보안 기능 향상

Solaris 소프트웨어는 다음과 같은 보안 기능 향상을 포함합니다. sadmind 보안 수준 올리기, 커버로스 기능 향상 및 Sun Crypto Accelerator 4000 보드에서의 인터넷 키 교환(IKE) 키 저장소는 Solaris 9 12/03 릴리스에 새로 추가되었습니다. 이전 릴리스의 보안 기능은 다음과 같습니다.

• 인터넷 키 교환(IKE) 하드웨어 가속

• 감사 강화 기능

• 스마트 카드 터미널 인터페이스

• 향상된 crypt() 기능

• pam_ldap의 암호 관리 기능

• PAM (플러그형 인증 모듈) 향상

sadmind 보안 수준 올리기

sadmind 명령을 사용하여 보안을 향상시켜 기본 보안 수준이 2 (DES)로 높아졌습니다. sadmind가 필요 없는 경우 inetd.conf 파일을 벗어난 항목을 주석 처리합니다.

자세한 내용은 sadmind(1M) 설명서 페이지를 참조하십시오.

커버로스 기능 향상

이 기능은 Solaris 9 12/03 릴리스의 새 기능입니다.

Solaris 커버로스 KDC (Kerberos Key Distribution Center)는 이제 MIT 커버로스 버전 1.2.1에 기초합니다. 이제 KDC는 기본적으로 btree 기반의 데이터베이스로서 기존 해시 기반 데이터베이스보다 안정적입니다.

자세한 내용은 kdc.conf(4) 설명서 페이지를 참조하십시오.

Sun Crypto Accelerator 4000 보드에서의 인터넷 키 교환(IKE) 키 저장소

이 기능은 Solaris 9 12/03 릴리스의 새 기능입니다.

IKE는 IPv4 및 IPv6 네트워크에서 실행됩니다. IPv6 구현의 특정 키워드에 대한 내용은 ifconfig (1M) 및 ike.config(4) 설명서 페이지를 참조하십시오.

Sun^TM Crypto Accelerator 4000 보드를 연결할 경우 IKE는 컴퓨터 용량을 많이 차지하는 작업을 오프로드함으로써 운영체제가 다른 작업을 수행할 수 있도록 합니다. 또한 IKE는 연결된 보드를 사용하여 공개 키, 개인 키 및 공개 인증서를 저장할 수 있습니다. 별도의 하드웨어에 있는 키 저장소는 추가적인 보안을 제공합니다.

자세한 내용은 IPsec and IKE Administration Guide 및 ikecert(1M) 설명서 페이지를 참조하십시오.

인터넷 키 교환(IKE) 하드웨어 가속

이 기능은 Solaris 9 4/03 릴리스의 새 기능입니다.

Sun Crypto Accelerator 1000 카드를 사용하여 IKE에서 공개 키 작업을 가속화할 수 있습니다. 해당 작업이 카드로 오프로드됩니다. 오프로드하면 암호화가 가속화되고 운영 체제 자원에 대한 요구가 감소됩니다.

IKE에 대한 내용은 IPsec and IKE Administration Guide를 참조하십시오.

감사 강화 기능

이 기능은 Solaris 9 8/03 릴리스의 새 기능입니다.

Solaris 릴리스의 향상된 감사 기능을 사용하면 트레일 소음이 줄며 관리자가 XML 스크립팅을 사용하여 트레일을 구문 분석할 수 있습니다. 향상된 기능은 다음과 같습니다.

• 읽기 전용 이벤트에 대해 공용 파일은 더 이상 감사하지 않습니다. auditconfig 명령에 대한 public 정책 플래그는 공용 파일이 감사되는지 여부를 제어합니다. 공용 객체를 감사하지 않으면 감사 트레일이 상당히 감소됩니다. 그러므로 민감한 파일을 읽으려는 시도를 모니터하기가 더 쉽습니다.

• praudit 명령에는 추가 출력 형식인 XML이 있습니다. XML 형식을 사용하면 출력물을 브라우저로 볼 수 있습니다. 또한 XML 형식은 보고서용 XML 스크립팅에 대한 소스를 제공합니다. praudit(1M) 설명서 페이지를 참조하십시오.

• 감사 클래스의 기본 설정이 재구성되었습니다. 감사 메타클래스는 보다 세부적인 감사 클래스를 지원합니다. audit_class(4) 설명서 페이지를 참조하십시오.

• bsmconv 명령은 이제 Stop-A 키의 사용을 비활성화하지 않습니다. Stop-A 이벤트는 보안을 유지하기 위해 감사됩니다.

자세한 내용은 System Administration Guide: Security Services를 참조하십시오.

스마트 카드 터미널 인터페이스

이 기능은 Solaris 9 8/03 릴리스의 새 기능입니다.

Solaris 스마트 카드 인터페이스는 스마트 카드 터미널을 위한 공용 인터페이스 집합입니다. 스마트 카드 인터페이스를 참조하십시오.

향상된 crypt() 기능

이 기능은 Solaris 9 12/02 릴리스의 새 기능입니다.

암호 암호화는 침입자가 암호를 읽지 못하게 보호합니다. 소프트웨어에서 현재 다음 3가지 강력한 암호 암호화 모듈이 사용 가능합니다.

• BSD (Berkeley Software Distribution) 시스템과 호환되는 Blowfish 버전

• BSD 및 Linux 시스템과 호환되는 MD5 (Message Digest 5) 버전

• 다른 Solaris 시스템과 호환되는 강력한 MD5 버전

이러한 새 암호화 모듈을 사용하여 사용자 암호를 보호하는 방법에 대한 자세한 내용은 System Administration Guide: Security Services를 참조하십시오. 모듈 수준에 대한 자세한 내용은 crypt_bsdbf( 5), crypt_bsdmd5(5) 및 crypt_sunmd5(5) 설명서 페이지를 참조하십시오.

pam_ldap의 암호 관리 기능

이 기능은 Solaris 9 12/02 릴리스의 새 기능입니다.

pam_ldap 암호 관리 기능은 Sun ONE Directory Server (이전 명칭은 iPlanet^TM Directory Server)와 함께 사용할 때 LDAP 이름 지정 서비스의 전체적 보안을 강화합니다. 구체적으로 암호 관리 기능은 다음을 수행합니다.

• 암호 에이징 및 만료를 추적할 수 있도록 합니다.

• 사용자가 너무 평범한 암호 또는 이전에 사용한 암호를 선택하지 않도록 합니다.

• 암호 만료 시기가 가까워지면 사용자에게 경고합니다.

• 반복해서 로그인에 실패한 사용자를 잠급니다.

• 허가된 시스템 관리자가 아닌 사용자가 초기화된 계정을 비활성화하지 못하게 합니다.

Solaris 이름 지정 및 디렉토리 서비스에 대한 자세한 내용은 System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)를 참조하십시오. Solaris 기능에 대한 자세한 내용은 System Administration Guide: Security Services를 참조하십시오.

PAM (플러그형 인증 모듈) 향상

이 기능은 Solaris 9 12/02 릴리스의 새 기능입니다.

PAM 프레임워크는 새 제어 플래그를 포함하여 확장되었습니다. 새 제어 플래그는 추가 스택 처리를 생략하는 기능을 제공합니다. 이전 필수 모듈이 실패하지 않거나 현재 서비스 모듈이 성공한 경우 추가 스택 처리 생략이 가능합니다.

이 변경 사항에 대한 자세한 내용은 System Administration Guide: Security Services를 참조하십시오.