탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행(작업)
Trusted Extensions 관리자로 시작하기(작업 맵)
Trusted Extensions에서 전역 영역으로 들어가는 방법
Trusted Extensions에서 전역 영역을 종료하는 방법
Trusted Extensions의 일반 작업(작업 맵)
레이블이 있는 영역에서 새 로컬 사용자 암호를 강제 적용하는 방법
데스크탑의 현재 포커스에 대한 컨트롤을 다시 얻는 방법
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리(작업)
14. Trusted Extensions에서 파일 관리 및 마운트(작업)
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리(참조)
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 검사 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
다음 작업 맵에서는 Trusted Extensions의 일반적인 관리 절차를 설명합니다.
|
Trusted Extensions에서는 암호 변경을 위한 GUI를 제공합니다.
단계는 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.
영역마다 별도의 암호가 만들어진 경우 Change Workspace Password(작업 공간 암호 변경) 메뉴가 나타날 수도 있습니다.
다음 조건에서는 레이블이 있는 영역을 재부트해야 합니다.
한 명 이상의 로컬 사용자가 암호를 변경했습니다.
모든 영역에서 단일 인스턴스의 이름 지정 서비스 캐시 데몬(nscd)을 사용합니다.
시스템이 LDAP가 아닌 파일로 관리됩니다.
시작하기 전에
Zone Security 권한 프로파일이 지정되어 있어야 합니다.
다음 방법 중 하나를 사용합니다.
# txzonemgr &
Labeled Zone Manager(레이블이 있는 영역 관리자)에서 레이블이 있는 영역으로 이동하고 명령 목록에서 Halt(정지)를 선택한 다음 Boot(부트)를 선택합니다.
시스템을 종료하거나 정지하도록 선택할 수 있습니다.
zlogin 명령은 영역을 완전히 종료합니다.
# zlogin labeled-zone shutdown -i 0 # zoneadm -z labeled-zone boot
halt 하위 명령은 종료 스크립트를 건너뜁니다.
# zoneadm -z labeled-zone halt # zoneadm -z labeled-zone boot
일반 오류
레이블이 있는 영역에 대한 사용자 암호를 자동으로 업데이트하려면 LDAP를 구성하거나 영역마다 하나의 이름 지정 서비스를 구성해야 합니다. 둘 다 구성할 수도 있습니다.
LDAP를 구성하려면 5 장Trusted Extensions에 대해 LDAP 구성(작업) 을 참조하십시오.
영역마다 하나의 이름 지정 서비스를 구성하려면 고급 네트워킹 기술이 필요합니다. 절차는 각 레이블이 있는 영역에 대해 별도의 이름 서비스를 구성하는 방법을 참조하십시오.
“보안” 키 조합을 사용하여 신뢰할 수 없는 응용 프로그램의 포인터 잡기나 키보드 잡기를 해제할 수 있습니다. 또한 이 키보드 조합을 사용하여 신뢰할 수 있는 응용 프로그램에서 포인터가 키보드를 잡았는지 확인할 수 있습니다. 여러 개의 신뢰할 수 있는 스트라이프를 표시하도록 스푸핑된 멀티헤디드 시스템에서 이 키 조합은 인증된 신뢰할 수 있는 스트라이프로 포인터를 가져옵니다.
키를 동시에 눌러 현재 데스크탑 포커스에 대한 컨트롤을 다시 얻습니다. Sun 키보드에서 다이아몬드는 Meta 키입니다.
<Meta> <Stop>
포인터와 같은 잡기를 신뢰할 수 없는 경우 포인터가 스트라이프로 이동합니다. 신뢰할 수 있는 포인터는 신뢰할 수 있는 스트라이프로 이동하지 않습니다.
<Alt> <Break>
키를 동시에 눌러 랩탑에서 현재 데스크탑 포커스에 대한 컨트롤을 다시 얻습니다.
예 9-1 암호 프롬프트를 신뢰할 수 있는지 테스트
Sun 키보드를 사용하는 x86 시스템에서는 사용자에게 암호를 묻는 프롬프트가 나타납니다. 커서가 잡혔으며 암호 대화 상자에 있습니다. 프롬프트를 신뢰할 수 있는지 확인하기 위해 사용자가 <Meta> <Stop> 키를 동시에 누릅니다. 포인터가 대화 상자에 남아 있으면 암호 프롬프트를 신뢰할 수 있는 것입니다.
그러나 포인터가 신뢰할 수 있는 스트라이프로 이동하면 암호 프롬프트를 신뢰할 수 없는 것이므로 관리자에게 문의해야 합니다.
예 9-2 포인터를 신뢰할 수 있는 스트라이프로 가져오기
이 예에서 사용자는 신뢰할 수 있는 프로세스를 실행하고 있지 않지만 마우스 포인터를 볼 수 없습니다. 포인터를 신뢰할 수 있는 스트라이프의 중앙으로 가져오기 위해 사용자는 <Meta> <Stop> 키를 동시에 누릅니다.
이 절차에서는 레이블의 내부 16진수 표현을 제공합니다. 이 표현은 공용 디렉토리에 저장하기에 안전합니다. 자세한 내용은 atohexlabel(1M) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다. 자세한 내용은 Trusted Extensions에서 전역 영역으로 들어가는 방법을 참조하십시오.
$ atohexlabel "CONFIDENTIAL : INTERNAL USE ONLY" 0x0004-08-48
문자열은 대소문자를 구분하지 않지만 공백은 정확해야 합니다. 예를 들어, 다음 따옴표로 묶인 문자열은 16진수 레이블을 반환합니다.
"CONFIDENTIAL : INTERNAL USE ONLY"
"cnf : Internal"
"confidential : internal"
다음 따옴표로 묶인 문자열은 구문 분석 오류를 반환합니다.
"confidential:internal"
"confidential: internal"
$ atohexlabel -c "CONFIDENTIAL NEED TO KNOW" 0x0004-08-68
주 - 사람이 읽을 수 있는 민감도 레이블과 클리어런스 레이블은 label_encodings 파일의 규칙에 따라 구성됩니다. 각 유형의 레이블은 이 파일의 개별 구역에 있는 규칙을 사용합니다. 민감도 레이블과 클리어런스 레이블 모두 동일한 기본 수준의 민감도를 표현할 경우 두 레이블의 16진수 형식은 동일합니다. 그러나 사람이 읽을 수 있는 형식은 다를 수 있습니다. 사람이 읽을 수 있는 형식을 입력으로 받아들이는 시스템 인터페이스에서는 한 가지 유형의 레이블을 예상합니다. 레이블 유형에 대한 텍스트 문자열이 다를 경우 이들 텍스트 문자열을 혼용할 수 없습니다.
label_encodings 파일에서 클리어런스 레이블에 해당하는 텍스트에는 콜론(:)이 포함되지 않습니다.
예 9-3 atohexlabel 명령 사용
16진수 형식의 올바른 레이블을 전달하면 명령에서 인수를 반환합니다.
$ atohexlabel 0x0004-08-68 0x0004-08-68
관리 레이블을 전달하면 명령에서 인수를 반환합니다.
$ atohexlabel admin_high ADMIN_HIGH atohexlabel admin_low ADMIN_LOW
일반 오류
위치 0의 <문자열>에서 atohexlabel 구문 분석 오류가 발생했습니다는 오류 메시지는 atohexlabel에 전달한 <문자열> 인수가 올바른 레이블이나 클리어런스가 아님을 나타냅니다. 입력 내용을 확인하고 설치한 label_encodings 파일에 레이블이 존재하는지 확인합니다.
이 절차에서는 내부 데이터베이스에 저장된 레이블을 복구하는 방법을 제공합니다. 자세한 내용은 hextoalabel(1M) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
$ hextoalabel 0x0004-08-68 CONFIDENTIAL : NEED TO KNOW
$ hextoalabel -c 0x0004-08-68 CONFIDENTIAL NEED TO KNOW
Oracle Solaris의 Trusted Extensions에서 root 계정은 시스템의 기본 보안 값을 변경할 수 있습니다.
보안 값은 /etc/security 및 /etc/default 디렉토리의 파일에 있습니다. 자세한 내용은 Oracle Solaris 관리: 보안 서비스의 3 장, 시스템에 대한 액세스 제어(작업)를 참조하십시오.
주의 - 사이트 보안 정책에서 허용하는 경우에만 시스템 보안 기본값을 완화하십시오. |
시작하기 전에
전역 영역에서 root 역할을 가진 사용자여야 합니다.
다음 표에는 보안 파일 및 해당 파일에서 변경할 수 있는 보안 값이 나열되어 있습니다.
|