시스템 보안

다음 작업은 순서대로 수행하는 것이 가장 좋습니다. 현재 Oracle Solaris OS가 설치되어 있고 root 역할을 소비할 수 있는 초기 사용자만 시스템에 액세스할 수 있습니다.

패키지 확인 방법

설치 후 바로 패키지를 확인하여 설치를 검증합니다.

시작하기 전에

root 역할을 가져야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

1. pkg verify 명령을 실행합니다.

   레코드를 보존하려면 명령 출력을 파일로 전송합니다.

   # pkg verify > /var/pkgverifylog

2. 로그에서 오류를 검토합니다.
3. 오류가 있으면 매체에서 재설치하거나 오류를 수정합니다.

참조

자세한 내용은 pkg(1) 및 pkg(5) 매뉴얼 페이지를 참조하십시오. 매뉴얼 페이지에는 pkg verify 명령 사용 예가 포함되어 있습니다.

불필요한 서비스를 사용 안함으로 설정하는 방법

이 절차를 사용하여 시스템 목적에 따라 필요하지 않은 서비스를 사용 안함으로 설정합니다.

시작하기 전에

root 역할을 가져야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

1. 온라인 서비스를 나열합니다.

   # svcs | grep network
   online         Sep_07   svc:/network/loopback:default
   ...
   online         Sep_07   svc:/network/ssh:default

2. 이 시스템에 필요하지 않은 서비스를 사용 안함으로 설정합니다.

   예를 들어, 시스템이 NFS 서버 또는 웹 서버가 아니고 서비스가 온라인인 경우 서비스를 사용 안함으로 설정합니다.

   # svcadm disable svc:/network/nfs/server:default
   # svcadm disable svc:/network/http:apache22

참조

자세한 내용은 Oracle Solaris 11.1에서 서비스 및 결함 관리의 1 장, 서비스 관리(개요) 및 svcs(1) 매뉴얼 페이지를 참조하십시오.

사용자의 전원 관리 기능을 제거하는 방법

이 절차에 따라 시스템 사용자가 시스템을 일시 중지하거나 전원을 끄지 않도록 방지합니다.

시작하기 전에

root 역할을 가져야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

1. 콘솔 사용자 권한 프로파일의 내용을 검토합니다.

   % getent prof_attr | grep Console
   Console User:RO::Manage System as the Console User:
   profiles=Desktop Removable Media User,Suspend To RAM,Suspend To Disk,
   Brightness,CPU Power Management,Network Autoconf User;
   auths=solaris.system.shutdown;help=RtConsUser.html

2. 사용자가 보존하게 하려는 콘솔 사용자 프로파일의 모든 권한이 포함된 권한 프로파일을 만듭니다.

   자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 권한 프로파일을 만드는 방법을 참조하십시오.

3. /etc/security/policy.conf 파일의 콘솔 사용자 권한 프로파일을 주석 처리합니다.

   #CONSOLE_USER=Console User

4. 단계 2에서 만든 권한 프로파일을 사용자에게 지정합니다.

   # usermod -P +new-profile username

참조

자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 policy.conf 파일과 policy.conf(4) 및 usermod(1M) 매뉴얼 페이지를 참조하십시오.

배너 파일에 보안 메시지를 배치하는 방법

이 절차를 수행하여 두 개의 배너 파일에서 사이트의 보안 정책이 반영된 보안 메시지를 만듭니다. 로컬 및 원격 로그인 시 해당 배너 파일의 내용이 표시됩니다.

시작하기 전에

Administrator Message Edit 권한 프로파일에 지정된 관리자여야 합니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 지정된 관리 권한을 사용하는 방법을 참조하십시오.

1. /etc/issue 파일에 보안 메시지를 추가합니다.

   $ pfedit /etc/issue
         ALERT   ALERT   ALERT   ALERT   ALERT
   
   This machine is available to authorized users only.
   
   If you are an authorized user, continue. 
   
   Your actions are monitored, and can be recorded.

   login 명령은 telnet 및 FTP 서비스에서와 같이 인증 전에 /etc/issue 내용을 표시합니다. 다른 응용 프로그램이 이 파일을 사용하도록 하려면 보안 메시지를 ssh 사용자에게 표시하는 방법 및 데스크탑 로그인 화면에 보안 메시지를 배치하는 방법을 참조하십시오.

   자세한 내용은 issue(4) 및 pfedit(1M) 매뉴얼 페이지를 참조하십시오.

2. /etc/motd 파일에 보안 메시지를 추가합니다.

   $ pfedit /etc/motd
   This system serves authorized users only. Activity is monitored and reported.

   Oracle Solaris에서 사용자의 초기 셸에는 /etc/motd 파일의 내용이 표시됩니다.

데스크탑 로그인 화면에 보안 메시지를 배치하는 방법

로그인 시 사용자가 검토할 보안 메시지를 만들 수 있는 여러 가지 방법 중에서 선택합니다.

자세한 내용을 보려면 데스크탑에서 System(시스템) → Help(도움말) 메뉴를 눌러 GNOME 도움말 브라우저를 표시합니다. yelp 명령을 사용해도 됩니다. 데스크탑 로그인 스크립트는 gdm(1M) 매뉴얼 페이지의 GDM Login Scripts and Session Files 절을 참조하십시오.

시작하기 전에

파일을 만들려면 root 역할을 가져야 합니다. 기존 파일을 수정하려면 solaris.admin.edit/path-to-existing-file 권한이 지정된 관리자여야 합니다.

• 다음 세 가지 옵션 중 하나를 사용하여 데스크탑 로그인 화면에 보안 메시지를 배치합니다.

  대화 상자를 만드는 옵션은 배너 파일에 보안 메시지를 배치하는 방법의 단계 1에서 /etc/issue 파일의 보안 메시지를 사용할 수 있습니다.

  • 옵션 1: 로그인 시 대화 상자에 보안 메시지를 표시하는 데스크탑 파일을 만듭니다.

    # pfedit /usr/share/gdm/autostart/LoginWindow/banner.desktop
    [Desktop Entry]
    Type=Application
    Name=Banner Dialog
    Exec=/usr/bin/zenity --text-info --width=800 --height=300 \
    --title="Security Message" \
    --filename=/etc/issue
    OnlyShowIn=GNOME;
    X-GNOME-Autostart-Phase=Application

    로그인 창에서 인증이 완료되면 대화 상자를 닫아야만 작업 공간에 연결할 수 있습니다. zenity 명령 옵션은 zenity(1) 매뉴얼 페이지를 참조하십시오.

  • 옵션 2: 대화 상자에 보안 메시지가 표시되도록 GDM 초기화 스크립트를 수정합니다.

    /etc/gdm 디렉토리에는 데스크탑 로그인 전, 데스크탑 로그인 도중 또는 데스크탑 로그인 직후 보안 메시지를 표시하는 세 가지 초기화 스크립트가 포함되어 있습니다. 이러한 스크립트는 Oracle Solaris 10 릴리스에서도 사용할 수 있습니다.

    • 로그인 화면이 나타나기 전에 보안 메시지를 표시합니다.

      $ pfedit /etc/gdm/Init/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message"  --filename=/etc/issue

      시스템 파일을 비root 사용자로 편집에 대한 자세한 내용은 pfedit(1M) 매뉴얼 페이지를 참조하십시오.

    • 인증 후 사용자의 초기 작업 공간에 보안 메시지를 표시합니다.

      $ pfedit /etc/gdm/PreSession/Default
      /usr/bin/zenity --text-info --width=800 --height=300 \
      --title="Security Message"  --filename=/etc/issue

      ---

      주 - 사용자 작업 공간에 여러 창이 표시된 경우 대화 상자가 가려질 수 있습니다.

      ---

  • 옵션 3: 입력 필드 위에 보안 메시지가 표시되도록 로그인 창을 수정합니다.

    메시지에 맞게 로그인 창이 확대됩니다. 이 방법에서는 /etc/issue 파일을 사용하지 않습니다. GUI에 텍스트를 입력해야 합니다.

    ---

    주 - 로그인 창(gdm-greeter-login-window.ui)은 pkg fix 및 pkg update 명령에 의해 겹쳐 쓰여집니다. 변경 사항을 보존하려면 구성 파일 디렉토리에 파일을 복사하고 시스템 업그레이드 후 새 파일에 변경 사항을 병합하십시오. 자세한 내용은 pkg(5) 매뉴얼 페이지를 참조하십시오.

    ---

    1. 로그인 창 사용자 인터페이스로 디렉토리를 변경합니다.

       # cd /usr/share/gdm

    2. (옵션) 원래 로그인 창 UI의 복사본을 저장합니다.

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.orig

    3. GNOME 툴킷 인터페이스 디자인 프로그램을 사용하여 로그인 창에 레이블을 추가합니다.

       glade-3 프로그램이 GTK+ 인터페이스 디자인 프로그램을 엽니다. 사용자 입력 필드 위에 표시되는 레이블에 보안 메시지를 입력합니다.

       # /usr/bin/glade-3 /usr/share/gdm/gdm-greeter-login-window.ui

       인터페이스 디자인 프로그램에 대한 지침을 검토하려면 GNOME 도움말 브라우저에서 Development(개발)를 누릅니다. 그러면 Manual Pages(설명서 페이지)의 Applications(응용 프로그램) 아래에 glade-3(1) 매뉴얼 페이지가 나열됩니다.

    4. (옵션) 수정된 로그인 창 UI의 복사본을 저장합니다.

       # cp gdm-greeter-login-window.ui /etc/gdm/gdm-greeter-login-window.ui.site

예 2-1 데스크탑 로그인 시 간단한 경고 메시지 만들기

이 예에서 관리자는 데스크탑 파일에 zenity 명령에 대한 인수로 간단한 메시지를 입력합니다. 또한 관리자는 --warning 옵션을 사용하여 메시지와 함께 경고 아이콘을 표시하도록 할 수 있습니다.

# pfedit /usr/share/gdm/autostart/LoginWindow/bannershort.desktop
[Desktop Entry]
Type=Application
Name=Banner Dialog
Exec=/usr/bin/zenity --warning --width=800  --height=150 --title="Security Message" \
--text="This system serves authorized users only. Activity is monitored and reported."
OnlyShowIn=GNOME;
X-GNOME-Autostart-Phase=Application