보안 기능 향상

Solaris 소프트웨어에는 이전 Solaris 9 릴리스에 있던 다음 보안 기능 향상이 포함됩니다.

• sadmind 보안 레벨 향상

• 커버로스 기능 향상

• Sun Crypto Accelerator 4000 보드에서의 인터넷 키 교환(IKE) 키 저장소

• 인터넷 키 교환(IKE) 하드웨어 가속

• 감사 강화 기능

• 스마트 카드 터미널 인터페이스

• 향상된 crypt() 기능

• pam_ldap의 비밀번호 관리 기능

• PAM (플러그형 인증 모듈) 향상

sadmind 보안 레벨 향상

sadmind 명령의 보안을 향상시키기 위해 기본 보안 레벨이 2(DES)로 향상되었습니다. sadmind가 필요하지 않은 경우에는 inetd.conf 파일에서 이 항목을 주석으로 처리하십시오.

자세한 내용은 sadmind(1M) 설명서 페이지를 참조하십시오.

커버로스 기능 향상

이 기능은 Solaris 9 12/03 릴리스의 새 기능입니다.

Solaris 커버로스 키 배포 센터(KDC)는 이제 MIT 커버로스 버전 1.2.1을 기반으로 합니다. KDC는 현재의 해시 기반 데이터베이스보다 훨씬 안정적인 btree 기반의 데이터베이스를 기본으로 사용합니다.

자세한 내용은 kdc.conf(4) 설명서 페이지를 참조하십시오.

Sun Crypto Accelerator 4000 보드에서의 인터넷 키 교환(IKE) 키 저장소

이 기능은 Solaris 9 12/03 릴리스의 새 기능입니다.

IKE는 IPv4 및 IPv6 네트워크에서 실행됩니다. IPv6 구현의 특정 키워드에 대한 내용은 ifconfig(1M) 및 ike.config(4) 설명서 페이지를 참조하십시오.

Sun^TM Crypto Accelerator 4000 보드를 연결할 경우 IKE는 컴퓨터 용량을 많이 차지하는 작업을 오프로드함으로써 운영체제가 다른 작업을 수행할 수 있도록 합니다. 또한 IKE는 연결된 보드를 사용하여 공개 키, 개인 키 및 공개 인증서를 저장할 수 있습니다. 별도의 하드웨어에 있는 키 저장소는 추가적인 보안을 제공합니다.

자세한 내용은 IPsec and IKE Administration Guide 및 ikecert(1M) 설명서 페이지를 참조하십시오.

인터넷 키 교환(IKE) 하드웨어 가속

이 기능은 Solaris 9 4/03 릴리스의 새 기능입니다.

Sun Crypto Accelerator 1000 카드를 사용하여 IKE에서 공개 키 작업을 가속화할 수 있습니다. 해당 작업이 카드로 오프로드됩니다. 오프로드하면 암호화가 가속화되고 운영 체제 자원에 대한 요구가 감소됩니다.

IKE에 대한 자세한 내용은 IPsec and IKE Administration Guide를 참조하십시오.

감사 강화 기능

이 기능은 Solaris 9 8/03 릴리스의 새 기능입니다.

Solaris 릴리스의 향상된 감사 기능을 사용하면 트레일 소음이 줄며 관리자가 XML 스크립팅을 사용하여 트레일을 구문 분석할 수 있습니다. 향상된 기능은 다음과 같습니다.

• 읽기 전용 이벤트에 대해 공용 파일은 더 이상 감사하지 않습니다. auditconfig 명령에 대한 public 정책 플래그는 공용 파일이 감사되는지 여부를 제어합니다. 공용 객체를 감사하지 않으면 감사 트레일이 상당히 감소됩니다. 그러므로 민감한 파일을 읽으려는 시도를 모니터하기가 더 쉽습니다.

• praudit 명령에는 추가 출력 형식인 XML이 있습니다. XML 형식을 사용하면 출력물을 브라우저로 볼 수 있습니다. 또한 XML 형식은 보고서용 XML 스크립팅에 대한 소스를 제공합니다. praudit(1M) 설명서 페이지를 참조하십시오.

• 감사 클래스의 기본 설정이 재구성되었습니다. 감사 메타클래스는 보다 세부적인 감사 클래스를 지원합니다. audit_class(4) 설명서 페이지를 참조하십시오.

• bsmconv 명령은 이제 Stop-A 키의 사용을 비활성화하지 않습니다. Stop-A 이벤트는 보안을 유지하기 위해 감사됩니다.

자세한 내용은 System Administration Guide: Security Services를 참조하십시오.

스마트 카드 터미널 인터페이스

이 기능은 Solaris 9 8/03 릴리스의 새 기능입니다.

Solaris 스마트 카드 인터페이스는 스마트 카드 터미널을 위한 공용 인터페이스 집합입니다. 스마트 카드 인터페이스를 참조하십시오.

향상된 crypt() 기능

이 기능은 Solaris 9 12/02 릴리스의 새 기능입니다.

비밀번호 암호화는 침입자가 비밀번호를 읽지 못하게 보호합니다. 소프트웨어에서 현재 다음 3가지 강력한 비밀번호 암호화 모듈이 사용 가능합니다.

• BSD (Berkeley Software Distribution) 시스템과 호환되는 Blowfish 버전

• BSD 및 Linux 시스템과 호환되는 MD5 (Message Digest 5) 버전

• 다른 Solaris 시스템과 호환되는 강력한 MD5 버전

이러한 새 암호화 모듈을 사용하여 사용자 비밀번호를 보호하는 방법에 대한 자세한 내용은 System Administration Guide: Security Services를 참조하십시오. 모듈의 강도에 대한 자세한 내용은 crypt_bsdbf(5), crypt_bsdmd5(5) 및 crypt_sunmd5(5) 설명서 페이지를 참조하십시오.

pam_ldap의 비밀번호 관리 기능

이 기능은 Solaris 9 12/02 릴리스의 새 기능입니다.

pam_ldap 비밀번호 관리 기능은 Sun ONE Directory Server (이전 명칭은 iPlanet^TM Directory Server)와 함께 사용할 때 LDAP 이름 지정 서비스의 전체적 보안을 강화합니다. 구체적으로 비밀번호 관리 기능은 다음을 수행합니다.

• 비밀번호 에이징 및 만료를 추적할 수 있도록 합니다.

• 사용자가 너무 평범한 비밀번호 또는 이전에 사용한 비밀번호를 선택하지 않도록 합니다.

• 비밀번호 만료 시기가 가까워지면 사용자에게 경고합니다.

• 반복해서 로그인에 실패한 사용자를 잠급니다.

• 허가된 시스템 관리자가 아닌 사용자가 초기화된 계정을 비활성화하지 못하게 합니다.

Solaris 이름 지정 및 디렉토리 서비스에 대한 자세한 내용은 System Administration Guide: Naming and Directory Services (DNS, NIS, and LDAP)를 참조하십시오. Solaris 보안 기능에 대한 자세한 내용은 System Administration Guide: Security Services를 참조하십시오.

PAM (플러그형 인증 모듈) 향상

이 기능은 Solaris 9 12/02 릴리스의 새 기능입니다.

PAM 프레임워크는 새 제어 플래그를 포함하여 확장되었습니다. 새 제어 플래그는 추가 스택 처리를 생략하는 기능을 제공합니다. 이전 필수 모듈이 실패하지 않거나 현재 서비스 모듈이 성공한 경우 추가 스택 처리 생략이 가능합니다.

이 변경 사항에 대한 자세한 내용은 System Administration Guide: Security Services를 참조하십시오.