탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris Trusted Extensions 관리자 절차 Oracle Solaris 10 8/11 Information Library (한국어) |
3. Trusted Extensions 관리자로 시작하기(작업)
4. Trusted Extensions 시스템의 보안 요구 사항(개요)
5. Trusted Extensions의 보안 요구 사항 관리(작업)
Trusted Extensions의 일반 작업(작업 맵)
선택한 편집기를 신뢰할 수 있는 편집기로 할당하는 방법
데스크탑의 현재 포커스에 대한 컨트롤을 다시 얻는 방법
6. Trusted Extensions의 사용자, 권한 및 역할(개요)
7. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
8. Trusted Extensions에서 원격 관리(작업)
9. Trusted Extensions 및 LDAP(개요)
10. Trusted Extensions에서 영역 관리(작업)
11. Trusted Extensions에서 파일 관리 및 마운트(작업)
13. Trusted Extensions에서 네트워크 관리(작업)
14. Trusted Extensions의 다중 레벨 메일(개요)
16. Trusted Extensions의 장치(개요)
17. Trusted Extensions에 대한 장치 관리(작업)
19. Trusted Extensions에서 소프트웨어 관리(작업)
A. Trusted Extensions 관리에 대한 빠른 참조
다음 작업 맵에서는 Trusted Extensions 관리자를 위한 작업 환경을 설정하는 절차를 설명합니다.
|
신뢰할 수 있는 편집기는 $EDITOR 환경 변수의 값을 자체 편집기로 사용합니다.
시작하기 전에
전역 영역에서 역할을 가진 사용자여야 합니다.
# echo $EDITOR
가능한 편집기는 다음과 같습니다. $EDITOR 변수를 설정하지 않을 수도 있습니다.
/usr/dt/bin/dtpad – CDE에서 제공하는 편집기입니다.
/usr/bin/gedit – Java 데스크탑 시스템, 릴리스 번호에서 제공하는 편집기입니다. Solaris Trusted Extensions(JDS)는 해당 데스크탑의 신뢰할 수 있는 버전입니다.
/usr/bin/vi – 영상 편집기입니다.
예를 들어, 역할의 홈 디렉토리에서 Korn 쉘에 대한 .kshrc 파일과 C 쉘에 대한 .cshrc 파일을 수정합니다.
예를 들어, Korn 쉘에서는 다음 명령을 사용합니다.
# setenv EDITOR=pathname-of-editor # export $EDITOR
C 쉘에서는 다음 명령을 사용합니다.
# setenv EDITOR=pathname-of-editor
Bourne 쉘에서는 다음 명령을 사용합니다.
# EDITOR=pathname-of-editor # export EDITOR
예 5-1 신뢰할 수 있는 편집기에 대한 편집기 지정
보안 관리자 역할은 시스템 파일을 편집할 때 vi를 사용하려고 합니다. 이 역할을 맡은 사용자는 역할의 홈 디렉토리에 있는 .kshrc 초기화 파일을 수정합니다.
$ cd /home/secadmin $ vi .kshrc ## Interactive shell set -o vi ... export EDITOR=vi
다음에 어느 사용자가 보안 관리자 역할을 맡더라도 신뢰할 수 있는 편집기는 vi입니다.
보안 관리자 역할은 Solaris Management Console을 사용하여 언제든지 계정의 암호를 변경할 수 있게 인증되었습니다. 그러나 Solaris Management Console에서는 시스템 계정의 암호를 변경할 수 없습니다. 시스템 계정은 UID가 100 미만인 계정입니다. root는 UID가 0이기 때문에 시스템 계정입니다.
사이트에서 수퍼유저를 root 역할로 만든 경우 root 역할을 맡습니다.
Trusted Path(신뢰할 수 있는 경로) 메뉴에서 Change Password(암호 변경)를 선택합니다.
예 5-2 역할의 암호 변경
LDAP에 정의된 역할을 맡을 수 있는 사용자는 Trusted Path(신뢰할 수 있는 경로) 메뉴를 사용하여 역할의 암호를 변경할 수 있습니다. 그러면 해당 역할을 맡으려고 하는 모든 사용자에 대해 LDAP에서 암호가 변경됩니다.
Oracle Solaris OS에서와 같이 기본 관리자 역할은 Solaris Management Console을 사용하여 역할의 암호를 변경할 수 있습니다. Trusted Extensions에서는 보안 관리자 역할이 Solaris Management Console을 사용하여 다른 역할의 암호를 변경할 수 있습니다.
“보안” 키 조합을 사용하여 신뢰할 수 없는 응용 프로그램의 포인터 잡기나 키보드 잡기를 해제할 수 있습니다. 또한 이 키보드 조합을 사용하여 신뢰할 수 있는 응용 프로그램에서 포인터가 키보드를 잡았는지 확인할 수 있습니다. 여러 개의 신뢰할 수 있는 스트라이프를 표시하도록 스푸핑된 멀티헤디드 시스템에서 이 키 조합은 인증된 신뢰할 수 있는 스트라이프로 포인터를 가져옵니다.
키를 동시에 눌러 현재 데스크탑 포커스에 대한 컨트롤을 다시 얻습니다. Sun 키보드에서 다이아몬드는 Meta 키입니다.
<Meta> <Stop>
포인터와 같은 잡기를 신뢰할 수 없는 경우 포인터가 스트라이프로 이동합니다. 신뢰할 수 있는 포인터는 신뢰할 수 있는 스트라이프로 이동하지 않습니다.
<Alt> <Break>
키를 동시에 눌러 랩탑에서 현재 데스크탑 포커스에 대한 컨트롤을 다시 얻습니다.
예 5-3 암호 프롬프트를 신뢰할 수 있는지 테스트
Sun 키보드를 사용하는 x86 시스템에서는 사용자에게 암호를 묻는 프롬프트가 나타납니다. 커서가 잡혔으며 암호 대화 상자에 있습니다. 프롬프트를 신뢰할 수 있는지 확인하기 위해 사용자가 <Meta> <Stop> 키를 동시에 누릅니다. 포인터가 대화 상자에 남아 있으면 암호 프롬프트를 신뢰할 수 있는 것입니다.
그러나 포인터가 신뢰할 수 있는 스트라이프로 이동하면 암호 프롬프트를 신뢰할 수 없는 것이므로 관리자에게 문의해야 합니다.
예 5-4 포인터를 신뢰할 수 있는 스트라이프로 가져오기
이 예에서 사용자는 신뢰할 수 있는 프로세스를 실행하고 있지 않지만 마우스 포인터를 볼 수 없습니다. 포인터를 신뢰할 수 있는 스트라이프의 중앙으로 가져오기 위해 사용자는 <Meta> <Stop> 키를 동시에 누릅니다.
이 절차에서는 레이블의 내부 16진수 표현을 제공합니다. 이 표현은 공용 디렉토리에 저장하기에 안전합니다. 자세한 내용은 atohexlabel(1M) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.
$ atohexlabel "CONFIDENTIAL : NEED TO KNOW" 0x0004-08-68
$ atohexlabel -c "CONFIDENTIAL NEED TO KNOW" 0x0004-08-68
주 - 사람이 읽을 수 있는 민감도 레이블과 클리어런스 레이블은 label_encodings 파일의 규칙에 따라 구성됩니다. 각 유형의 레이블은 이 파일의 개별 구역에 있는 규칙을 사용합니다. 민감도 레이블과 클리어런스 레이블 모두 동일한 기본 수준의 민감도를 표현할 경우 두 레이블의 16진수 형식은 동일합니다. 그러나 사람이 읽을 수 있는 형식은 다를 수 있습니다. 사람이 읽을 수 있는 형식을 입력으로 받아들이는 시스템 인터페이스에서는 한 가지 유형의 레이블을 예상합니다. 레이블 유형에 대한 텍스트 문자열이 다를 경우 이들 텍스트 문자열을 혼용할 수 없습니다.
기본 label_encodings 파일에서 클리어런스 레이블에 해당하는 텍스트에는 콜론(:)이 포함되지 않습니다.
예 5-5 atohexlabel 명령 사용
16진수 형식의 올바른 레이블을 전달하면 명령에서 인수를 반환합니다.
$ atohexlabel 0x0004-08-68 0x0004-08-68
관리 레이블을 전달하면 명령에서 인수를 반환합니다.
$ atohexlabel admin_high ADMIN_HIGH atohexlabel admin_low ADMIN_LOW
일반 오류
위치 0의 <문자열>에서 atohexlabel 구문 분석 오류가 발생했습니다는 오류 메시지는 atohexlabel에 전달한 <문자열> 인수가 올바른 레이블이나 클리어런스가 아님을 나타냅니다. 입력 내용을 확인하고 설치한 label_encodings 파일에 레이블이 존재하는지 확인합니다.
이 절차에서는 내부 데이터베이스에 저장된 레이블을 복구하는 방법을 제공합니다. 자세한 내용은 hextoalabel(1M) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
$ hextoalabel 0x0004-08-68 CONFIDENTIAL : NEED TO KNOW
$ hextoalabel -c 0x0004-08-68 CONFIDENTIAL NEED TO KNOW
Trusted Extensions에서는 보안 관리자가 시스템의 기본 보안 설정을 변경하거나 액세스합니다.
보안 설정은 /etc/security 및 /etc/default 디렉토리의 파일에 있습니다. Oracle Solaris 시스템에서는 수퍼 유저가 이러한 파일을 편집할 수 있습니다. Oracle Solaris 보안에 대한 자세한 내용은 System Administration Guide: Security Services의 3 장, Controlling Access to Systems (Tasks)를 참조하십시오.
주의 - 사이트 보안 정책에서 허용하는 경우에만 시스템 보안 기본값을 완화하십시오. |
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
자세한 내용은 Trusted Extensions에서 관리 파일을 편집하는 방법을 참조하십시오.
다음 표에는 보안 파일 및 해당 파일에서 변경할 보안 매개변수가 나열되어 있습니다.
|