3장 설정 지침

Solaris^TM for ISPs^TM는 ISP에 대한 플랫폼 확장 제품 및 서비스 집합과 함께 핵심 인프라구조를 제공합니다. 이 장에서는 Solaris for ISPs 확장 제품과 서비스 설치를 위한 네트워크 호스트 구성 지침을 다룹니다. 이 구성 정보는 성공적인 설치에 반드시 필요합니다. 주의 깊게 읽어 보십시오.

설치 시나리오

Solaris for ISPs 설치 전에 반드시 네트워크를 설계해야 합니다. 이 절에서는 Solaris for ISPs 네트워크 호스트 설정을 테스트한 두 가지 예제를 다룹니다. 환경에 가장 적합한 네트워크 호스트 설정 예제를 사용할 수 있습니다.

네트워크 설정

이 절에서는 기본 및 확장 예제 네트워크 설정과 설정에 대한 하드웨어 구성 요구사항 및 권고 사항을 다룹니다.

---

주 -

여기에서는 예제 네트워크 설정에 방화벽이 없다고 가정합니다. 인터넷 방화벽 제품을 Solaris for ISPs 호스트에 대한 네트워크 트래픽 제어에 사용하는 경우, 이 호스트를 제어하는 보안 정책을 검토하여 해당 유형의 통신이 허용되는지 확인해야 합니다. 이 설명서에서는 인터넷 방화벽에 대한 권고 사항은 제공하지 않습니다.

---

기본 설정

이 그림은 기본 예제 설정을 보여 줍니다.

그림 3-1 기본 구성

기본 하드웨어 요구사항

• 고급 워크스테이션 세 대

• 주 DNS 서버와 보조 DNS 서버

• 호스트는 반드시 인터넷에 연결된 네트워크와 연결되어 있어야 합니다.

• 네트워크의 서버를 사용하여 클라이언트 호스트로 작동하도록 할 수 있습니다.

• Sun Internet Administrator 및 Sun Internet Services Monitor 클라이언트 소프트웨어의 클라이언트 호스트의 웹 브라우저가 필요합니다.

기본 예제 설정 설계

세 개의 서버를 Host A, Host B 및 Host C라고 부르기로 합니다. 예를 들면, 호스트 서버를 다음과 같이 구성할 수 있습니다.

• Host A: 이 서버를 서비스 호스트로 작동하도록 구성합니다. SWS, Sun Internet FTP Server를 설치하고 호스트를 주 DNS 서버로 구성합니다.

• Host B: 이 서버를 콘솔 호스트로 작동하도록 구성합니다. Sun Internet Administrator, Sun Directory Services 및 Sun Internet Services Monitor를 설치합니다.

• Host C: 이 서버를 서비스 호스트로 작동하도록 구성합니다. Sun Internet News Server를 설치하고 호스트를 보조 DNS 서버로 구성합니다.

  ---

  주 -

  이 예제 설정에서 다루는 DNS 서버 구성은 제안 사항에 지나지 않습니다. DNS 서버로 작동하는 호스트에 Solaris for ISPs 확장 제품 및 서비스를 반드시 설치할 필요는 없습니다. 대부분의 확장 제품과 서비스에는 일상적인 이름 조회 수행 기능만 필요합니다.

  ---

확장 설정

이 그림은 확장 예제 네트워크 설정을 보여 줍니다.

그림 3-2 확장 구성

확장 하드웨어 요구사항

• 네 개의 고급 워크스테이션

• 주 DNS 서버와 보조 DNS 서버

• 호스트는 반드시 인터넷에 연결된 네트워크에 있어야 합니다.

• 네트워크의 어떤 서버든지 사용하여 클라이언트 호스트로 작동하도록 할 수 있습니다.

• Sun Internet Administrator 및 Sun Internet Services Monitor 클라이언트 소프트웨어를 위해 클라이언트 호스트의 웹 브라우저가 필요합니다.

확장 예제 설정 설계

네 개의 서버를 Host A, Host B, Host C 및 Host D로 부르기로 합니다. 예를 들면, 호스트 서버를 다음과 같이 구성할 수 있습니다.

• Host A: 이 서버를 서비스 호스트로 작동하도록 구성합니다. SWS, Sun Internet FTP Server를 설치하고 호스트를 주 DNS 서버로 구성합니다.

• Host B: 이 서버를 콘솔 호스트로 작동하도록 구성합니다. Sun Internet Services Monitor를 설치하고 호스트를 보조 DNS 서버로 구성합니다.

• Host C: 이 서버를 서비스 호스트로 작동하도록 구성합니다. Sun Internet News Server를 설치합니다.

• Host D: 이 서버를 콘솔 호스트로 작동하도록 구성합니다. 이 호스트에 Sun Internet Administrator와 Sun Directory Services를 설치합니다.

  ---

  주 -

  이 예제 설정에서 다루는 DNS 서버 구성은 제안 사항에 지나지 않습니다. DNS 서버로 작동하는 호스트에 Solaris for ISPs 확장 제품 및 서비스를 반드시 설치할 필요는 없습니다. 대부분의 확장 제품과 서비스에는 일상적인 이름 조회 수행 기능만 필요합니다.

  ---

---

주 -

네트워크 호스트 설정을 설계한 다음 Solaris for ISPs 설치용 호스트를 준비합니다. 설계된 것과 같이 호스트를 준비하려면 "Solaris for ISPs 플랫폼 확장 제품"을(를) 참조하십시오.

---

보안 문제

인터넷에 액세스하는 네트워크는 어느 정도 보안 위험에 노출됩니다. 또한 일부 Solaris for ISPs 기능의 경우에는 또 다른 위험을 불러오기도 합니다. 이런 모든 경우에 네트워크를 보호하기 위해 구현할 수 있는 몇 가지 보안 방법이 있습니다. 다음 절에서는 네트워크를 이러한 위험으로부터 보호할 수 있는 몇몇 좋은 시스템 관리 사례와 Solaris for ISPs 기능을 소개합니다.

표준 인터넷 보안 위험

네트워크를 인터넷의 다른 네트워크에 연결하면 네트워크가 잠재적인 서비스 방해를 받거나 권한이 없는 침입을 당하거나 심각한 손상을 받을 수 있습니다. 이 절에서는 명심해야 할 표준 네트워크 보안 위험을 다룹니다. 이런 위험으로부터 보호하기 위한 내용은 "보안 강화 방법"에서 다룹니다.

• 서비스 거부 침입: 이런 침입은 시스템이 고객에게 서비스할 수 없거나 고객이 서비스를 사용할 수 없도록 만듭니다. 예를 들어 이런 침입은 쓸모 없는 트래픽으로 네트워크를 폭주시켜 고객에게 서비스할 수 없도록 만듭니다. 이런 침입으로 인해 시스템이 중단되거나 고객에 대한 서비스 속도가 느려지는 경우가 가장 흔히 발생합니다.

• 버퍼 과도 사용: 이 경우는 소프트웨어의 약점을 불법으로 이용하여 프로그램에 임의의 데이터를 추가합니다. 이 프로그램이 루트로 실행될 경우 불법 이용자가 시스템에 루트로 액세스할 수 있게 됩니다. 또한 서비스 거부 침입이 일어날 수 있습니다.

• 엿본 다음 재연 침범: 엿보기 침범의 경우 네트워크에 있는 두 시스템 사이의 트래픽을 청취하는 침입자가 있게 됩니다. telnet, rlogin 또는 ftp를 사용하는 동안 트래픽에는 암호화되지 않은 암호를 서로 주고 받는 경우가 포함될 수 있습니다. 이렇게 되면 권한이 없는 개인이 네트워크에 침입하거나 기밀 데이터를 읽을 수 있습니다.

• IP 속임수: IP 속임수를 사용한 침범에는 컴퓨터에 대한 권한이 없는 액세스가 포함됩니다. 네트워크 트래픽을 청취하고 있는 침입자가 트러스트된 호스트의 IP 주소를 찾아 내어 마치 메시지가 트러스트된 호스트로부터 온 것처럼 메시지를 보냅니다.

• 내부 노출: 대부분의 네트워크 침입은 정보에 대한 액세스를 오용하려고 하거나 네트워크에 침입하려는 악의와 불만을 가진 전직 또는 현직 고용자에 의해 발생합니다.

Solaris for ISPs의 보안 위험

이 절에서는 소프트웨어에 보안 문제를 일으킬 수 있는 몇몇 Solaris for ISPs 기능을 다룹니다. 이러한 위험으로부터 보호하기 위한 내용은 "보안 강화 방법"을(를) 참조하십시오.

• 관리 제품: ftp 또는 news와 같은 개별 서비스용 Solaris for ISPs 관리 제품은 권한이 부여된 작업을 액세스할 수 있도록 새로운 경로를 제공합니다. 관리자 암호를 알아내거나, 추정하거나, 손상을 주는 침입자가 네트워크를 통해 관리자 인터페이스를 불법으로 이용하여 서비스의 작동을 변경할 수 있습니다. 그러나 Solaris for ISPs와 함께 번들로 제공되는 Sunscreen^TM SKIP는 들어오는 트래픽을 인증하고 나가는 데이터를 전송 중에 다른 사람이 볼 수 없도록 합니다.

• 원격 명령 실행 체계: Sun Internet Administrator는 관리자 콘솔 원격 실행 체계를 통하여 모든 명령줄 관리 명령에 액세스를 제공합니다. 침입자가 이 체계에 침입하여 명령에 액세스할 수 있습니다. 그러나 루트가 등록된 시스템 관리자만이 이런 명령에 액세스할 수 있도록 제한할 수 있습니다.

• Sun Directory Services: 이 Solaris for ISPs 소프트웨어는 다른 Solaris for ISPs 확장 제품 및 서비스에 대한 정보와 암호를 저장하고 관리하는 데 사용할 수 있습니다. 침입자가 이 곳에 침입하여 권한이 부여된 정보에 불법으로 액세스할 수 있습니다. 그러나 Sun Directory Services의 암호 대부분은 암호화되어 있습니다. Sun Directory Services에서 암호화되지 않은 암호는 루트 액세스를 필요로 합니다.

보안 강화 방법

시스템에 권한 없는 사용자가 액세스하거나 손상을 주거나 정보를 변경하는 것을 막고 권한을 가진 사용자가 네트워크를 사용할 수 있게 하려면,

• 정기적으로 암호를 변경하고 쉽게 알아낼 수 없는 암호를 사용합니다. 지역 파일을 암호 관리에 사용하는 경우 Solaris for ISPs 소프트웨어는 모든 암호를 주기적으로 변경하도록 요구합니다.

• 공용 키 암호문을 사용하여 IP 레벨에서 트러스트된 호스트 간의 모든 트래픽을 암호화합니다. Solaris for ISPs와 함께 번들로 제공되는 SKIP은 전송 중에 들어오는 IP 트래픽을 인증하고 나가는 데이터를 다른 사용자가 보거나 변경할 수 없도록 합니다.

• 트러스트된 호스트를 식별하고 속임수 IP 주소를 막아 줄 수 있는 라우터를 사용합니다.

• 소프트웨어의 약점을 수정하여 견고하게 만듭니다.

• 네트워크를 보안 위험에 놓이게 하는 불필요한 서비스를 비활성화합니다. 초기 설치 프로세스의 한 부분인 Solaris for ISPs 호스트 구성 소프트웨어는 일부 'r' 명령을 비활성화하여 암호를 보호하고, 권한없는 개인이 호스트 액세스하는 것을 제한할 수 있습니다.

• 직원이 작업에 필요한 데이터나 정보에 액세스할 수 있도록 합니다.

• 네트워크 감시 및 방화벽과 같은 보안 체계를 구현합니다.

고려할 사항

이 절에서는 호스트 구성 중에 반드시 고려하고 염두에 두어야 할 특정 Solaris for ISPs 기본 기능을 다룹니다. 이 절에서는 다음 주제를 설명합니다.

• Solaris에 대한 변경 사항-Solaris for ISPs에 의해 수정되는 시스템 파일

• 로그 파일 관리-Solaris for ISPs의 상주 대몬

• 사용자 정의 스크립트-설치 후 스크립트 작성

• 기본 관리 웹 서버 설정-AWS 기본 설정 복구

Solaris의 변경 사항

이 절에서는 호스트 구성 중에 Solaris 서비스에서 한 번만 변경할 사항과 재구성 가능한 변경 사항을 다룹니다. 기본 설치 설정을 적용하는 경우 이러한 변경 사항은 Solaris for ISPs가 설치된 호스트에 대해 이루어집니다.

---

주 -

호스트 구성 중에 반드시 기본 Solaris에 대해 이러한 변경 사항을 검토하고 필요하다면 수정해야 합니다. 이러한 변경 사항은 이후의 Solaris for ISPs 릴리스에 통합되지 않을 수 있습니다.

---

한 번만 설정

Solaris for ISPs는 암호에 대해 보안과 파일 소유자에 대한 파일 권한을 보호하기 위해 한 번만 실행되는 기본 구성 단위로 이루어집니다. 초기 설치 프로세스의 일부로 기본 변경 사항 집합이 만들어집니다. 이 단위의 기능은 ftp://ftp.wins.uva.nl:/pub/solaris/fix-modes.tar.gz에 있는 스크립트의 기능과 유사합니다. 이러한 변경 사항의 실행을 취소하려면 "변경 사항 실행취소"을 보십시오.

이 절에서는 기본 패키지에서 자동으로 한 번만 실행되는 초기 설치 단계를 검토합니다. Solaris for ISPs를 설치하기 전에 반드시 이 절을 읽어두십시오.

---

주 -

이 스크립트는 실행되지만, 파일과 충돌하는 변경 사항이 미리 설정되어 있지 않은 경우에만 변경 사항이 적용됩니다.

---

• Solaris 패키지의 일부로 설치된 파일 모드를 더욱 안전하게 하는 스크립트를 실행합니다. 변경 사항은 다음과 같습니다.

  • setuid 및 setgid에 대한 그룹 및 전체 읽기 권한을 제거합니다.

  • 다음 기준에 해당하는 비setuid 파일 모두에 대한 그룹 및 전체 읽기 권한을 제거합니다.

    • 파일이 그룹 및 전체 읽기 가능 권한은 가지지만 전체 쓰기 가능 권한은 가지고 있지 않도록 합니다.

    • 파일에 전체 실행 가능 권한이 없도록 합니다.

    • 파일이 동일한 소유자, 그룹 및 전체 권한을 가지도록 합니다.

    • bin이 있는 디렉토리 또는 임시 사용이 아닌 파일로 동일한 그룹 및 전체 읽기 및 실행 권한을 갖습니다.

  • 루트가 소유하고 있지 않은 실행 파일의 소유자에 대해 쓰기 권한을 제거합니다.

• umask 077을 /.cshrc 및 /.profile에 추가합니다. 이렇게 하면 대화식 루트 쉘에서 만들어진 파일에 대한 기본 파일 권한이 오직 루트에 의해서만 읽기 가능하고 쓰기 가능하도록 설정됩니다.

• /etc/ftpusers에 루트를 추가하여 호스트에 대한 루트의 ftp 기능을 비활성화합니다.

• 노쉘을 sys, uucp, nuucp 및 listen 계정에 대한 기본 쉘로 설정하여 권한이 없는 로깅 시도를 기록합니다. 이렇게 하면 시스템에 대한 침입을 쉽게 감지할 수 있습니다.

• /etc/default/passwd에 MAXWEEKS=12를 설정합니다. 이렇게 하면 지역 파일이 암호 관리에 사용되는 경우, 모든 암호를 주기적으로 변경합니다.

• S35umask를 작성하여 시스템 대몬이 작성한 파일의 기본 파일 권한을 파일 소유자만 쓰기 가능하도록 설정합니다.

• /etc/rc2.d/S69inet 파일에 ndd-set/dev/ipip_respond_to_echo_broadcast 0 행을 추가해 서비스 거부 침입을 막습니다.

• 개별 로깅 보장과 침입 감지를 위해 /etc/syslog.conf를 새 버전으로 대체합니다. 새 버전은 기능과 로깅 레벨별로 메시지를 분리하며 상위 레벨의 메시지를 중앙 로깅 서버에 전달합니다.

• bsmconv를 실행하고 /etc/security를 구성하여 관리 동작과 로그인 및 로그아웃을 로깅합니다. 이렇게 하면 C2 감사가 활성화되어 syslog에서 빠진 이벤트를 찾아 냅니다.

• 이 단위에서 수행한 모든 변경 사항은 /var/sadm/install/contents에 로깅됩니다. 이렇게 함으로써 앞으로 패치 설치를 할 수 있습니다.

재구성 가능한 설정

기본 구성의 Solaris for ISPs 플랫폼 확장 제품 및 서비스는 이들을 설치한 호스트의 기본 서비스 동작을 대체하게 됩니다. 이 과정에서 시스템에 설치된 Solaris for ISPs 소프트웨어 중 필수가 아닌 Solaris 네트워크 유틸리티를 비활성화하여 더 안전한 서버를 만듭니다.

---

주 -

호스트 구성 중 반드시 기본 구성을 검토하고 필요하면 수정합니다.

---

기본 설치 설정을 적용하는 경우 따로 언급하지 않는다면 다음 Solaris 서비스가 비활성화 됩니다. 이들 서비스를 반드시 비활성화 해야 하는 것은 아니지만 잠재적인 보안 허점 회피 및 자원 보존을 위해 서비스를 비활성화하는 것이 좋습니다. 서비스의 값을 변경하는 경우 따로 언급하지 않으면 inetd.conf가 수정됩니다. 변경 사항을 실행 취소 하려면 "변경 사항 실행취소"(으)로 가십시오.

잠재적인 보안 허점 막기

다음 서비스를 비활성화하여 암호를 보호하고 권한이 없는 개인의 호스트 액세스를 제한하는 것이 좋습니다.

---

주 -

기본 설정을 적용하는 경우 이제는 비활성화된 "r" 명령으로 호스트에 액세스할 수 없습니다.

---

• rexecd: 이 서비스를 비활성화하여 암호를 공백으로 전달하는 rexec(3N) 함수를 통한 원격 명령 실행 지원을 중단합니다.

• rlogind: 원격 로깅 중 암호가 없는 인증에 .rhosts와 hosts.equiv를 사용하므로 이 서비스를 비활성화하여 암호 보안을 확실하게 합니다.

• rshd: 원격 명령 실행 중 암호가 없는 인증에 .rhosts와 hosts.equiv를 사용하므로 이 서비스를 비활성화하여 암호를 보호합니다.

  ---

  주 -

  기본 설정을 적용하는 경우 다음 서비스가 활성화됩니다. 반드시 설정을 검토하고 필요하면 수정합니다.

  ---

• telnetd: 기본 설치 설정을 적용하는 경우 원격 로그인 체계를 활성화하여 이 서비스가 활성화된다는 점을 유의하십시오.

• ftpd: 기본 설치 설정을 적용하는 경우 비보안 방식으로라도 원격 네트워크 사이트에 파일 전송 지원을 제공하므로 이 서비스가 활성화된다는 점을 유의하십시오. Sun Internet FTP Server 설치를 선택하면 서비스가 비활성화됩니다.

  ---

  주 -

  텔넷 및 FTP 서비스 보안이 필요한 경우, 파일 전송 요청이 네트워크 내에서 이루어지도록 네트워크를 설정해야 합니다.

  ---

다음 서비스를 비활성화하여 권한이 없는 사용자로부터 정보를 보호하는 것이 좋습니다. 이들 서비스를 비활성화하여 시스템 보안을 강화하고 네트워크 요청에 호스트가 응답하지 않도록 하여 시스템 정보의 액세스를 제한할 수 있습니다.

• fingerd: 이 서비스를 비활성화하여 네트워크 기반 핑거 요청으로부터 정보를 보호합니다.

• netstat: 이 서비스를 비활성화하여 다양한 네트워크 관련 데이터 구조의 내용이 netstat의 원격 호출에 노출되지 않도록 합니다.

• rstatd: 이 서비스를 비활성화하여 시스템 통계의 액세스를 방지합니다.

• rusersd: 이 서비스를 비활성화하여 로그인한 사용자 정보를 보호합니다.

• systat: 이 서비스를 비활성화하여 호스트의 원격 ps 실행 지원을 중단하도록 합니다.

• routing: 이 서비스를 비활성화하여 호스트가 라우터로 작동하지 않도록 합니다. 서비스가 비활성화되면 /etc/notrouter 파일이 만들어집니다.

• sendmail: 이 서비스를 비활성화하여 서비스 거부 침입을 막고 우편 수신과 송신의 지원을 비활성화합니다. S88sendmail이 수정됩니다.

• sprayd: 이 서비스를 비활성화하여 네트워크 시험 및 spray에서 보낸 기록 패키지의 지원을 중단합니다.

자원 보존

사용자의 환경에 반드시 필요한 경우가 아니라면 다음 CDE와 OpenWindows 서비스를 비활성화하는 것이 좋습니다. 이들 서비스를 비활성화하면 시스템 성능이 향상됩니다.

• cmsd: CDE 달력이 호스트에 있을 경우에만 이 서비스가 필요하므로 이 서비스를 비활성화합니다.

• dtspcd: 이 서비스를 비활성화하여 CDE 세션의 지원을 중단합니다.

• kcms_server: 이 서비스를 비활성화하여 OpenWindows KCMS 프로파일의 원격 액세스 지원을 중단합니다.

• ttdbserverd: 이 서비스를 비활성화하여 적합한 CDE 작동에 필요한 Tooltalk 데이터베이스 서버의 지원을 중단합니다.

다음 네트워크 (inetd) 서비스가 시스템 환경에 반드시 필요한 것이 아니라면 비활성화하는 것이 좋습니다. 이들 서비스를 비활성화하면 자원을 자유로이 사용할 수 있으며 시스템 성능이 향상됩니다. 아래에 나열된 네트워크 유틸리티 중 필요한 것이 있을 경우에는 기본 구성을 변경하십시오.

• chargen: 이 서비스를 비활성화하여 inetd 시험 및 문자 생성의 지원을 중단합니다.

• discard: 이 서비스를 비활성화하여 inetd 시험의 모든 입력을 무시하지 않도록 합니다.

• echo: 이 서비스를 비활성화하여 inetd 시험의 모든 입력 반향을 지원 중단합니다.

• fs.auto: 이 서비스를 비활성화하여 글꼴 서버를 비활성화합니다.

  ---

  주 -

  기본 설정을 적용하는 경우 다음 서비스가 활성화됩니다. 반드시 설정을 검토하고 필요하면 수정합니다.

  ---

• time: 기본 설치 설정을 적용하는 경우 사용자들이 시스템 시간을 원격으로 질의하도록 이 서비스가 활성화된다는 것을 유의하십시오. 시스템 판독 가능 시간을 반환합니다.

• cachefsd: 기본 설치 설정을 적용하는 경우 이 서비스가 활성화된다는 것을 유의하십시오. 이것은 cacheFS 대몬입니다.

다음 서비스가 환경에 반드시 필요한 것이 아니라면 이를 비활성화하는 것이 좋습니다. 이들 서비스를 비활성화하면 시스템 성능이 향상됩니다. 아래에 나열된 서비스 중 필요한 것이 있을 경우 기본 구성을 변경하십시오.

• automountd: 이 서비스는 자동 탑재만 지원하고 일반 NFS 탑재는 지원하지 않으므로 비활성화합니다. 값을 변경하면 S74autofs가 수정됩니다.

• comsat: 이 서비스를 비활성화하여 호스트의 새 우편에 대한 biff(1) 통보를 중단합니다.

• daytime: 이 서비스를 비활성화하여 시간 반환의 지원을 중단합니다.

• rquotad: 이 서비스를 비활성화하여 호스트가 파일 시스템의 디스크 할당을 지원하는 NFS 서버로 작동하지 않도록 합니다.

• sadmind: 이 서비스를 비활성화하여 Solstice AdminSuite를 사용한 배포 시스템 관리 작업 수행의 지원을 중단합니다.

• talkd: 이 서비스를 비활성화하여 상호 대화 프로그램 실행의 지원을 중단합니다.

• tnamed: 이 서비스를 비활성화하여 DARPA 이름 서버 프로토콜의 지원을 중단합니다.

• lpd: 이 서비스를 비활성화하여 호스트가 BSD 인쇄 서버로 작동하지 않도록 합니다. 이 작업이 system V 인쇄 서버를 비활성화하는 것은 아닙니다.

• uucpd: 이 서비스를 비활성화하여 원본 파일 인자에서 명명한 파일을 대상 파일 인자에 복사하는 작업의 지원을 중단합니다.

• walld: 이 서비스를 비활성화하여 wall의 메시지 전송 지원을 중단합니다.

• Xaserver: 이 서비스를 비활성화하여 X 기반 오디오의 지원을 중단합니다.

---

주 -

Solaris 서비스 활성화 및 비활성화에 관한 도움말은 호스트 구성 중에 온라인 도움말을 참조할 수도 있습니다.

---

변경 사항 실행취소

보안과 성능을 위해 시스템을 강화하고 미세 조정하기 위해 호스트를 구성 중에 변경한 사항은 다음 Solaris for ISPs 릴리스에 통합되지 않을 수도 있습니다. 이 절에서는 호스트 구성 중의 기본 Solaris 변경 사항을 실행취소 하는 단계를 설명합니다.

변경 사항을 실행 취소할 컴퓨터에 로그인하여 루트로 액세스합니다. 실행 취소할 변경 사항을 결정하고 게시된 목록의 설명을 따릅니다.

• 호스트 구성 그래픽 사용자 인터페이스(GUI)에서 보안과 최적 성능을 위해 기본 Solaris 서비스를 조정합니다. 이 변경 사항은 재구성할 수 있으며 호스트 구성 GUI에서 값을 재설정할 수 있습니다. Solaris 서비스 값을 재설정하려면 Solaris for ISPs 설치 설명서와 호스트 구성 온라인 도움말을 참조하십시오.

• 설치 후에 만들어진 두 개의 추가 부트 파일, S35umask와 S68echo(/etc/rc2.d)는 Solaris for ISPs 플랫폼 구성 요소를 설치 해제하면 자동으로 제거됩니다.

  ---

  주 -

  시스템 구성에 수행한 한 번만 변경할 수 있는 사항 중 일부는 수동으로 실행 취소해야 합니다. 강화 변경 사항을 실행 취소하려면 다음과 같이 합니다.

  ---

• # /opt/SUNWfixm/bin/fixmodes -u를 입력하여 한 번만 변경하는 사항을 실행취소합니다.

• # bsmunconv를 입력하여 C2 감사 모드에서 C1 모드로 전환합니다. 이렇게 하여 syslog에서 빠진 이벤트를 찾는 감사를 해제합니다.

• /.cshrc, /.profile, /.zshenv, /etc/ftpusers, /etc/default/passwd및 /etc/syslog.conf의 현재 버전과 file.pre-hcfconfig의 파일 버전을 비교합니다. 현재 파일에는 강화 변경 사항과 강화가 수행된 다음 행해진 다른 편집 내용이 있습니다. 호스트 구성 소프트웨어가 수행한 변경 사항을 파악하고 텍스트 편집기로 변경 사항을 실행취소합니다.

  ---

  주 -

  호스트 구성 이후 또는 호스트 구성에 의해 수행된 변경 사항을 파악하기 전에는 file.pre-hcfconfig를 file의 현재 버전에 복사하지 마십시오.

  ---

로그 파일 관리

이 절에서는 로그 파일 관리를 수행하는 상주 대몬, hclfmd를 설명합니다. 상주 대몬은 루트로 실행됩니다. 이 대몬은 부팅할 때 시작되어 다음 기능을 수행합니다.

• 시스템 장치와 연관된 파일인 /dev와 함께 시작하지 않는 파일 경로를 위해 /etc/syslog.conf의 로그 파일 목록을 구문 분석하고 매일 정리, 기록 및 사이클 전달을 수행합니다.

  syslogd에서 기록하는 각 로그 파일에 다음과 같은 기능을 수행합니다.

  • 기존 로그 파일의 이름을 바꾸고 매일 새로운 로그를 작성합니다.

  • 재시작 신호 (-HUP)를 syslog 대몬에 보내 매일 새로운 로그를 작성합니다.

  • 매일 작성한 로그 파일을 매주 압축하여 주간 아카이브를 생성하고 이를 name.YYYYMMDD-YYYYMMDD.tar.z로 저장합니다.

  • 한 달을 초과한 주간 아카이브는 버립니다.

• /etc/security/audit_control에서 감사 로그 위치를 알아 내어 매일 정리, 기록 및 사이클 전달을 수행합니다.

  지역 마운트된 감사 디렉토리에 다음 기능을 수행합니다.

  • audit -n을 실행하여 매일 새로운 로그를 작성합니다. 이 명령은 감사 디렉토리에 신호를 보내 현재 감사 파일을 닫고 현재 감사 디렉토리에 새로운 감사 파일을 엽니다.

  • 매일 작성한 로그 파일을 매주 압축하여 주간 아카이브를 생성하고 이를 audit.YYYYMMDD-YYYYMMDD.tar.z로 저장합니다.

  • 한 달을 초과한 주간 아카이브는 버립니다.

• 10분마다 침입 감지 검사를 수행합니다.

  • syslog 파일에 인증 실패한 항목을 감지하여 보고합니다.

  • 기본적으로 /etc/opt/SUNWisp/hc/hclfmd.conf는 syslog에 기록된 실패한 인증 시도 각각에 대해 루트로 우편을 보내도록 구성됩니다.

    ---

    주 -

    이 파일을 재구성할 수 있습니다. 기본적으로 다음과 같이 구성됩니다. /var/log/badauth:/usr/bin/mailx -s "%f" root < %c 설명:

    • /var/log/badauth는 항목이 만들어진 파일입니다.

    • /usr/bin/mailx -s는 루트로 우편을 보내는 명령입니다.

    • "%f"은(는) 항목이 감지된 파일의 이름이 들어 있는 우편의 주제 행입니다. 그리고

    • "%c"은(는) syslog 파일의 새로운 내용입니다.

    ---

사용자 정의 스크립트 작성

이 절에서는 Solaris for ISPs 설치 후에 실행하려는 특정 설치 또는 구성 갱신을 다룹니다. 이 매개변수는 쉘 스크립트로 작성될 수 있습니다. 예를 들면 다음과 비슷하게 명령을 작성할 수 있습니다: echo "foo" >> /etc/ftpusers

작성한 스크립트의 경로는 Solaris for ISPs 설치를 위해 호스트를 구성하는 동안Post-Configuration Command 화면에서 등록할 수 있습니다. 아니면 이런 명령을 문자열로 입력합니다. 사용자의 설치 후 명령은 일괄 설치 중에 Solaris for ISPs 설치 후 스크립트가 실행합니다.

---

주 -

이 스크립트 작성은 선택 사항입니다.

---

설치 후에 실행할 스크립트에 지정할 수 있는 몇몇 설치 후 시스템 설정 예제가 아래 그림에 나와 있습니다. 예를 들면 다음과 같습니다.

• 시스템 설정 변경 사항을 확인하고 확정하는 프로그램을 작성합니다.

• 설치 후 사용 가능한 디스크 공간을 통보하거나 인쇄하는 프로그램을 작성합니다.

• 인증 실패한 항목에 대해 syslog로부터 받은 통보 메시지를 재구성하는 프로그램을 작성합니다. "로그 파일 관리"을(를) 참조하십시오.

• 기타 독립 소프트웨어를 구성하는 프로그램을 작성합니다.

• DNS 호스트를 구성하는 프로그램을 작성합니다.

  • /etc/hosts에 몇몇 DNS 서버 IP 주소를 입력합니다.

  • /etc/resolv.conf를 설정합니다.

  • /etc/nsswitch.conf를 수정합니다.

    ---

    주 -

    이 절에서 다루는 DNS 서버 구성은 제안 사항에 지나지 않습니다. 기존 DNS 서버를 반드시 재구성할 필요는 없습니다. 해당 문서를 참조해서 DNS 서버를 재구성하여 정규 이름 조회를 위한 Solaris for ISPs 확장 제품 및 서비스 요청을 지원하십시오.

    ---

기본 AWS 설정 복구

Sun Internet Administrator는 사용자 인터페이스 관리 기능에서 웹 서버를 사용합니다. 이 웹 서버를 AWS(Administration Web Server)라고 합니다. 필요한 경우 AWS를 자신의 요구사항에 맞게 재구성할 수 있습니다. 온라인 도움말을 참조하여 AWS를 재구성하십시오. 기본 구성을 잃어버리지 않도록 이 절에서는 기본 AWS 구성 파일의 위치와 기본 설정 복구 방법을 다룹니다.

AWS 기본 구성 파일은 /etc/opt/SUNWixamc/awsconf/default/*와 /var/opt/SUNWixamc/awsconf에 있습니다. AWS를 재구성할 때 /var/opt/SUNWixamc/awsconf 파일 구성만 변경해야 합니다.

기본 설정을 복구하려면 /etc/opt/SUNWixamc/awsconf/default/*를 /var/opt/SUNWixamc/awsconf에 복사합니다.

---

주 -

Sun Internet Administrator 콘솔의 효율적인 작동을 위해서는 aws.conf, site.conf, map.conf, realms.conf 및 access.acl의 기본 설정을 변경하지 마십시오.

---