한 번만 설정

Solaris for ISPs는 암호에 대해 보안과 파일 소유자에 대한 파일 권한을 보호하기 위해 한 번만 실행되는 기본 구성 단위로 이루어집니다. 초기 설치 프로세스의 일부로 기본 변경 사항 집합이 만들어집니다. 이 단위의 기능은 ftp://ftp.wins.uva.nl:/pub/solaris/fix-modes.tar.gz에 있는 스크립트의 기능과 유사합니다. 이러한 변경 사항의 실행을 취소하려면 "변경 사항 실행취소"을 보십시오.

이 절에서는 기본 패키지에서 자동으로 한 번만 실행되는 초기 설치 단계를 검토합니다. Solaris for ISPs를 설치하기 전에 반드시 이 절을 읽어두십시오.

이 스크립트는 실행되지만, 파일과 충돌하는 변경 사항이 미리 설정되어 있지 않은 경우에만 변경 사항이 적용됩니다.

• Solaris 패키지의 일부로 설치된 파일 모드를 더욱 안전하게 하는 스크립트를 실행합니다. 변경 사항은 다음과 같습니다.

  • setuid 및 setgid에 대한 그룹 및 전체 읽기 권한을 제거합니다.

  • 다음 기준에 해당하는 비setuid 파일 모두에 대한 그룹 및 전체 읽기 권한을 제거합니다.

    • 파일이 그룹 및 전체 읽기 가능 권한은 가지지만 전체 쓰기 가능 권한은 가지고 있지 않도록 합니다.

    • 파일에 전체 실행 가능 권한이 없도록 합니다.

    • 파일이 동일한 소유자, 그룹 및 전체 권한을 가지도록 합니다.

    • bin이 있는 디렉토리 또는 임시 사용이 아닌 파일로 동일한 그룹 및 전체 읽기 및 실행 권한을 갖습니다.

  • 루트가 소유하고 있지 않은 실행 파일의 소유자에 대해 쓰기 권한을 제거합니다.

• umask 077을 /.cshrc 및 /.profile에 추가합니다. 이렇게 하면 대화식 루트 쉘에서 만들어진 파일에 대한 기본 파일 권한이 오직 루트에 의해서만 읽기 가능하고 쓰기 가능하도록 설정됩니다.

• /etc/ftpusers에 루트를 추가하여 호스트에 대한 루트의 ftp 기능을 비활성화합니다.

• 노쉘을 sys, uucp, nuucp 및 listen 계정에 대한 기본 쉘로 설정하여 권한이 없는 로깅 시도를 기록합니다. 이렇게 하면 시스템에 대한 침입을 쉽게 감지할 수 있습니다.

• /etc/default/passwd에 MAXWEEKS=12를 설정합니다. 이렇게 하면 지역 파일이 암호 관리에 사용되는 경우, 모든 암호를 주기적으로 변경합니다.

• S35umask를 작성하여 시스템 대몬이 작성한 파일의 기본 파일 권한을 파일 소유자만 쓰기 가능하도록 설정합니다.

• /etc/rc2.d/S69inet 파일에 ndd-set/dev/ipip_respond_to_echo_broadcast 0 행을 추가해 서비스 거부 침입을 막습니다.

• 개별 로깅 보장과 침입 감지를 위해 /etc/syslog.conf를 새 버전으로 대체합니다. 새 버전은 기능과 로깅 레벨별로 메시지를 분리하며 상위 레벨의 메시지를 중앙 로깅 서버에 전달합니다.

• bsmconv를 실행하고 /etc/security를 구성하여 관리 동작과 로그인 및 로그아웃을 로깅합니다. 이렇게 하면 C2 감사가 활성화되어 syslog에서 빠진 이벤트를 찾아 냅니다.

• 이 단위에서 수행한 모든 변경 사항은 /var/sadm/install/contents에 로깅됩니다. 이렇게 함으로써 앞으로 패치 설치를 할 수 있습니다.