탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
감사할 작업의 종류에 대해 선별하고자 합니다. 동시에 유용한 감사 정보를 수집하고자 합니다. 그리고 누구를 감사하고 무엇을 감사할지 신중하게 계획해야 합니다. 기본 audit_binfile 플러그인을 사용하는 경우 감사 파일이 빠르게 커지면서 사용 가능한 공간을 채우므로 충분한 디스크 공간을 할당해야 합니다.
다음 작업 맵에서는 디스크 공간 및 기록할 이벤트를 계획하는 데 필요한 주요 작업을 안내합니다.
|
시스템에 비전역 영역이 포함되어 있는 경우 전역 영역과 동일하게 영역을 감사하거나 각 비전역 영역에 대한 감사 서비스를 별도로 구성, 사용 및 사용 안함으로 설정할 수 있습니다. 예를 들어, 비전역 영역만 감사하고 전역 영역은 감사하지 않을 수 있습니다.
장단점에 대한 자세한 내용은 Oracle Solaris 영역이 있는 시스템에 대한 감사를 참조하십시오.
모든 영역을 동일하게 감사하면 단일 이미지 감사 추적이 만들어집니다. 단일 이미지 감사 추적은 audit_binfile 또는 audit_remote 플러그인을 사용할 때 발생하며, 시스템의 모든 영역이 한 관리 도메인의 일부입니다. 그러면 모든 영역의 레코드가 동일한 설정으로 사전 선택되므로 감사 레코드를 쉽게 비교할 수 있습니다.
이 구성은 모든 영역을 한 시스템의 일부로 취급합니다. 전역 영역은 시스템에서 하나의 감사 서비스만 실행하고 모든 영역에 대한 감사 레코드를 수집합니다. 전역 영역에서만 audit_class 및 audit_event 파일을 사용자 정의한 다음 이러한 파일을 모든 비전역 영역에 복사합니다.
주 - 이름 지정 서비스 파일이 비전역 영역에서 사용자 정의되고 perzone 정책이 설정되지 않으면 감사 도구를 신중하게 사용하여 유용한 레코드를 선택해야 합니다. 한 영역의 사용자 ID는 다른 영역에서 동일한 ID를 가진 다른 사용자를 가리킬 수 있습니다.
영역 이름을 감사 레코드의 일부로 두려면 전역 영역에서 zonename 정책을 설정합니다. 그러면 auditreduce 명령이 감사 추적에서 영역별로 감사 이벤트를 선택할 수 있습니다. 예는 auditreduce(1M) 매뉴얼 페이지를 참조하십시오.
단일 이미지 감사 추적을 계획하려면 감사할 대상(사용자 및 객체)을 계획하는 방법을 참조하십시오. 첫번째 단계부터 시작합니다. 또한 전역 영역 관리자는 감사 레코드의 디스크 공간 계획 방법에 설명된 대로 저장소를 마련해 두어야 합니다.
서로 다른 영역에서 서로 다른 이름 지정 서비스 데이터베이스를 사용하거나 영역 관리자가 해당 영역의 감사를 제어하고자 하는 경우 영역별 감사를 구성하려면 선택합니다.
주 - 비전역 영역을 감사하려면 perzone 정책을 설정해야 하지만, 전역 영역에서는 감사 서비스를 사용으로 설정하지 않아도 됩니다. 비전역 영역 감사가 구성되고 해당 감사 서비스가 전역 영역과 별도로 사용 및 사용 안함으로 설정됩니다.
영역별 감사를 구성할 경우 전역 영역에서 perzone 감사 정책을 설정합니다. 비전역 영역이 처음으로 부트되기 전에 영역별 감사가 설정된 경우 감사는 영역의 최초 부트부터 시작됩니다. 감사 정책을 설정하려면 영역별 감사를 구성하는 방법을 참조하십시오.
각 영역 관리자가 영역에 대한 감사를 구성합니다.
비전역 영역 관리자는 perzone 및 ahlt를 제외한 모든 정책 옵션을 설정할 수 있습니다.
각 영역 관리자는 영역의 감사를 사용 또는 사용 안함으로 설정할 수 있습니다.
영역별 감사를 계획하려면 감사할 대상(사용자 및 객체)을 계획하는 방법을 참조하십시오. 첫번째 단계를 건너뛸 수 있습니다. 또한 audit_binfile 플러그인이 활성 상태인 경우 각 영역 관리자는 감사 레코드의 디스크 공간 계획 방법에 설명된 대로 영역마다 저장소를 마련해 두어야 합니다.
시작하기 전에
비전역 영역을 구현하는 경우 이 절차를 사용하기 전에 영역에서 감사를 계획하는 방법을 검토하십시오.
주 - 이 단계는 audit_binfile 플러그인에만 적용됩니다.
단일 관리 도메인 내의 시스템은 단일 시스템 이미지 감사 추적을 만들 수 있습니다. 시스템에서 서로 다른 이름 지정 서비스를 사용하는 경우 단계 2부터 시작합니다. 그런 다음 모든 시스템에 대해 나머지 계획 단계를 완료합니다.
사이트에 대해 단일 시스템 이미지 감사 추적을 만들려면 설치 환경의 모든 시스템이 다음과 같이 구성되어야 합니다.
모든 시스템에 대해 동일한 이름 지정 서비스를 사용합니다.
감사 레코드의 올바른 구현을 위해서는 passwd, group 및 hosts 파일이 일관적이어야 합니다.
모든 시스템에서 동일하게 감사 서비스를 구성합니다. 서비스 설정 표시 및 수정에 대한 자세한 내용은 auditconfig(1M) 매뉴얼 페이지를 참조하십시오.
모든 시스템에 대해 동일한 audit_warn, audit_event 및 audit_class 파일을 사용합니다.
기본적으로 cnt 정책만 사용으로 설정됩니다.
auditconfig -lspolicy 명령을 사용하여 사용 가능한 정책 옵션에 대한 설명을 봅니다.
정책 옵션의 효과는 감사 정책 이해를 참조하십시오.
cnt 정책의 효과는 비동기 및 동기 이벤트에 대한 감사 정책을 참조하십시오.
감사 정책을 설정하려면 감사 정책을 변경하는 방법을 참조하십시오.
거의 모든 상황에서 기본 매핑이면 충분합니다. 하지만 새 클래스를 추가하거나 클래스 정의를 변경하거나 특정 시스템 호출의 레코드가 유용하지 않다고 판단되는 경우 이벤트-클래스 매핑을 수정할 수도 있습니다.
예는 감사 이벤트의 클래스 멤버쉽을 변경하는 방법을 참조하십시오.
감사 클래스를 추가하거나 기본 클래스를 변경하는 가장 좋은 시기는 사용자가 시스템에 로그인하기 전입니다.
auditconfig 명령에 -setflags 및 -setnaflags 옵션을 사용하여 사전 선택하는 감사 클래스는 모든 사용자와 프로세스에 적용됩니다. 성공, 실패 또는 둘 다에 대해 클래스를 사전 선택할 수 있습니다.
감사 클래스 목록은 /etc/security/audit_class 파일을 검토하십시오.
일부 사용자를 시스템과 다르게 감사하도록 결정할 경우에는 개별 사용자 또는 권한 프로파일에 대한 audit_flags 보안 속성을 수정할 수 있습니다. 사용자 사전 선택 마스크는 감사 플래그가 명시적으로 설정되었거나 명시적인 감사 플래그로 권한 프로파일이 지정된 사용자를 위해 수정되었습니다.
절차는 사용자의 감사 특성을 구성하는 방법을 참조하십시오. 적용되는 감사 플래그 값에 대한 자세한 내용은 지정된 보안 속성의 검색 순서를 참조하십시오.
audit_warn 스크립트는 감사 시스템에서 관리 주의가 요구되는 상황을 감지할 때마다 실행됩니다. 기본적으로 audit_warn 스크립트는 전자 메일을 audit_warn 별칭에 보내고 메시지를 콘솔로 보냅니다.
별칭을 설정하려면 audit_warn 전자 메일 별칭을 구성하는 방법을 참조하십시오.
세 가지 옵션이 있습니다.
기본적으로 이진 감사 레코드를 로컬에 저장합니다. 기본 저장소 디렉토리는 /var/audit.입니다 audit_binfile 플러그인을 추가로 구성하려면 감사 파일에 대한 ZFS 파일 시스템을 만드는 방법을 참조하십시오.
audit_remote 플러그인을 사용하여 이진 감사 레코드를 보호된 원격 저장소로 스트리밍합니다. 레코드에 대한 수신자가 있어야 합니다. 요구 사항은 원격 저장소 관리를 참조하십시오. 절차는 원격 저장소에 감사 파일을 보내는 방법을 참조하십시오.
audit_syslog 플러그인을 사용하여 감사 레코드 요약을 syslog에 보냅니다. 절차는 syslog 감사 로그를 구성하는 방법을 참조하십시오.
이진과 syslog 형식에 대한 비교는 감사 로그를 참조하십시오.
주 - 이 단계는 audit_binfile 플러그인에만 적용됩니다.
감사 파일 시스템의 디스크 공간이 최소 여유 공간 비율 또는 소프트 한계 아래로 떨어지면 감사 서비스는 다음 사용 가능한 감사 디렉토리로 전환합니다. 그런 다음 서비스에서는 소프트 한계를 초과했다는 경고를 보냅니다.
최소 여유 공간 비율을 설정하려면 예 28-17을 참조하십시오.
주 - 이 단계는 audit_binfile 플러그인에만 적용됩니다.
기본 구성에서는 audit_binfile 플러그인이 활성화되고 cnt 정책이 설정됩니다. 이 구성에서는 커널 감사 대기열이 가득 차면 시스템이 계속 작동합니다. 시스템에서는 삭제되는 감사 레코드 수를 계산하지만 이벤트를 기록하지 않습니다. 더욱 높은 보안을 위해 cnt 정책을 사용 안함으로 설정하고 ahlt 정책을 사용으로 설정할 수 있습니다. 비동기 이벤트를 감사 대기열에 둘 수 없으면 ahlt 정책은 시스템을 중지시킵니다.
이러한 정책 옵션에 대한 자세한 내용은 비동기 및 동기 이벤트에 대한 감사 정책을 참조하십시오. 이러한 정책 옵션을 구성하려면 예 28-6을 참조하십시오.
하지만 audit_binfile 대기열이 가득 차고 다른 활성 플러그인에 대한 대기열이 가득 차지 않으면 커널 대기열이 가득 차지 않은 플러그인에 계속해서 레코드를 보냅니다. audit_binfile 대기열에서 다시 레코드를 수신할 수 있게 되면 감사 서비스가 레코드 보내기를 재개합니다.
주 - 적어도 하나의 플러그인에 대한 대기열이 감사 레코드를 수신하지 않으면 cnt 또는 ahlt 정책이 트리거되지 않습니다.
audit_binfile 플러그인은 감사 추적을 만듭니다. 감사 추적에는 전용 파일 공간이 필요합니다. 이 공간은 사용 가능하고 안전해야 합니다. 시스템에서는 초기 저장소에 대해 /var/audit 파일 시스템을 사용합니다. 감사 파일에 대해 추가 감사 파일 시스템을 구성할 수 있습니다. 다음 절차에서는 감사 추적 저장소를 계획할 때 해결해야 하는 문제를 다룹니다.
시작하기 전에
비전역 영역을 구현하는 경우 이 절차를 사용하기 전에 영역에서 감사를 계획하는 방법을 완료하십시오.
audit_binfile 플러그인을 사용하는 중입니다.
사이트의 보안 요구 사항과 감사 추적용 디스크 공간 가용성의 균형을 맞춥니다.
사이트 보안을 유지하면서 공간 요구 사항을 줄이는 방법과 감사 저장소를 설계하는 방법은 감사 비용 제어 및 효율적으로 감사를 참조하십시오.
실제 단계는 생성되는 감사 레코드의 양을 줄이는 방법, 전용 파일 시스템에서 감사 파일을 압축하는 방법 및 예 28-30을 참조하십시오.
사용할 모든 파일 시스템 목록을 만듭니다. 구성에 대한 자세한 내용은 감사 추적 저장 및 관리 및 auditreduce(1M) 매뉴얼 페이지를 참조하십시오. 감사 파일 시스템을 지정하려면 감사 추적에 대한 감사 공간을 지정하는 방법을 참조하십시오.
자세한 내용은 신뢰할 수 있는 시간 기록 유지를 참조하십시오.
주 - 식별된 ARS(감사 원격 서버)로 구성된 Kerberos 영역이 있고 해당 영역 내에 모든 감사되는 시스템이 포함되는 경우 이 절차를 건너뛸 수 있습니다. ARS 및 감사되는 시스템을 구성하는 단계는 감사 파일에 대한 원격 저장소를 구성하는 방법 및 원격 저장소에 감사 파일을 보내는 방법을 참조하십시오.
audit_remote 플러그인은 audit_binfile 플러그인이 로컬 감사 파일에 쓰는 것과 동일한 형식으로 ARS에 이진 감사 추적을 보냅니다. audit_remote 플러그인은 libgss 라이브러리를 사용하여 ARS를 인증하고 GSS-API 방식을 사용하여 개인 정보의 전송 및 무결성을 보호합니다. 자세한 내용은 Kerberos 서비스란? 및 Kerberos 구성 요소를 참조하십시오.
현재까지 지원되는 유일한 GSS-API 방식은 kerberosv5입니다. 자세한 내용은 mech(4) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
audit_remote 플러그인을 사용할 계획입니다.
ARS로 작동하는 시스템을 사용하거나 인접 시스템을 사용할 수 있습니다. ARS는 상당히 많은 양의 트래픽을 마스터 KDC로 보냅니다.
Kerberos 패키지가 이미 시스템에 있는 경우 출력 결과가 다음과 비슷하게 표시됩니다.
# pkg search -l kerberos-5 INDEX ACTION VALUE PACKAGE pkg.summary set Kerberos version 5 support pkg:/service/security/kerberos-5@vn pkg.summary set Kerberos V5 Master KDC pkg:/system/security/kerberos-5@vn
첫번째 명령은 Kerberos V5 Master KDC 패키지가 설치되었는지 확인합니다. 두번째 명령은 패키지를 설치합니다.
# pkg info system/security/kerberos-5 pkg: info: no packages matching these patterns are installed on the system. # pkg install pkg:/system/security/kerberos-5
마스터 KDC는 Kerberos kdcmgr 및 kadmin 명령을 사용하여 영역을 관리합니다. 자세한 내용은 kdcmgr(1M) 및 kadmin(1M) 매뉴얼 페이지를 참조하십시오.
# pkg install pkg:/system/security/kerberos-5
이 패키지에는 kclient 명령이 포함됩니다. 이러한 시스템에서 kclient 명령을 사용하여 KDC와 연결합니다. 자세한 내용은 kclient(1M) 매뉴얼 페이지를 참조하십시오.
감사되는 시스템과 ARS 간의 클럭 불균형이 너무 크면 연결 시도가 실패합니다. 이진 감사 파일 이름 지정 규칙에 설명된 대로 연결이 설정된 후 ARS의 로컬 시간에 따라 저장된 감사 파일의 이름이 결정됩니다.
클럭에 대한 자세한 내용은 신뢰할 수 있는 시간 기록 유지를 참조하십시오.