탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
이 절에서는 PAM 프레임워크에서 특정 보안 정책을 사용하도록 하기 위해 필요할 수 있는 몇 가지 작업을 설명합니다. PAM 구성 파일과 관련된 몇 가지 보안 문제에 대해 알고 있어야 합니다. 보안 문제에 대한 자세한 내용은 PAM 구현 계획을 참조하십시오.
|
기본적으로 제공되는 pam.conf 구성 파일은 표준 보안 정책을 구성합니다. 이 정책은 많은 상황에서 작동해야 합니다. 서로 다른 보안 정책을 구현해야 하는 경우 초점을 맞추어야 하는 문제는 다음과 같습니다.
무엇이 필요한지, 특히 어떤 PAM 서비스 모듈을 선택해야 하는지 결정합니다.
특수한 구성 옵션이 필요한 서비스를 파악합니다. 해당하는 경우 other를 사용합니다.
모듈이 실행되어야 하는 순서를 결정합니다.
각 모듈에 대한 제어 플래그를 선택합니다. 모든 제어 플래그에 대한 자세한 내용은 PAM 스택이 작동하는 방식을 참조하십시오.
각 모듈에 필요한 옵션을 선택합니다. 각 모듈에 대한 매뉴얼 페이지에는 특수 옵션이 나열되어 있어야 합니다.
다음은 PAM 구성 파일을 변경하기 전에 고려해야 할 몇 가지 제안 사항입니다.
각 모듈 유형에 대해 other 항목을 사용하여 모든 응용 프로그램이 /etc/pam.conf에 포함될 필요가 없도록 합니다.
binding, sufficient 및 optional 제어 플래그의 보안 구현을 고려합니다.
모듈과 연결된 매뉴얼 페이지를 검토합니다. 이러한 매뉴얼 페이지는 각 모듈의 작동 방식, 사용 가능한 옵션 및 스택 모듈 사이의 상호 작용을 이해하는 데 도움을 줄 수 있습니다.
주의 - PAM 구성 파일이 잘못 구성되거나 파일이 손상될 경우 사용자가 로그인하지 못하게 될 수 있습니다. sulogin 명령은 PAM을 사용하지 않으므로 시스템을 단일 사용자 모드로 부트하고 문제를 수정하려면 root 암호가 필요할 수 있습니다. |
/etc/pam.conf 파일을 변경한 후 시스템 액세스 권한이 있을 때 가능한 많이 파일을 검토하여 문제를 해결하십시오. 변경 사항으로 영향을 받을 수 있는 모든 명령을 테스트합니다. 예는 새 모듈을 telnet 서비스에 추가하는 것입니다. 이 예에서는 telnet 명령을 사용하고 변경 사항으로 서비스가 예상대로 작동하는지 확인합니다.
이 절차에서는 새 PAM 모듈을 추가하는 방법을 보여줍니다. 사이트별 보안 정책을 포함하거나 타사 응용 프로그램을 지원하기 위해 새 모듈을 만들 수 있습니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
제어 플래그에 대한 자세한 내용은 PAM 스택이 작동하는 방식을 참조하십시오.
구성 파일이 잘못 구성된 경우를 대비하여 시스템이 재부트되기 전에 테스트해야 합니다. 시스템을 재부트하기 전에 ssh와 같은 직접 서비스를 사용하여 로그인하고 su 명령을 실행합니다. 서비스는 시스템이 부트될 때 한 번만 생성되는 데몬일 수 있습니다. 그런 경우 모듈이 추가되었는지 확인하려면 시스템을 재부트해야 합니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
이 단계는 rlogin 세션 중 ~/.rhosts 파일이 읽혀지지 않도록 합니다. 따라서 이 단계는 원격 시스템에서 로컬 시스템에 대한 인증되지 않은 액세스를 막습니다. ~/.rhosts 또는 /etc/hosts.equiv 파일의 존재 여부나 내용에 상관없이 모든 rlogin 액세스에는 암호가 필요합니다.
~/.rhosts 파일에 대한 다른 인증되지 않은 액세스를 막으려면 rsh 서비스를 사용 안함으로 설정합니다.
# svcadm disable network/shell
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
로깅 레벨에 대한 자세한 내용은 syslog.conf(4)를 참조하십시오.
# svcadm refresh system/system-log