탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris Trusted Extensions 관리자 절차 Oracle Solaris 10 8/11 Information Library (한국어) |
3. Trusted Extensions 관리자로 시작하기(작업)
4. Trusted Extensions 시스템의 보안 요구 사항(개요)
5. Trusted Extensions의 보안 요구 사항 관리(작업)
6. Trusted Extensions의 사용자, 권한 및 역할(개요)
7. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
8. Trusted Extensions에서 원격 관리(작업)
Trusted Extensions에서 원격 시스템을 관리하는 방법
Trusted Extensions에서 역할을 통한 원격 로그인
Trusted Extensions에서 원격 로그인 관리
원격으로 Trusted Extensions 관리(작업 맵)
Trusted Extensions의 명령줄에서 원격으로 로그인하는 방법
dtappsession을 사용하여 Trusted Extensions를 원격으로 관리하는 방법
Trusted Extensions 시스템에서 Solaris Management Console을 사용하여 시스템을 원격으로 관리하는 방법
레이블이 없는 시스템에서 Solaris Management Console을 사용하여 시스템을 원격으로 관리하는 방법
특정 사용자가 Trusted Extensions의 전역 영역에 원격으로 로그인할 수 있게 설정하는 방법
Xvnc를 사용하여 Trusted Extensions 시스템에 원격으로 액세스하는 방법
9. Trusted Extensions 및 LDAP(개요)
10. Trusted Extensions에서 영역 관리(작업)
11. Trusted Extensions에서 파일 관리 및 마운트(작업)
13. Trusted Extensions에서 네트워크 관리(작업)
14. Trusted Extensions의 다중 레벨 메일(개요)
16. Trusted Extensions의 장치(개요)
17. Trusted Extensions에 대한 장치 관리(작업)
19. Trusted Extensions에서 소프트웨어 관리(작업)
A. Trusted Extensions 관리에 대한 빠른 참조
기본적으로 Trusted Extensions에서는 원격 관리를 허용하지 않습니다. 원격 관리를 허용하면 신뢰할 수 없는 원격 시스템의 사용자가 Trusted Extensions로 구성된 시스템을 관리할 수 있으므로 보안 위험이 커집니다. 따라서 처음에는 시스템이 원격 관리 옵션 없이 설치됩니다.
네트워크가 구성될 때까지 모든 원격 호스트에는 admin_low 보안 템플리트가 할당됩니다. 따라서 CIPSO 프로토콜은 연결에 사용되거나 허용되지 않습니다. 이 초기 상태에서 시스템은 다양한 메커니즘을 통해 원격 공격으로부터 보호됩니다. 메커니즘으로는 netservices 설정, 기본 로그인 정책, PAM 정책 등이 있습니다.
netservices SMF(Service Management Facility) 프로파일을 limited로 설정하면 SSH만 활성화되고 다른 원격 서비스는 활성화되지 않습니다. 그러나 로그인 및 PAM 정책으로 인해 ssh 서비스는 원격 로그인에 사용할 수 없습니다.
/etc/default/login 파일의 CONSOLE에 대한 기본 정책에서 root에 의한 원격 로그인을 금지하므로 root 계정을 원격 로그인에 사용할 수 없습니다.
원격 로그인에 적용되는 두 가지 PAM 설정이 있습니다.
pam_roles 모듈은 role 유형 계정에서의 로컬 로그인을 항상 거부합니다. 기본적으로 이 모듈은 원격 로그인을 거부합니다. 그러나 시스템의 pam.conf 항목에서 allow_remote를 지정하여 원격 로그인을 허용하도록 시스템을 구성할 수 있습니다.
pam_tsol_account 모듈은 CIPSO 프로토콜을 사용하지 않을 경우 전역 영역으로의 원격 로그인을 거부합니다. 이 정책은 다른 Trusted Extensions 시스템에서 원격 관리를 수행하기 위한 것입니다.
원격 로그인 기능을 활성화하려면 두 시스템에서 모두 해당 피어 시스템을 CIPSO 보안 템플리트에 할당해야 합니다. 이 방법으로 효과가 없는 경우 pam.conf 파일에서 allow_unlabeled 옵션을 지정하여 네트워크 프로토콜 정책을 완화할 수 있습니다. 정책을 완화할 경우 임의의 시스템에서 전역 영역에 액세스할 수 없도록 기본 네트워크 템플리트를 변경해야 합니다. 와일드카드 주소 0.0.0.0이 기본값 ADMIN_LOW 레이블로 설정되지 않도록 가급적 admin_low 템플리트를 사용하지 않고 tnrhdb 데이터베이스를 수정해야 합니다. 자세한 내용은 원격으로 Trusted Extensions 관리(작업 맵) 및 신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법을 참조하십시오.