Solaris 10 11/06 릴리스부터 초기 설치 중에 Secure Shell을 제외한 모든 네트워크 서비스가 비활성화되게 하거나 로컬 요청에만 응답하도록 네트워크 보안 설정을 변경할 수 있는 옵션이 있습니다. 이 옵션은 원격 공격자가 악용할 수 있는 잠재적 위험성을 최소화합니다. 또한 고객이 원하는 서비스만 사용할 수 있도록 기초를 제공합니다. 이 보안 옵션은 초기 설치 중에만 사용 가능하고 업그레이드 중에는 사용할 수 없습니다. 업그레이드를 하면 이전에 설정된 모든 서비스가 유지 보수됩니다. 필요한 경우 업그레이드한 후 netservices 명령을 사용하여 네트워크 서비스를 제한할 수 있습니다.
사용 중인 설치 프로그램에 따라 네트워크 서비스를 제한하거나 서비스를 기본적으로 사용하도록 선택할 수 있습니다.
Solaris 대화식 설치에서는 이전 Solaris 릴리스와 마찬가지로 네트워크 서비스를 기본적으로 사용하도록 옵션을 선택할 수 있습니다. 네트워크 서비스를 제한하는 옵션을 선택할 수도 있습니다. 수동 설치에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: 기본 설치의 2 장, UFS 파일 시스템용 Solaris 설치 프로그램으로 설치(작업)를 참조하십시오.
자동화된 JumpStart 설치의 경우 sysidcfg 파일에서 새 키워드 service_profile을 사용하여 이 보안 제한을 설정할 수 있습니다. 이 키워드에 대한 자세한 내용은 Oracle Solaris 10 9/10 설치 설명서: 네트워크 기반 설치의 service_profile 키워드를 참조하십시오.
네트워크 보안을 제한하도록 선택한 경우 여러 서비스를 완전히 사용할 수 없게 됩니다. 그 외의 서비스는 계속 활성화되지만 로컬 연결로만 제한됩니다. Secure Shell은 완전히 활성화된 상태로 유지됩니다.
예를 들어, 다음 표에서는 Solaris 10 11/06 릴리스에서 로컬 연결로 제한되는 네트워크 서비스를 나열합니다.
표 4–6 Solaris 10 11/06 SMF 제한된 서비스
서비스 |
FMRI |
등록 정보 |
---|---|---|
rpcbind |
svc:/network/rpc/bind |
config/local_only |
syslogd |
svc:/system/system-log |
config/log_from_remote |
sendmail |
svc:/network/smtp:sendmail |
config/local_only |
smcwebserver |
svc:/system/webconsole:console |
options/tcp_listen |
WBEM |
svc:/application/management/wbem |
options/tcp_listen |
X server |
svc:/application/x11/x11-server |
options/tcp_listen |
dtlogin |
svc:/application/graphical-login/cde-login |
dtlogin/args |
ToolTalk |
svc:/network/rpccde-ttdbserver:tcp |
proto=ticotsord |
dtcm |
svc:/network/rpccde-calendar-manager |
proto=ticits |
BSD print |
svc:/application/print/rfc1179:default |
bind_addr=localhost |
제한된 네트워크 보안 기능을 사용하면 영향받는 모든 서비스는 SMF(Service Management Framework)에 의해 제어됩니다. 초기 설치 후에는 svcadm 및 svccfg 명령을 사용하여 개별 네트워크 서비스를 활성화할 수 있습니다.
/var/svc/profile에 있는 SMF 업그레이드 파일에서 netservices 명령을 호출하여 제한된 네트워크에 액세스할 수 있습니다. netservices 명령을 사용하여 서비스 시작 동작을 전환할 수 있습니다.
네트워크 서비스를 수동으로 비활성화하려면 다음 명령을 실행합니다.
# netservices limited |
이 명령은 업그레이드된 시스템에서 사용 가능하며 기본적으로 아무것도 변경되지 않습니다. 이 명령을 사용하여 개별 서비스를 활성화한 후 제한된 상태를 재설정할 수도 있습니다.
이전 Solaris 릴리스에서와 마찬가지로 다음 명령을 실행하여 기본 서비스를 활성화할 수 있습니다.
# netservices open |
보안 설정 수정에 대한 자세한 내용은 System Administration Guide: Basic Administration의 How to Create an SMF Profile을 참조하십시오 . 또한 다음 매뉴얼 페이지를 참조하십시오.
netservices(1M)
svcadm(1M)
svccfg(1M) 명령