보안을 위한 사용자 환경 사용자 정의(작업 맵)

다음 작업 맵에서는 모든 사용자에 대해 시스템을 사용자 정의하거나 개발 사용자의 계정을 사용자 정의할 때 수행할 수 있는 일반적인 작업을 설명합니다.

기본 사용자 레이블 속성을 수정하는 방법

첫 번째 시스템 구성 중에 기본 사용자 레이블 속성을 수정할 수 있습니다. 변경 사항을 모든 Trusted Extensions 호스트에 복사해야 합니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.

1. /etc/security/tsol/label_encodings 파일에서 기본 사용자 속성 설정을 검토합니다.

   기본값은 label_encodings 파일 기본값을 참조하십시오.

2. label_encodings 파일에서 사용자 속성 설정을 수정합니다.

   신뢰할 수 있는 편집기를 사용합니다. 자세한 내용은 Trusted Extensions에서 관리 파일을 편집하는 방법을 참조하십시오. Trusted CDE에서도 레이블 인코딩 편집 작업을 사용할 수 있습니다. 자세한 내용은 Trusted Extensions에서 CDE 관리 작업을 시작하는 방법을 참조하십시오.

   label_encodings 파일은 모든 호스트에서 동일해야 합니다.

3. 파일 복사본을 모든 Trusted Extensions 호스트에 배포합니다.

policy.conf 기본값을 수정하는 방법

Trusted Extensions에서 policy.conf 기본값을 변경하는 것은 Oracle Solaris OS에서 보안 관련 시스템 파일을 변경하는 것과 유사합니다. Trusted Extensions에서는 신뢰할 수 있는 편집기를 사용하여 시스템 파일을 수정합니다.

시작하기 전에

전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.

1. /etc/security/policy.conf 파일에서 기본 설정을 검토합니다.

   Trusted Extensions 키워드는 표 6-1을 참조하십시오.

2. 설정을 수정합니다.

   신뢰할 수 있는 편집기를 사용하여 시스템 파일을 편집합니다. 자세한 내용은 Trusted Extensions에서 관리 파일을 편집하는 방법을 참조하십시오.

예 7-1 시스템의 유휴 설정 변경

이 예에서 보안 관리자는 유휴 시스템을 로그인 화면으로 되돌리려고 합니다. 기본값은 유휴 시스템을 잠그는 것입니다. 따라서 보안 관리자 역할은 IDLECMD 키워드=값 쌍을 /etc/security/policy.conf 파일에 다음과 같이 추가합니다.

IDLECMD=LOGOUT

또한 관리자는 시스템이 유휴 상태 이후 로그아웃되는 시간을 줄이려고 합니다. 따라서 보안 관리자 역할은 IDLETIME 키워드=값 쌍을 policy.conf 파일에 다음과 같이 추가합니다.

IDLETIME=10

이제 시스템은 10분 동안의 유휴 상태 이후 사용자를 로그아웃합니다.

예 7-2 모든 사용자의 기본 권한 세트 수정

이 예에서 Sun Ray 설치의 보안 관리자는 일반 사용자가 다른 Sun Ray 사용자의 프로세스를 볼 수 없게 하려고 합니다. 따라서 Trusted Extensions로 구성된 모든 시스템에서 관리자는 기본 권한 세트에서 proc_info를 제거합니다. /etc/policy.conf 파일의 PRIV_DEFAULT 설정은 다음과 같이 수정됩니다.

PRIV_DEFAULT=basic,!proc_info

예 7-3 시스템의 모든 사용자에게 인쇄 관련 인증 할당

이 예에서 보안 관리자는 컴퓨터의 /etc/security/policy.conf 파일에 다음을 입력하여 공용 키오스크 컴퓨터에서 레이블 없이 인쇄할 수 있도록 합니다. 다음 부팅부터 이 키오스크에서 모든 사용자의 인쇄 작업은 페이지 레이블 없이 인쇄됩니다.

AUTHS_GRANTED= solaris.print.unlabeled

그런 다음 관리자는 용지 절약을 위해 배너 및 트레일러 페이지를 제거하기로 결정합니다. 먼저 인쇄 관리자에서 Always Print Banners(항상 배너 인쇄) 확인란이 선택되지 않았는지 확인합니다. 그리고 policy.conf 항목을 다음과 같이 수정하고 재부팅합니다. 이제 모든 인쇄 작업은 레이블이 없으며 배너나 트레일러 페이지도 없습니다.

AUTHS_GRANTED= solaris.print.unlabeled,solaris.print.nobanner

Trusted Extensions에서 사용자의 시작 파일을 구성하는 방법

사용자는 최소 민감도 레이블에서 해당하는 레이블의 .copy_files 파일 및 .link_files 파일을 홈 디렉토리에 넣을 수 있습니다. 또한 사용자의 최소 레이블에서 기존 .copy_files 및 .link_files 파일을 수정할 수 있습니다. 다음은 관리자 역할이 사이트에 대한 설정을 자동화하는 절차입니다.

시작하기 전에

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.

1. 두 Trusted Extensions 시작 파일을 만듭니다.

   .copy_files 및 .link_files를 시작 파일 목록에 추가할 것입니다.

   # cd /etc/skel
   # touch .copy_files .link_files

2. .copy_files 파일을 사용자 정의합니다.
   1. 신뢰할 수 있는 편집기를 시작합니다.

      자세한 내용은 Trusted Extensions에서 관리 파일을 편집하는 방법을 참조하십시오.

   2. .copy_files 파일의 전체 경로 이름을 입력합니다.

      /etc/skel/.copy_files

   3. 모든 레이블에서 사용자의 홈 디렉토리에 복사할 파일을 한 줄에 하나씩 .copy_files에 입력합니다.

      .copy_files 및 .link_files 파일을 참조하십시오. 예제 파일은 예 7-4를 참조하십시오.

3. .link_files 파일을 사용자 정의합니다.
   1. 신뢰할 수 있는 편집기에 .link_files 파일에 대한 전체 경로 이름을 입력합니다.

      /etc/skel/.link_files

   2. 모든 레이블에서 사용자의 홈 디렉토리에 링크할 파일을 한 줄에 하나씩 .link_files에 입력합니다.
4. 사용자에 대한 기타 시작 파일을 사용자 정의합니다.

   • 시작 파일에 포함할 항목에 대한 자세한 내용은 System Administration Guide: Basic Administration의 Customizing a User’s Work Environment를 참조하십시오.

   • 자세한 내용은 System Administration Guide: Basic Administration의 How to Customize User Initialization Files의 How to Customize User Initialization Files를 참조하십시오.

   • 예는 예 7-4를 참조하십시오.

5. (옵션) 기본 쉘이 프로파일 쉘인 사용자에 대한 skelP 하위 디렉토리를 만듭니다.

   P는 프로파일 쉘을 나타냅니다.

6. 사용자 정의된 시작 파일을 적절한 골격 디렉토리에 복사합니다.
7. 사용자를 만들 때 적절한 skelX 경로 이름을 사용합니다.

   X는 쉘 이름의 시작 문자를 나타냅니다(예: Bourne 쉘의 경우 B, Korn 쉘의 경우 K, C 쉘의 경우 C, Profile 쉘의 경우 P).

예 7-4 사용자의 시작 파일 사용자 정의

이 예에서 보안 관리자는 모든 사용자의 홈 디렉토리에 대한 파일을 구성합니다. 사용자가 로그인하기 전에 파일을 배치합니다. 파일은 사용자의 최소 레이블에 있습니다. 이 사이트에서 사용자의 기본 쉘은 C 쉘입니다.

보안 관리자는 신뢰할 수 있는 편집기에서 다음 내용으로 .copy_files 및 .link_files 파일을 만듭니다.

## .copy_files for regular users
## Copy these files to my home directory in every zone
.mailrc
.mozilla
.soffice
:wq

## .link_files for regular users with C shells
## Link these files to my home directory in every zone
.cshrc
.login
.Xdefaults
.Xdefaults-hostname
:wq

## .link_files for regular users with Korn shells
# Link these files to my home directory in every zone
.ksh
.profile
.Xdefaults
.Xdefaults-hostname
:wq

쉘 초기화 파일에서 관리자는 사용자의 인쇄 작업이 레이블이 있는 프린터로 가도록 합니다.

## .cshrc file
setenv PRINTER conf-printer1
setenv LPDEST  conf-printer1

## .ksh file
export PRINTER conf-printer1
export LPDEST  conf-printer1

관리자는 .Xdefaults-home-directory-server 파일을 수정하여 dtterm 명령에서 새 터미널에 대해 .profile 파일을 소싱하도록 합니다.

## Xdefaults-HDserver
Dtterm*LoginShell: true

사용자 정의된 파일은 적절한 골격 디렉토리에 복사됩니다.

$ cp .copy_files .link_files .cshrc .login .profile \
.mailrc .Xdefaults .Xdefaults-home-directory-server \
/etc/skelC
$ cp .copy_files .link_files .ksh .profile \
.mailrc .Xdefaults .Xdefaults-home-directory-server \
/etc/skelK

일반 오류

가장 낮은 레이블에서 .copy_files 파일을 만든 다음 상위 영역으로 로그인하여 updatehome 명령을 실행하고 명령이 액세스 오류와 함께 실패할 경우 다음을 시도합니다.

• 상위 수준 영역에서 하위 수준 디렉토리를 볼 수 있는지 확인합니다.

  higher-level zone# ls /zone/lower-level-zone/home/username
  ACCESS ERROR: there are no files under that directory

• 디렉토리를 볼 수 없는 경우 상위 수준 영역에서 자동 마운트 서비스를 재시작합니다.

  higher-level zone# svcadm restart autofs

홈 디렉토리에 대해 NFS 마운트를 사용하지 않는 경우 상위 수준 영역의 자동 마운트는 /zone/lower-level-zone/export/home/username에서 /zone/lower-level-zone/home/username으로 루프백 마운트되어야 합니다.

정보 레이블을 재지정할 때 시간 초과를 연장하는 방법

Trusted Extensions에서 Selection Manager(선택 관리자)는 레이블 간의 정보 전송을 조정합니다. Selection Manager(선택 관리자)는 끌어 놓기 작업 및 잘라서 붙여넣기 작업을 수행할 때 나타납니다. 일부 응용 프로그램에서는 Selection Manager(선택 관리자)가 개입할 수 있도록 적절한 시간 초과를 설정해야 합니다. 값이 2분이면 충분합니다.

---

주의 - 레이블이 없는 시스템에서는 기본 시간 초과 값을 변경하지 마십시오. 시간 초과 값이 더 길어지면 작업이 실패합니다.

---

시작하기 전에

전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.

1. StarOffice 응용 프로그램의 경우 다음을 수행합니다.
   1. office-install-directory/VCL.xcu 파일로 이동합니다.

      여기서 office-install-directory는 StarOffice 설치 디렉토리입니다. 예:

      office-top-dir/share/registry/data/org/staroffice

   2. SelectionTimeout 특성 값을 120으로 변경합니다.

      신뢰할 수 있는 편집기를 사용합니다. 자세한 내용은 Trusted Extensions에서 관리 파일을 편집하는 방법을 참조하십시오.

      기본값은 3초입니다. 값이 120이면 시간 초과가 2분으로 설정됩니다.

2. GNOME 도구 키트(GTK) 라이브러리를 사용하는 응용 프로그램 사용자의 경우 선택 시간 초과 특성 값을 2분으로 변경합니다.

   ---

   주 - 또는 각 사용자가 선택 시간 특성 값을 변경하도록 할 수도 있습니다.

   ---

   대부분의 Sun Java 데스크탑 시스템 응용 프로그램에서는 GTK 라이브러리를 사용합니다. Mozilla, Firefox 및 Thunderbird와 같은 웹 브라우저에서는 GTK 라이브러리를 사용합니다.

   기본적으로 선택 시간 초과 값은 300초나 5초입니다. 값이 7200이면 시간 초과가 2분으로 설정됩니다.

   1. GTK 시작 파일을 만듭니다.

      파일 이름을 .gtkrc-mine으로 지정합니다. .gtkrc-mine 파일은 최소 레이블에서 사용자의 홈 디렉토리에 속합니다.

   2. 선택 시간 초과 값을 파일에 추가합니다.

      ## $HOME/.gtkrc-mine file
      *gtk-selection-timeout: 7200

      Oracle Solaris OS에서 gnome-settings-daemon은 시작 시 이 파일을 읽습니다.

3. (옵션) .gtkrc-mine 파일을 각 사용자의 .link_files 파일 목록에 추가합니다.

   자세한 내용은 Trusted Extensions에서 사용자의 시작 파일을 구성하는 방법을 참조하십시오.

Trusted Extensions에서 비상 안전 세션에 로그인하는 방법

Trusted Extensions에서 비상 안전 로그인은 보호되어 있습니다. 일반 사용자가 쉘 초기화 파일을 사용자 정의한 후 로그인할 수 없게 된 경우 비상 안전 로그인을 사용하여 사용자의 파일을 수정할 수 있습니다.

시작하기 전에

root 암호를 알고 있어야 합니다.

1. Oracle Solaris OS와 마찬가지로 로그인 화면에서 Options(옵션) –> Failsafe Session(비상 안전 세션)을 선택합니다.
2. 프롬프트에서 사용자가 사용자 이름과 암호를 제공하도록 합니다.
3. root 암호에 대한 프롬프트에서 root에 대한 암호를 제공합니다.

   이제 사용자의 초기화 파일을 디버깅할 수 있습니다.