탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행(작업)
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리(작업)
14. Trusted Extensions에서 파일 관리 및 마운트(작업)
16. Trusted Extensions에서 네트워크 관리(작업)
사이트별 보안 템플리트가 필요한지 여부를 확인하는 방법
신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법
다중 레벨 Trusted Extensions 네트워크에서 IPsec 보호를 적용하는 방법
Trusted Extensions 네트워크를 디버깅하는 방법
LDAP 서버에 대한 클라이언트 연결을 디버깅하는 방법
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리(참조)
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 검사 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
정적 경로는 레이블이 있는 패킷이 레이블이 있는 게이트웨이와 레이블이 없는 게이트웨이를 통해 대상에 도달할 수 있도록 합니다. MLP는 응용 프로그램에서 하나의 진입점을 사용하여 모든 영역에 도달할 수 있도록 합니다.
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
각 대상 호스트, 네트워크 및 게이트웨이를 보안 템플리트에 추가했습니다. 자세한 내용은 호스트를 보안 템플리트에 추가하는 방법 및 호스트 범위를 보안 템플리트에 추가하는 방법을 참조하십시오.
# txzonemgr &
영역에 둘 이상의 IP 주소가 있을 경우 원하는 인터페이스가 있는 항목을 선택합니다.
주 - 기본 라우터를 제거하거나 수정하려면 항목을 제거하고 IP 항목을 다시 만든 다음 라우터를 추가합니다. 영역에 하나의 IP 주소만 있는 경우 IP 인스턴스를 제거하여 항목을 제거해야 합니다.
예 16-17 route 명령을 사용하여 전역 영역에 대한 기본 경로 설정
이 예에서 관리자는 route 명령을 사용하여 전역 영역에 대한 기본 경로를 만듭니다.
# route add default 192.168.113.1 -static
개인 및 공유 MLP를 레이블이 있는 영역 및 전역 영역에 추가할 수 있습니다.
이 절차는 레이블이 있는 영역에서 실행되는 응용 프로그램이 영역과 통신하기 위해 다중 레벨 포트(MLP)가 필요한 경우 사용됩니다. 이 절차에서 웹 프록시는 영역과 통신합니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자여야 합니다. 시스템에는 둘 이상의 IP 주소가 있어야 하고 레이블이 있는 영역은 정지됩니다.
## /etc/hosts file ... proxy-host-name IP-address web-service-host-name IP-address
예를 들어, 명시적으로 PUBLIC 레이블이 지정된 패킷을 인식하도록 public 영역을 구성합니다. 이 구성의 경우 보안 템플리트의 이름은 webprox입니다.
# tncfg -t webprox tncfg:public> set name=webprox tncfg:public> set host_type=cipso tncfg:public> set min_label=public tncfg:public> set max_label=public tncfg:public> add host=mywebproxy.oracle.comhost name associated with public zone tncfg:public> add host=10.1.2.3/16IP address of public zone tncfg:public> exit
예를 들어, 웹 프록시 서비스는 8080/tcp 인터페이스를 통해 PUBLIC 영역과 통신할 수 있습니다.
# tncfg -z public add mlp_shared=8080/tcp # tncfg -z public add mlp_private=8080/tcp
# zoneadm -z zone-name boot
경로를 추가하려면 기본 경로를 추가하는 방법을 수행합니다.
예 16-18 txzonemgr GUI를 사용하여 MLP 구성
관리자는 Labeled Zone Manager(레이블이 있는 영역 관리자)를 열어 웹 프록시 서비스를 구성합니다.
# txzonemgr &
관리자는 PUBLIC 영역을 두 번 누른 다음 Configure Multilevel Ports(다중 레벨 포트 구성)를 두 번 누릅니다. 그런 다음 관리자는 Private interfaces(개인 인터페이스) 행을 선택하고 두 번 누릅니다. 선택이 다음과 유사한 입력 필드로 바뀝니다.
Private interfaces:111/tcp;111/udp
관리자는 세미콜론 구분자를 사용하여 웹 프록시 입력을 시작합니다.
Private interfaces:111/tcp;111/udp;8080/tcp
개인 입력을 완료한 후 관리자는 웹 프록시를 Shared interfaces(공유 인터페이스) 필드에 입력합니다.
Shared interfaces:111/tcp;111/udp;8080/tcp
public 영역에 대한 다중 레벨 포트가 영역의 다음 부트 시 활성화된다는 팝업 메시지가 나타납니다.
예 16-19 udp를 통해 NFSv3에 대한 개인 다중 레벨 포트 구성
이 예에서 관리자는 udp를 통해 NFSv3 하위 읽기 마운트를 사용으로 설정합니다. 관리자는 tncfg 명령을 사용할 수도 있습니다.
# tncfg -z global add mlp_private=2049/udp
txzonemgr GUI는 MLP를 정의할 수 있는 또 하나의 방법을 제공합니다.
Labeled Zone Manager(레이블이 있는 영역 관리자)에서 관리자는 global 영역을 두 번 누른 다음 Configure Multilevel Ports(다중 레벨 포트 구성)를 두 번 누릅니다. MLP 메뉴에서 관리자는 Private interfaces(개인 인터페이스) 행을 선택하고 두 번 누른 다음 포트/프로토콜을 추가합니다.
Private interfaces:111/tcp;111/udp;8080/tcp
global 영역에 대한 다중 레벨 포트가 다음 부트 시 활성화된다는 팝업 메시지가 나타납니다.
예 16-20 시스템의 다중 레벨 포트 표시
이 예에서 시스템은 레이블이 있는 여러 영역으로 구성되어 있습니다. 모든 영역은 동일한 IP 주소를 공유합니다. 또한 일부 영역은 영역별 주소로 구성되어 있습니다. 이 구성에서 웹 브라우징을 위한 TCP 포트인 8080 포트는 공용 영역의 공유 인터페이스에서 MLP입니다. 또한 관리자는 telnet용 TCP 포트 23이 공용 영역에서 MLP가 되도록 설정했습니다. 이러한 두 MLP는 공유 인터페이스에 있으므로 전역 영역을 비롯한 다른 영역에서는 공유 인터페이스의 8080 및 23 포트에서 패킷을 받을 수 없습니다.
또한 ssh에 대한 TCP 포트인 22 포트는 공용 영역에서 영역별 MLP입니다. 공용 영역의 ssh 서비스는 주소의 레이블 범위 내에 있는 영역별 주소에서 패킷을 수신할 수 있습니다.
다음 명령은 공용 영역에 대한 MLP를 보여줍니다.
$ tninfo -m public private: 22/tcp shared: 23/tcp;8080/tcp
다음 명령은 전역 영역에 대한 MLP를 보여줍니다. 전역 영역은 공용 영역과 동일한 주소를 공유하므로 23 및 8080 포트는 전역 영역에서 MLP가 될 수 없습니다.
$ tninfo -m global private: 111/tcp;111/udp;514/tcp;515/tcp;631/tcp;2049/tcp; 6000-6003/tcp;38672/tcp;60770/tcp; shared: 6000-6003/tcp