Solaris의 변경 사항 (Solaris for ISPs 관리 설명서)

Solaris for ISPs 관리 설명서

Solaris의 변경 사항

이 절에서는 호스트 구성 중에 Solaris 서비스에서 한 번만 변경할 사항과 재구성 가능한 변경 사항을 다룹니다. 기본 설치 설정을 적용하는 경우 이러한 변경 사항은 Solaris for ISPs가 설치된 호스트에 대해 이루어집니다.

주 -

호스트 구성 중에 반드시 기본 Solaris에 대해 이러한 변경 사항을 검토하고 필요하다면 수정해야 합니다. 이러한 변경 사항은 이후의 Solaris for ISPs 릴리스에 통합되지 않을 수 있습니다.

한 번만 설정

Solaris for ISPs는 암호에 대해 보안과 파일 소유자에 대한 파일 권한을 보호하기 위해 한 번만 실행되는 기본 구성 단위로 이루어집니다. 초기 설치 프로세스의 일부로 기본 변경 사항 집합이 만들어집니다. 이 단위의 기능은 ftp://ftp.wins.uva.nl:/pub/solaris/fix-modes.tar.gz에 있는 스크립트의 기능과 유사합니다. 이러한 변경 사항의 실행을 취소하려면 "변경 사항 실행취소"을 보십시오.

이 절에서는 기본 패키지에서 자동으로 한 번만 실행되는 초기 설치 단계를 검토합니다. Solaris for ISPs를 설치하기 전에 반드시 이 절을 읽어두십시오.

주 -

이 스크립트는 실행되지만, 파일과 충돌하는 변경 사항이 미리 설정되어 있지 않은 경우에만 변경 사항이 적용됩니다.

Solaris 패키지의 일부로 설치된 파일 모드를 더욱 안전하게 하는 스크립트를 실행합니다. 변경 사항은 다음과 같습니다.
- setuid 및 setgid에 대한 그룹 및 전체 읽기 권한을 제거합니다.
- 다음 기준에 해당하는 비setuid 파일 모두에 대한 그룹 및 전체 읽기 권한을 제거합니다.
  - 파일이 그룹 및 전체 읽기 가능 권한은 가지지만 전체 쓰기 가능 권한은 가지고 있지 않도록 합니다.
  - 파일에 전체 실행 가능 권한이 없도록 합니다.
  - 파일이 동일한 소유자, 그룹 및 전체 권한을 가지도록 합니다.
  - bin이 있는 디렉토리 또는 임시 사용이 아닌 파일로 동일한 그룹 및 전체 읽기 및 실행 권한을 갖습니다.
- 루트가 소유하고 있지 않은 실행 파일의 소유자에 대해 쓰기 권한을 제거합니다.
umask 077을 /.cshrc 및 /.profile에 추가합니다. 이렇게 하면 대화식 루트 쉘에서 만들어진 파일에 대한 기본 파일 권한이 오직 루트에 의해서만 읽기 가능하고 쓰기 가능하도록 설정됩니다.
/etc/ftpusers에 루트를 추가하여 호스트에 대한 루트의 ftp 기능을 비활성화합니다.
노쉘을 sys, uucp, nuucp 및 listen 계정에 대한 기본 쉘로 설정하여 권한이 없는 로깅 시도를 기록합니다. 이렇게 하면 시스템에 대한 침입을 쉽게 감지할 수 있습니다.
/etc/default/passwd에 MAXWEEKS=12를 설정합니다. 이렇게 하면 지역 파일이 암호 관리에 사용되는 경우, 모든 암호를 주기적으로 변경합니다.
S35umask를 작성하여 시스템 대몬이 작성한 파일의 기본 파일 권한을 파일 소유자만 쓰기 가능하도록 설정합니다.
/etc/rc2.d/S69inet 파일에 ndd-set/dev/ipip_respond_to_echo_broadcast 0 행을 추가해 서비스 거부 침입을 막습니다.
개별 로깅 보장과 침입 감지를 위해 /etc/syslog.conf를 새 버전으로 대체합니다. 새 버전은 기능과 로깅 레벨별로 메시지를 분리하며 상위 레벨의 메시지를 중앙 로깅 서버에 전달합니다.
bsmconv를 실행하고 /etc/security를 구성하여 관리 동작과 로그인 및 로그아웃을 로깅합니다. 이렇게 하면 C2 감사가 활성화되어 syslog에서 빠진 이벤트를 찾아 냅니다.
이 단위에서 수행한 모든 변경 사항은 /var/sadm/install/contents에 로깅됩니다. 이렇게 함으로써 앞으로 패치 설치를 할 수 있습니다.

재구성 가능한 설정

기본 구성의 Solaris for ISPs 플랫폼 확장 제품 및 서비스는 이들을 설치한 호스트의 기본 서비스 동작을 대체하게 됩니다. 이 과정에서 시스템에 설치된 Solaris for ISPs 소프트웨어 중 필수가 아닌 Solaris 네트워크 유틸리티를 비활성화하여 더 안전한 서버를 만듭니다.

주 -

호스트 구성 중 반드시 기본 구성을 검토하고 필요하면 수정합니다.

기본 설치 설정을 적용하는 경우 따로 언급하지 않는다면 다음 Solaris 서비스가 비활성화 됩니다. 이들 서비스를 반드시 비활성화 해야 하는 것은 아니지만 잠재적인 보안 허점 회피 및 자원 보존을 위해 서비스를 비활성화하는 것이 좋습니다. 서비스의 값을 변경하는 경우 따로 언급하지 않으면 inetd.conf가 수정됩니다. 변경 사항을 실행 취소 하려면 "변경 사항 실행취소"(으)로 가십시오.

잠재적인 보안 허점 막기

다음 서비스를 비활성화하여 암호를 보호하고 권한이 없는 개인의 호스트 액세스를 제한하는 것이 좋습니다.

주 -

기본 설정을 적용하는 경우 이제는 비활성화된 "r" 명령으로 호스트에 액세스할 수 없습니다.

rexecd: 이 서비스를 비활성화하여 암호를 공백으로 전달하는 rexec(3N) 함수를 통한 원격 명령 실행 지원을 중단합니다.
rlogind: 원격 로깅 중 암호가 없는 인증에 .rhosts와 hosts.equiv를 사용하므로 이 서비스를 비활성화하여 암호 보안을 확실하게 합니다.
rshd: 원격 명령 실행 중 암호가 없는 인증에 .rhosts와 hosts.equiv를 사용하므로 이 서비스를 비활성화하여 암호를 보호합니다.

주 -
기본 설정을 적용하는 경우 다음 서비스가 활성화됩니다. 반드시 설정을 검토하고 필요하면 수정합니다.
telnetd: 기본 설치 설정을 적용하는 경우 원격 로그인 체계를 활성화하여 이 서비스가 활성화된다는 점을 유의하십시오.
ftpd: 기본 설치 설정을 적용하는 경우 비보안 방식으로라도 원격 네트워크 사이트에 파일 전송 지원을 제공하므로 이 서비스가 활성화된다는 점을 유의하십시오. Sun Internet FTP Server 설치를 선택하면 서비스가 비활성화됩니다.

주 -
텔넷 및 FTP 서비스 보안이 필요한 경우, 파일 전송 요청이 네트워크 내에서 이루어지도록 네트워크를 설정해야 합니다.

다음 서비스를 비활성화하여 권한이 없는 사용자로부터 정보를 보호하는 것이 좋습니다. 이들 서비스를 비활성화하여 시스템 보안을 강화하고 네트워크 요청에 호스트가 응답하지 않도록 하여 시스템 정보의 액세스를 제한할 수 있습니다.

fingerd: 이 서비스를 비활성화하여 네트워크 기반 핑거 요청으로부터 정보를 보호합니다.
netstat: 이 서비스를 비활성화하여 다양한 네트워크 관련 데이터 구조의 내용이 netstat의 원격 호출에 노출되지 않도록 합니다.
rstatd: 이 서비스를 비활성화하여 시스템 통계의 액세스를 방지합니다.
rusersd: 이 서비스를 비활성화하여 로그인한 사용자 정보를 보호합니다.
systat: 이 서비스를 비활성화하여 호스트의 원격 ps 실행 지원을 중단하도록 합니다.
routing: 이 서비스를 비활성화하여 호스트가 라우터로 작동하지 않도록 합니다. 서비스가 비활성화되면 /etc/notrouter 파일이 만들어집니다.
sendmail: 이 서비스를 비활성화하여 서비스 거부 침입을 막고 우편 수신과 송신의 지원을 비활성화합니다. S88sendmail이 수정됩니다.
sprayd: 이 서비스를 비활성화하여 네트워크 시험 및 spray에서 보낸 기록 패키지의 지원을 중단합니다.

자원 보존

사용자의 환경에 반드시 필요한 경우가 아니라면 다음 CDE와 OpenWindows 서비스를 비활성화하는 것이 좋습니다. 이들 서비스를 비활성화하면 시스템 성능이 향상됩니다.

cmsd: CDE 달력이 호스트에 있을 경우에만 이 서비스가 필요하므로 이 서비스를 비활성화합니다.
dtspcd: 이 서비스를 비활성화하여 CDE 세션의 지원을 중단합니다.
kcms_server: 이 서비스를 비활성화하여 OpenWindows KCMS 프로파일의 원격 액세스 지원을 중단합니다.
ttdbserverd: 이 서비스를 비활성화하여 적합한 CDE 작동에 필요한 Tooltalk 데이터베이스 서버의 지원을 중단합니다.

다음 네트워크 (inetd) 서비스가 시스템 환경에 반드시 필요한 것이 아니라면 비활성화하는 것이 좋습니다. 이들 서비스를 비활성화하면 자원을 자유로이 사용할 수 있으며 시스템 성능이 향상됩니다. 아래에 나열된 네트워크 유틸리티 중 필요한 것이 있을 경우에는 기본 구성을 변경하십시오.

chargen: 이 서비스를 비활성화하여 inetd 시험 및 문자 생성의 지원을 중단합니다.
discard: 이 서비스를 비활성화하여 inetd 시험의 모든 입력을 무시하지 않도록 합니다.
echo: 이 서비스를 비활성화하여 inetd 시험의 모든 입력 반향을 지원 중단합니다.
fs.auto: 이 서비스를 비활성화하여 글꼴 서버를 비활성화합니다.

주 -
기본 설정을 적용하는 경우 다음 서비스가 활성화됩니다. 반드시 설정을 검토하고 필요하면 수정합니다.
time: 기본 설치 설정을 적용하는 경우 사용자들이 시스템 시간을 원격으로 질의하도록 이 서비스가 활성화된다는 것을 유의하십시오. 시스템 판독 가능 시간을 반환합니다.
cachefsd: 기본 설치 설정을 적용하는 경우 이 서비스가 활성화된다는 것을 유의하십시오. 이것은 cacheFS 대몬입니다.

다음 서비스가 환경에 반드시 필요한 것이 아니라면 이를 비활성화하는 것이 좋습니다. 이들 서비스를 비활성화하면 시스템 성능이 향상됩니다. 아래에 나열된 서비스 중 필요한 것이 있을 경우 기본 구성을 변경하십시오.

automountd: 이 서비스는 자동 탑재만 지원하고 일반 NFS 탑재는 지원하지 않으므로 비활성화합니다. 값을 변경하면 S74autofs가 수정됩니다.
comsat: 이 서비스를 비활성화하여 호스트의 새 우편에 대한 biff(1) 통보를 중단합니다.
daytime: 이 서비스를 비활성화하여 시간 반환의 지원을 중단합니다.
rquotad: 이 서비스를 비활성화하여 호스트가 파일 시스템의 디스크 할당을 지원하는 NFS 서버로 작동하지 않도록 합니다.
sadmind: 이 서비스를 비활성화하여 Solstice AdminSuite를 사용한 배포 시스템 관리 작업 수행의 지원을 중단합니다.
talkd: 이 서비스를 비활성화하여 상호 대화 프로그램 실행의 지원을 중단합니다.
tnamed: 이 서비스를 비활성화하여 DARPA 이름 서버 프로토콜의 지원을 중단합니다.
lpd: 이 서비스를 비활성화하여 호스트가 BSD 인쇄 서버로 작동하지 않도록 합니다. 이 작업이 system V 인쇄 서버를 비활성화하는 것은 아닙니다.
uucpd: 이 서비스를 비활성화하여 원본 파일 인자에서 명명한 파일을 대상 파일 인자에 복사하는 작업의 지원을 중단합니다.
walld: 이 서비스를 비활성화하여 wall의 메시지 전송 지원을 중단합니다.
Xaserver: 이 서비스를 비활성화하여 X 기반 오디오의 지원을 중단합니다.

주 -

Solaris 서비스 활성화 및 비활성화에 관한 도움말은 호스트 구성 중에 온라인 도움말을 참조할 수도 있습니다.

변경 사항 실행취소

보안과 성능을 위해 시스템을 강화하고 미세 조정하기 위해 호스트를 구성 중에 변경한 사항은 다음 Solaris for ISPs 릴리스에 통합되지 않을 수도 있습니다. 이 절에서는 호스트 구성 중의 기본 Solaris 변경 사항을 실행취소 하는 단계를 설명합니다.

변경 사항을 실행 취소할 컴퓨터에 로그인하여 루트로 액세스합니다. 실행 취소할 변경 사항을 결정하고 게시된 목록의 설명을 따릅니다.

호스트 구성 그래픽 사용자 인터페이스(GUI)에서 보안과 최적 성능을 위해 기본 Solaris 서비스를 조정합니다. 이 변경 사항은 재구성할 수 있으며 호스트 구성 GUI에서 값을 재설정할 수 있습니다. Solaris 서비스 값을 재설정하려면 Solaris for ISPs 설치 설명서와 호스트 구성 온라인 도움말을 참조하십시오.
설치 후에 만들어진 두 개의 추가 부트 파일, S35umask와 S68echo(/etc/rc2.d)는 Solaris for ISPs 플랫폼 구성 요소를 설치 해제하면 자동으로 제거됩니다.

주 -
시스템 구성에 수행한 한 번만 변경할 수 있는 사항 중 일부는 수동으로 실행 취소해야 합니다. 강화 변경 사항을 실행 취소하려면 다음과 같이 합니다.
# /opt/SUNWfixm/bin/fixmodes -u를 입력하여 한 번만 변경하는 사항을 실행취소합니다.
# bsmunconv를 입력하여 C2 감사 모드에서 C1 모드로 전환합니다. 이렇게 하여 syslog에서 빠진 이벤트를 찾는 감사를 해제합니다.
/.cshrc, /.profile, /.zshenv, /etc/ftpusers, /etc/default/passwd및 /etc/syslog.conf의 현재 버전과 file.pre-hcfconfig의 파일 버전을 비교합니다. 현재 파일에는 강화 변경 사항과 강화가 수행된 다음 행해진 다른 편집 내용이 있습니다. 호스트 구성 소프트웨어가 수행한 변경 사항을 파악하고 텍스트 편집기로 변경 사항을 실행취소합니다.

주 -
호스트 구성 이후 또는 호스트 구성에 의해 수행된 변경 사항을 파악하기 전에는 file.pre-hcfconfig를 file의 현재 버전에 복사하지 마십시오.