탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11 보안 지침 Oracle Solaris 11.1 Information Library (한국어) |
다음 작업은 순서대로 수행하는 것이 가장 좋습니다. 현재 Oracle Solaris OS가 설치되어 있고 root 역할을 소비할 수 있는 초기 사용자만 시스템에 액세스할 수 있습니다.
|
설치 후 바로 패키지를 확인하여 설치를 검증합니다.
시작하기 전에
root 역할을 가져야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
레코드를 보존하려면 명령 출력을 파일로 전송합니다.
# pkg verify > /var/pkgverifylog
참조
자세한 내용은 pkg(1) 및 pkg(5) 매뉴얼 페이지를 참조하십시오. 매뉴얼 페이지에는 pkg verify 명령 사용 예가 포함되어 있습니다.
이 절차를 사용하여 시스템 목적에 따라 필요하지 않은 서비스를 사용 안함으로 설정합니다.
시작하기 전에
root 역할을 가져야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# svcs | grep network online Sep_07 svc:/network/loopback:default ... online Sep_07 svc:/network/ssh:default
예를 들어, 시스템이 NFS 서버 또는 웹 서버가 아니고 서비스가 온라인인 경우 서비스를 사용 안함으로 설정합니다.
# svcadm disable svc:/network/nfs/server:default # svcadm disable svc:/network/http:apache22
참조
자세한 내용은 Oracle Solaris 11.1에서 서비스 및 결함 관리의 1 장, 서비스 관리(개요) 및 svcs(1) 매뉴얼 페이지를 참조하십시오.
이 절차에 따라 시스템 사용자가 시스템을 일시 중지하거나 전원을 끄지 않도록 방지합니다.
시작하기 전에
root 역할을 가져야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
% getent prof_attr | grep Console Console User:RO::Manage System as the Console User: profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk, Brightness,CPU Power Management,Network Autoconf User; auths=solaris.system.shutdown;help=RtConsUser.html
자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 권한 프로파일을 만드는 방법을 참조하십시오.
#CONSOLE_USER=Console User
# usermod -P +new-profile username
참조
자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 policy.conf 파일과 policy.conf(4) 및 usermod(1M) 매뉴얼 페이지를 참조하십시오.
이 절차를 수행하여 두 개의 배너 파일에서 사이트의 보안 정책이 반영된 보안 메시지를 만듭니다. 로컬 및 원격 로그인 시 해당 배너 파일의 내용이 표시됩니다.
주 - 이 절차의 샘플 메시지는 미국 정부 요구 사항을 충족하지 않으며 사용자의 보안 정책을 충족하지도 않습니다. 보안 메시지 내용에 대해서는 회사의 법률 전문가와 상의하는 것이 가장 좋습니다.
시작하기 전에
Administrator Message Edit 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.
$ pfedit /etc/issue ALERT ALERT ALERT ALERT ALERT This machine is available to authorized users only. If you are an authorized user, continue. Your actions are monitored, and can be recorded.
login 명령은 telnet 및 FTP 서비스에서와 같이 인증 전에 /etc/issue 내용을 표시합니다. 다른 응용 프로그램이 이 파일을 사용하도록 하려면 보안 메시지를 ssh 사용자에게 표시하는 방법 및 데스크탑 로그인 화면에 보안 메시지를 배치하는 방법을 참조하십시오.
자세한 내용은 issue(4) 및 pfedit(1M) 매뉴얼 페이지를 참조하십시오.
$ pfedit /etc/motd This system serves authorized users only. Activity is monitored and reported.
Oracle Solaris에서 사용자의 초기 셸에는 /etc/motd 파일의 내용이 표시됩니다.
로그인 시 사용자가 검토할 보안 메시지를 만들 수 있는 여러 가지 방법 중에서 선택합니다.
자세한 내용을 보려면 데스크탑에서 System(시스템) → Help(도움말) 메뉴를 눌러 GNOME 도움말 브라우저를 표시합니다. yelp 명령을 사용해도 됩니다. 데스크탑 로그인 스크립트는 gdm(1M) 매뉴얼 페이지의 GDM Login Scripts and Session Files 절을 참조하십시오.
주 - 이 절차의 샘플 메시지는 미국 정부 요구 사항을 충족하지 않으며 사용자의 보안 정책을 충족하지도 않습니다. 보안 메시지 내용에 대해서는 회사의 법률 전문가와 상의하는 것이 가장 좋습니다.
시작하기 전에
파일을 만들려면 root 역할을 가져야 합니다. 기존 파일을 수정하려면 solaris.admin.edit/path-to-existing-file 권한이 지정된 관리자여야 합니다.
대화 상자를 만드는 옵션은 배너 파일에 보안 메시지를 배치하는 방법의 단계 1에서 /etc/issue 파일의 보안 메시지를 사용할 수 있습니다.
# pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" \ --filename=/etc/issue OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application
로그인 창에서 인증이 완료되면 대화 상자를 닫아야만 작업 공간에 연결할 수 있습니다. zenity 명령 옵션은 zenity(1) 매뉴얼 페이지를 참조하십시오.
/etc/gdm 디렉토리에는 데스크탑 로그인 전, 데스크탑 로그인 도중 또는 데스크탑 로그인 직후 보안 메시지를 표시하는 세 가지 초기화 스크립트가 포함되어 있습니다. 이러한 스크립트는 Oracle Solaris 10 릴리스에서도 사용할 수 있습니다.
$ pfedit /etc/gdm/Init/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
시스템 파일을 비root 사용자로 편집에 대한 자세한 내용은 pfedit(1M) 매뉴얼 페이지를 참조하십시오.
$ pfedit /etc/gdm/PreSession/Default /usr/bin/zenity --text-info --width=800 --height=300 \ --title="Security Message" --filename=/etc/issue
주 - 사용자 작업 공간에 여러 창이 표시된 경우 대화 상자가 가려질 수 있습니다.
메시지에 맞게 로그인 창이 확대됩니다. 이 방법에서는 /etc/issue 파일을 사용하지 않습니다. GUI에 텍스트를 입력해야 합니다.
주 - 로그인 창(gdm-greeter-login-window.ui)은 pkg fix 및 pkg update 명령에 의해 겹쳐 쓰여집니다. 변경 사항을 보존하려면 구성 파일 디렉토리에 파일을 복사하고 시스템 업그레이드 후 새 파일에 변경 사항을 병합하십시오. 자세한 내용은 pkg(5) 매뉴얼 페이지를 참조하십시오.
# cd /usr/share/gdm
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig
glade-3 프로그램이 GTK+ 인터페이스 디자인 프로그램을 엽니다. 사용자 입력 필드 위에 표시되는 레이블에 보안 메시지를 입력합니다.
# /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui
인터페이스 디자인 프로그램에 대한 지침을 검토하려면 GNOME 도움말 브라우저에서 Development(개발)를 누릅니다. 그러면 Manual Pages(설명서 페이지)의 Applications(응용 프로그램) 아래에 glade-3(1) 매뉴얼 페이지가 나열됩니다.
# cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site
예 2-1 데스크탑 로그인 시 간단한 경고 메시지 만들기
이 예에서 관리자는 데스크탑 파일에 zenity 명령에 대한 인수로 간단한 메시지를 입력합니다. 또한 관리자는 --warning 옵션을 사용하여 메시지와 함께 경고 아이콘을 표시하도록 할 수 있습니다.
# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop [Desktop Entry] Type=Application Name=Banner Dialog Exec=/usr/bin/zenity --warning --width=800 --height=150 --title="Security Message" \ --text="This system serves authorized users only. Activity is monitored and reported." OnlyShowIn=GNOME; X-GNOME-Autostart-Phase=Application