경 요청을 허용할 수 있게 되었습니다. 자세한 내용은 kadmin(1M) 매뉴얼 페이지를 참조하십시오.

• 재생 캐시의 기본 위치가 RAM 기반 파일 시스템에서 /var/krb5/rcache/의 영구 저장소로 옮겨졌습니다. 이 새로운 기본 위치는 시스템이 다시 부트되는 경우에도 재생으로부터 보호됩니다. rcache 코드의 성능이 향상되었습니다. 그러나 영구 저장소를 사용하므로 전체적인 재생 캐시 성능이 느려질 수 있습니다.

• 이제 재생 캐시를 파일 저장소 또는 메모리 전용 저장소를 사용하도록 구성할 수 있습니다. 키 테이블과 자격 증명 캐시 유형 또는 위치용으로 구성할 수 있는 환경 변수에 대한 자세한 내용은 krb5envvar(5) 매뉴얼 페이지를 참조하십시오.

• 더 이상 커버로스 GSS 메커니즘에 GSS 자격 증명 테이블이 필요하지 않습니다. 자세한 내용은 gsscred(1M), gssd(1M) 및 gsscred.conf(4) 매뉴얼 페이지를 참조하십시오.

• 커버로스 유틸리티 kinit 및 ktutil은 이제 MIT 커버로스 버전 1.2.1을 기반으로 합니다. 이 변경으로 kinit 명령에 새 옵션이 추가되었으며 ktutil 명령에 새 하위 명령이 추가되었습니다. 자세한 내용은 kinit(1) 및 ktutil(1) 매뉴얼 페이지를 참조하십시오.

• Solaris 커버로스 키 배포 센터(KDC)는 이제 MIT 커버로스 버전 1.2.1을 기반으로 합니다. KDC는 현재의 해시 기반 데이터베이스보다 훨씬 안정적인 btree 기반의 데이터베이스를 기본으로 사용합니다. 자세한 내용은 kdb5_util(1M) 매뉴얼 페이지를 참조하십시오. Solaris 9 사용자를 위해 이 변경은 Solaris 9 12/03 릴리스에서 새로 추가되었습니다.

rpcbind용 TCP 래퍼

이 기능은 Solaris Express 4/04 릴리스의 새로운 기능입니다.

TCP 래퍼 지원은 rpcbind 명령에 추가되었습니다. 관리자는 이 지원을 사용하여 rpcbind에 대한 호출을 선택된 호스트로만 제한할 수 있습니다. 관리자는 rpcbind에 대한 모든 호출을 기록할 수 있습니다.

자세한 내용은 rpcbind(1M) 매뉴얼 페이지를 참조하십시오.

zonename 감사 토큰 및 감사 정책 옵션

Solaris 영역 분할 기술은 Solaris Express 2/04 릴리스에서 새로 추가되었습니다. Solaris 영역 소프트웨어 분할 기술을 참조하십시오. 여기에서 설명하는 zonename 개선 내용은 Solaris Express 2/04 릴리스에서 소개되었습니다.

zonename 감사 토큰은 감사 이벤트가 발생한 영역의 이름을 기록합니다. zonename audit policy 옵션은 모든 영역에 대하여 감사 레코드에 zonename 토큰이 포함되어 있는지 판단합니다. 비전역 영역 사이에서 감사 클래스 사전 선택 범주가 다른 경우 각 영역에 대하여 감사 레코드를 분석하는 것이 좋습니다. zonename 감사 정책을 사용하면 영역별로 감사 레코드를 사후 선택할 수 있습니다.

System Administration Guide: Security Services의 "Auditing and Solaris Zones"를 참조하십시오.

자세한 내용은 audit.log(4), auditconfig(1M) 및 auditreduce(1M) 매뉴얼 페이지를 참조하십시오. 또한 System Administration Guide: Solaris Containers-Resource Management and Solaris Zones의 "Using Solaris Auditing in Zones"를 참조하십시오.

Solaris 암호화 프레임워크용 사용자 명령

이 기능은 Solaris Express 1/04 릴리스의 새로운 기능입니다.

digest, mac 및 encrypt 명령이 이제 각 명령에서 사용 가능한 알고리즘을 나열하는 옵션을 포함합니다. mac 및 encrypt 명령에 대하여 출력에 각 알고리즘이 허용하는 키 길이를 포함합니다. 또한 encrypt 및 decrypt 명령에서 -I <IV-file> 옵션이 제거되었습니다.

자세한 내용은 System Administration Guide: Security Services의 14장, "Solaris Cryptographic Framework (Tasks)" 및 "Protecting Files With the Solaris Cryptographic Framework"를 참조하십시오.

자세한 내용은 encrypt(1), digest(1) 및 mac(1) 매뉴얼 페이지를 참조하십시오.

IKE 구성 매개변수

이 기능은 Solaris Express 1/04 릴리스의 새로운 기능입니다.

/etc/inet/ike/config 파일에 재전송 매개변수와 패킷 시간 초과 매개변수가 추가되었습니다. 관리자는 매개변수를 사용하여 IKE Phase 1(기본 모드) 협상을 조정할 수 있습니다. Solaris IKE는 조정에 의하여 IKE 프로토콜을 다르게 구현하는 플랫폼과 상호 운용할 수 있습니다. 또한 관리자가 네트워크 간섭과 과도한 네트워크 트래픽을 조정하는 데 매개변수가 도움이 됩니다.

매개 변수에 대한 자세한 내용은 ike.config(4) 매뉴얼 페이지를 참조하십시오.

단순 인증 및 보안 레이어

이 기능은 Solaris Express 12/03 릴리스의 새로운 기능입니다.

응용 프로그램 개발자는 SASL(Simple Authentication and Security Layer)를 사용하여 인증 추가, 데이터 무결성 검사 및 연결 기반 프로토콜 암호화 등의 작업을 할 수 있습니다.

자세한 내용은 개발자를 위한 단순 인증 및 보안 계층를 참조하십시오.

또한 System Administration Guide: Security Services의 17장, "Using SASL"을 참조하십시오.

이제 감사 시간을 ISO 8601 형식으로 보고

이 기능은 Solaris Express 12/03 릴리스의 새로운 기능입니다.

감사 레코드의 파일 및 헤더 토큰이 이제 ISO 8601 형식으로 시간을 보고합니다. 예를 들어 파일 토큰에 대한 praudit 명령의 출력은 다음과 같습니다.

이전 파일 토큰:

file,Mon Oct 13 11:21:35 PDT 2003, + 506 msec, /var/audit/20031013175058.20031013182135.machine1

새 파일 토큰:

file,2003-10-13 11:21:35.506 -07:00, /var/audit/20031013175058.20031013182135.machine1

이전 헤더 토큰:

header,173,2,settppriv(2),,machine1, Mon Oct 13 11:23:31 PDT 2003, + 50 msec

새 헤더 토큰:

header,173,2,settppriv(2),,machine1, 2003-10-13 11:23:31.050 -07:00

XML 출력 또한 변경되었습니다. 예들 들어 파일 토큰에 대한 praudit -x 명령의 출력은 다음과 같습니다.

<file iso8601="2003-10-13 11:21:35.506 -07:00">
/var/audit/20031013175058.20031013182135.machine1</file>

이러한 변경을 수용하려면 praudit 출력을 구문 분석하는 사용자 정의 스크립트 또는 도구를 업데이트해야 할 수 있습니다.

자세한 내용은 System Administration Guide: Security Services의 27장, "Solaris Auditing (Overview)" 및 "Changes to Solaris Auditing for the Solaris 10 Release"를 참조하십시오.

기본 감사 및 보고 도구

이 기능은 Solaris Express 11/03 릴리스의 새로운 기능입니다.

기본 감사 및 보고 도구(BART)는 명령줄 유틸리티로 대상 시스템의 소프트웨어 내용에 대한 파일 수준에서 OEM, 고급 사용자 및 시스템 관리자가 검사하는 기능을 향상시킵니다. 이 유틸리티는 시스템에 설치된 항목의 정보를 수집하는 데 유용합니다. 또한 BART를 사용하여 설치된 시스템을 비교하고 이후 시스템의 내용을 비교할 수 있습니다.

자세한 내용은 System Administration Guide: Security Services의 5장, "Using the Basic Audit Reporting Tool (Tasks)"을 참조하십시오.

또한 bart_manifest(4), bart_rules(4) 및 bart(1M) 매뉴얼 페이지를 참조하십시오.

IPsec 및 Solaris 암호화 프레임워크

이 기능은 Solaris Express 9/03 릴리스의 새로운 기능입니다.

IPsec는 자체의 암호화 및 인증 모듈이 아닌 Solaris 암호화 프레임워크를 사용합니다. 이 모듈은 SPARC 플랫폼에 대하여 최적화되었습니다. 또한 지원되는 IPsec 알고리즘 및 IPsec 등록 정보를 쿼리하기 위한 새 ipsecalgs 명령줄 유틸리티와 API가 제공됩니다.

자세한 내용은 ipsecalgs(1M) 매뉴얼 페이지를 참조하십시오.

System Administration Guide: IP Services의 18장, "IP Security Architecture (Overview)" 및 "Authentication and Encryption Algorithms in IPsec”를 참조하십시오.

시스템 관리자용 Solaris 암호화 프레임워크

이 기능은 Software Express 파일럿 프로그램의 새로운 기능입니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다.

Solaris 암호화 프레임워크는 Solaris 환경에서 응용 프로그램에 대한 암호화 서비스를 제공합니다. 시스템 관리자는 cryptoadm 명령을 통하여 사용할 수 있는 암호화 알고리즘을 제어합니다. cryptoadm 명령을 사용하여 다음 기능을 수행할 수 있습니다.

• 암호화 서비스의 사용 가능한 제공자 관리

• 특정 제공자의 알고리즘을 사용 불가능하게 설정하는 등의 암호화 보안 정책 설정

프레임워크는 AES, DES/3DES, RC4, MD5, SHA-1, DSA, RSA 및 Diffie-Hellman 알고리즘용 플러그인과 함께 제공됩니다. 플러그인은 필요한 대로 추가 또는 제거할 수 있습니다.

encrypt, decrypt, digest 및 mac 명령은 모두 프레임워크의 암호화 알고리즘을 사용합니다.

자세한 내용은 System Administration Guide: Security Services의 13장, "Solaris Cryptographic Framework (Overview)"를 참조하십시오.

또한 다음 매뉴얼 페이지를 참조하십시오.

• cryptoadm(1M)

• kcfd(1M)

• libpkcs11(3LIB)

• pkcs11_kernel(5)

• pkcs11_softtoken(5)

원격 감사 로그

이 기능은 Software Express 파일럿 프로그램의 새로운 기능입니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다.

바이너리 감사 로그에 감사 이벤트를 기록하는 것 외에 Solaris 릴리스를 사용하여 감사 이벤트를 syslog에 기록할 수 있습니다.

syslog 데이터를 생성하면 워크스테이션, 서버, 방화벽 및 라우터 등을 포함하여 다양한 Solaris 및 Solaris가 아닌 환경에서 syslog 메시지에 사용 가능한 동일한 관리 및 분석 도구를 사용할 수 있습니다. syslog.conf를 사용하여 감사 메시지를 원격 저장소로 라우팅하면 공격자가 로그 데이터를 변경하거나 삭제하지 못하도록 보호할 수 있습니다. 그러나 syslog 옵션은 감사 레코드 데이터의 요약만 제공합니다. 또한 syslog 데이터가 원격 시스템에 저장되면 데이터는 서비스 거부 및 false 또는 소스 주소의 변조나 같은 “속임” 네트워크 공격에 감염되기 쉽습니다.

자세한 내용은 System Administration Guide: Security Services의 27장, “Solaris Auditing (Overview)” 및 “Audit Files”를 참조하십시오.

또한 다음 매뉴얼 페이지를 참조하십시오.

• audit(1M)

• audit.log(4)

• audit_control(4)

• audit_syslog(5)

• syslog(3C)

• syslog.conf(4)

FTP 서버 개선

이 기능은 Software Express 파일럿 프로그램의 새로운 기능입니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다.

FTP 서버에서 다음을 포함하여 확장성 및 전송 로깅 기능이 강화되었습니다.

• 바이너리 다운로드에 sendfile() 기능이 사용됩니다.

• ftpaccess 파일에서 다음의 기능이 지원됩니다.

  • flush-wait가 다운로드 또는 디렉토리 나열의 끝에서 발생하는 작동을 제어합니다.

  • ipcos는 제어 또는 데이터 연결에 대한 IPQoS(IP Quality of Service)를 설정합니다.

  • passive ports는 커널이 수신할 TCP 포트를 선택할 수 있도록 구성될 수 있습니다.

  • quota-info를 사용하여 할당량 정보를 불러올 수 있습니다.

  • recvbuf는 바이너리 전송용으로 사용되는 수신(업로드) 버퍼 크기를 설정합니다.

  • rhostlookup를 사용하여 원격 호스트 이름 조회를 사용 또는 사용하지 않도록 설정할 수 있습니다.

  • sendbuf는 바이너리 전송용으로 사용되는 송신(다운로드) 버퍼 크기를 설정합니다.

  • xferlog format는 전송 로그 항목의 형식을 사용자 정의합니다.

• 새 -4 옵션을 사용하면 FTP 서버가 독립형으로 실행될 때 오직 IPv4 소켓의 연결만 수신하게 됩니다.

FTP 클라이언트 및 서버가 이제 커버로스를 지원합니다. 자세한 내용은 ftp(4) 매뉴얼 페이지 및 System Administration Guide: Security Services의 “Kerberos User Commands”를 참조하십시오.

또한 ftpcount와 ftpwho가 이제 -v 옵션을 지원하는데, 이 옵션에서는 가상 호스트 ftpaccess 파일에 정의된 FTP 서버 클래스에 대한 사용자 카운트와 처리 정보를 표시합니다.

변경 사항에 대한 자세한 내용은 다음의 매뉴얼 페이지를 참조하십시오.

• in.ftpd(1M)

• ftpaccess(4)

• ftpcount(1)

• ftpwho(1)

• sendfile(3EXT)

FTP 클라이언트

이 기능은 Software Express 파일럿 프로그램의 새로운 기능입니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다.

Solaris 소프트웨어에서 FTP 클라이언트가 변경되었습니다. 기본적으로 Solaris FTP 서버에 연결된 Solaris FTP 클라이언트는 디렉토리 목록 뿐 아니라 ls 명령을 사용하는 경우 일반 파일을 표시합니다. Solaris 운영 체제에 FTP 서버가 실행되지 않는 경우 디렉토리는 목록에 표시되지 않습니다.

Solaris가 아닌 FTP 서버에 연결할 때 기본 Solaris 작동을 허용하려면 각 Solaris 클라이언트에 있는 /etc/default/ftp 파일을 편집합니다. 개별 사용자에 대하여 변경하려면 FTP_LS_SENDS_NLST 환경 변수를 설정할 수 있습니다.

자세한 내용은 ftp(4) 매뉴얼 페이지를 참조하십시오.

FTP 클라이언트 및 서버가 이제 커버로스를 지원합니다. 자세한 내용은 ftp(4) 매뉴얼 페이지 및 System Administration Guide: Security Services의 “Kerberos User Commands”를 참조하십시오.

Sun Crypto Accelerator 4000 보드에서의 인터넷 키 교환(IKE) 키 저장소

이 기능은 Software Express 파일럿 프로그램과 Solaris 9 12/03 릴리스의 새로운 기능입니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다.

IKE는 이제 IPv6뿐 아니라 IPv4 네트워크에서도 실행됩니다. IPv6 구현의 특정 키워드에 대한 자세한 내용은 ifconfig(1M) 및 ike.config(4) 매뉴얼 페이지를 참조하십시오.

Sun Crypto Accelerator 4000 보드를 연결한 경우 IKE가 계산 집약적인 작업을 보드로 옮길 수 있으므로 운영 체제가 다른 작업을 할 수 있습니다. 또한 IKE는 연결된 보드를 사용하여 공개 키, 개인 키 및 공개 인증서를 저장할 수 있습니다. 별도의 하드웨어에 있는 키 저장소는 추가적인 보안을 제공합니다.

자세한 내용은 ikecert(1M) 매뉴얼 페이지를 참조하십시오.

또한 System Administration Guide: IP Services의 다음 부분을 참조하십시오.

• “IP Security Architecture(Overview)”

• “Internet Key Exchange(Overview)”

• “IKE and Hardware Storage”

• “Configuring IKE(Tasks)”

• “Configuring IKE to Find Attached Hardware”

IKE 하드웨어 가속

이 기능은 Software Express 파일럿 프로그램과 Solaris 9 4/03 릴리스의 새로운 기능입니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다.

Sun Crypto Accelerator 1000 카드와 Sun Crypto Accelerator 4000 카드를 사용하여 IKE에서 공개 키 작업을 가속화할 수 있습니다. 해당 작업이 카드로 오프로드됩니다. 작업을 오프로드하면 암호화가 가속화되며 Solaris 운영 체제 자원에 대한 수요가 감소됩니다.

IKE에 대한 자세한 내용은 System Administration Guide: IP Services에서 다음을 참조하십시오.

• “Configuring IKE to Find Attached Hardware”

• “Internet Key Exchange(Overview)”

• “IKE and Hardware Acceleration”

• “Configuring IKE(Tasks)”

• “Configuring IKE to Find Attached Hardware”

ipseckey 기능 강화

이 기능은 Software Express 파일럿 프로그램의 새로운 기능입니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다.

시스템에 IPsec 또는 IKE를 설치한 네트워크 관리자에게 ipseckey 구문 분석기는 더욱 명확한 도움을 제공합니다. ipseckey monitor 명령은 이제 각 이벤트에 대한 타임스탬프를 제공합니다.

자세한 내용은 ipseckey(1M) 매뉴얼 페이지를 참조하십시오.

루프백 연결을 통한 자격 증명 전달

이 기능은 Software Express 파일럿 프로그램의 새로운 기능입니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다.

Solaris 릴리스에서는 ucred_t *가 프로세스의 자격 증명에 대한 요약 표현으로 소개되었습니다. 이들 자격 증명은 도어 서버의 door_ucred() 또는 루프백 연결에 대한 getpeerucred ()를 사용하여 검색할 수 있습니다. 자격 증명은 recvmsg()를 사용하여 검색할 수 있습니다.

자세한 내용은 socket.h(3HEAD) 매뉴얼 페이지를 참조하십시오.

감사 헤더 토큰에 호스트 정보 포함

이 기능은 Software Express 파일럿 프로그램의 새로운 기능입니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다.

감사 레코드의 헤더 토큰이 호스트의 이름을 포함하도록 확장되었습니다.

이전 헤더는 다음과 같이 표시됩니다.

header,131,4,login - local,,Wed Dec 11 14:23:54 2002, + 471 msec

새 확장 헤더는 다음과 같이 표시됩니다.

header,162,4,login - local,,example-hostname,
Fri Mar 07 22:27:49 2003, + 770 msec

praudit 출력을 구문 분석하는 사용자 정의 스크립트 또는 도구를 업데이트해야 이러한 변경을 반영할 수 있습니다.

자세한 내용은 System Administration Guide: Security Services의 30장, “Solaris Auditing (Reference)” 및 “ header Token”을 참조하십시오.

감사 기능 강화

이 기능은 Software Express 파일럿 프로그램과 Solaris 9 8/03 릴리스의 새로운 기능입니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다.

Solaris 소프트웨어의 강화된 감사 기능을 사용하면 트레일 소음이 줄며 관리자가 XML 스크립팅을 사용하여 트레일을 구문 분석할 수 있습니다. 향상된 기능은 다음과 같습니다.

• 읽기 전용 이벤트에 대해 공용 파일은 더 이상 감사되지 않습니다. auditconfig 명령에 대한 public 정책 플래그는 공용 파일이 감사되는지 여부를 제어합니다. 공용 객체를 감사하지 않으면 감사 트레일이 상당히 감소됩니다. 그러므로 민감한 파일을 읽으려는 시도를 모니터하기가 더 쉽습니다.

• praudit 명령에는 추가 출력 형식인 XML이 있습니다. XML 형식을 사용하면 출력물을 브라우저로 볼 수 있습니다. 또한 XML 형식은 보고서용 XML 스크립팅에 대한 소스를 제공합니다. praudit(1M) 매뉴얼 페이지를 참조하십시오.

• 감사 클래스의 기본 설정이 재구성되었습니다. 감사 메타 클래스는 보다 세부적인 감사 클래스를 지원합니다. audit_class(4) 매뉴얼 페이지를 참조하십시오.

• bsmconv 명령이 더 이상 Stop-A 키 조합을 사용하지 않도록 설정합니다. Stop-A 이벤트는 보안을 유지하기 위해 감사됩니다.

자세한 내용은 System Administration Guide: Security Services의 다음 내용을 참조하십시오.

• “Solaris Auditing(Reference)”

• “Definitions of Audit Classes”

• “praudit Command”

• “Solaris Auditing(Overview)”

• “Audit Terminology and Concepts”

• “Changes to Solaris Auditing for the Solaris 10 Release”

새 감사 토큰 path_attr

이 기능은 Software Express 파일럿 프로그램의 새로운 기능입니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다.

path_attr 감사 토큰에는 객체에 대한 액세스 경로 정보가 포함됩니다. 액세스 경로는 경로 토큰 객체 이하의 속성 파일 순서를 지정합니다. openat()와 같은 시스템 호출이 속성 파일에 액세스합니다. 확장된 파일 속성에 대한 자세한 내용은 fsattr(5) 매뉴얼 페이지를 참조하십시오.

path_attr 토큰에는 세 가지 필드가 있습니다.

• 이 토큰을 path_attr 토큰으로 식별하는 토큰 ID 필드

• 속성 파일 경로의 섹션 수를 표시하는 계수

• 하나 이상의 null 종료된 문자열

praudit 명령은 다음과 같이 path_attr 토큰을 표시합니다.

path_attr,1,attr_file_name

자세한 내용은 System Administration Guide: Security Services의 30장, “Solaris Auditing (Reference)” 및 “path_attr Token”을 참조하십시오.

비밀번호 내력 검사

이 기능은 Software Express 파일럿 프로그램의 새로운 기능입니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다.

로컬 파일에 정의된 로그인 계정에 대하여 이전에 변경된 26개까지의 비밀번호 내력을 사용할 수 있습니다. 사용자가 비밀번호를 변경할 때 새 비밀번호가 이력에 있는 비밀번호 중 하나와 일치하는 경우 변경이 실패하게 됩니다. 또한 로그인 이름 검사를 사용하지 않도록 설정할 수 있습니다.

자세한 내용은 passwd(1) 매뉴얼 페이지를 참조하십시오.

crypt() 기능 강화

이 기능은 Software Express 파일럿 프로그램과 Solaris 9 12/02 릴리스의 새로운 기능입니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다.

비밀번호 암호화는 침입자가 비밀번호를 읽지 못하게 보호합니다. 소프트웨어에서 현재 다음 3가지 강력한 비밀번호 암호화 모듈이 사용 가능합니다.

• BSD(Berkeley Software Distribution) 시스템과 호환되는 Blowfish 버전

• BSD 및 Linux 시스템과 호환되는 MD5(Message Digest 5) 버전

• 다른 Solaris 시스템과 호환되는 강력한 MD5 버전

새 암호화 모듈을 사용하여 사용자 비밀번호를 보호하는 방법은 System Administration Guide: Security Services의 다음 부분을 참조하십시오.

• “Controlling Access to Systems(Tasks)”

• “Managing Machine Security(Overview)”

• “Changing the Default Algorithm for Password Encryption”

모듈의 성능에 대한 자세한 내용은 crypt_bsdbf(5), crypt_bsdmd5(5) 및 crypt_sunmd5(5) 매뉴얼 페이지를 참조하십시오.