탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
![]() |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
이 절에서는 PAM 프레임워크에서 특정 보안 정책을 사용하도록 하기 위해 필요할 수 있는 몇 가지 작업을 설명합니다. PAM 구성 파일과 관련된 몇 가지 보안 문제에 대해 알고 있어야 합니다. 보안 문제에 대한 자세한 내용은 PAM 구현 계획을 참조하십시오.
|
기본적으로 제공되는 PAM 구성은 표준 보안 정책을 구현합니다. 이 정책은 많은 상황에서 작동해야 합니다. 서로 다른 보안 정책을 구현해야 하는 경우 초점을 맞추어야 하는 문제는 다음과 같습니다.
무엇이 필요한지, 특히 어떤 PAM 서비스 모듈을 선택해야 하는지 결정합니다.
특수한 구성 옵션이 필요한 서비스를 파악합니다. 가능한 경우 서비스 이름 other를 사용하여 서비스의 기본값을 제공합니다.
모듈이 실행되어야 하는 순서를 결정합니다.
각 모듈에 대한 제어 플래그를 선택합니다. 모든 제어 플래그에 대한 자세한 내용은 PAM 스택이 작동하는 방식을 참조하십시오.
각 모듈에 필요한 옵션을 선택합니다. 각 모듈에 대한 매뉴얼 페이지에는 특수 옵션이 나열되어 있어야 합니다.
다음은 PAM 구성을 변경하기 전에 고려해야 할 몇 가지 제안 사항입니다.
모든 응용 프로그램을 PAM 구성에 포함할 필요가 없도록 각 모듈 유형에 대해 서비스 이름 other 항목을 사용합니다.
제어 플래그의 보안 영향을 고려하십시오.
모듈과 연결된 매뉴얼 페이지를 검토합니다. 이러한 매뉴얼 페이지는 각 모듈의 작동 방식, 사용 가능한 옵션 및 스택 모듈 사이의 상호 작용을 이해하는 데 도움을 줄 수 있습니다.
![]() | 주의 - PAM 구성이 잘못 구성되거나 손상될 경우 사용자가 로그인하지 못하게 될 수 있습니다. sulogin 명령은 PAM을 사용하지 않으므로 시스템을 단일 사용자 모드로 부트하고 문제를 수정하려면 root 암호가 필요할 수 있습니다. |
PAM 구성을 변경한 후 문제 수정을 위한 시스템 액세스 권한이 있을 때 가능한 한 많이 변경 사항을 검토하십시오. 변경 사항으로 영향을 받을 수 있는 모든 명령을 테스트합니다.
이 절차에서는 새 PAM 모듈을 추가하는 방법을 보여줍니다. 사이트별 보안 정책을 포함하거나 타사 응용 프로그램을 지원하기 위해 새 모듈을 만들 수 있습니다.
시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
제어 플래그에 대한 자세한 내용은 PAM 스택이 작동하는 방식을 참조하십시오.
/etc/pam.conf 또는 /etc/pam.d/service에서 항목을 변경할 수 있습니다.
구성 파일이 잘못 구성되었을 경우에 대비하여 테스트를 수행해야 합니다. ssh와 같은 직접 서비스를 사용하여 로그인하고 su 명령을 실행합니다.
주 - rsh 서비스는 기본적으로 사용으로 설정되지 않습니다. 보다 보안 수준이 높은 연결을 제공하기 위해서는 ssh 명령을 대신 사용합니다.
시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
이 단계는 rlogin 세션 중 ~/.rhosts 파일이 읽혀지지 않도록 합니다. 따라서 이 단계는 원격 시스템에서 로컬 시스템에 대한 인증되지 않은 액세스를 막습니다. ~/.rhosts 또는 /etc/hosts.equiv 파일의 존재 여부나 내용에 상관없이 모든 rlogin 액세스에는 암호가 필요합니다.
시스템에 대한 무단 액세스를 방지하려면 rsh 서비스를 사용 안함으로 설정합니다.
# svcadm disable network/shell:default
필요한 경우 rlogin 서비스도 사용 안함으로 설정합니다.
# svcadm disable network/login:rlogin
시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
# svcs system-log STATE STIME FMRI disabled 13:11:55 svc:/system/system-log:rsyslog online 13:13:27 svc:/system/system-log:default
주 - rsyslog 서비스 인스턴스가 온라인이면 rsyslog.conf 파일을 수정합니다.
로깅 레벨에 대한 자세한 내용은 syslog.conf(4) 매뉴얼 페이지를 참조하십시오. 대부분의 PAM 오류 보고는 LOG_AUTH 기능에 대해 수행됩니다.
# svcadm refresh system-log:default
주 - rsyslog 서비스가 온라인이면 system-log:rsyslog 서비스 인스턴스를 새로 고칩니다.
시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
파일의 영향에 대한 자세한 내용은 아래 텍스트의 설명을 참조하십시오.
# cat /etc/opt/pam_policy/custom-config # # PAM configuration which uses UNIX authentication for console logins, # LDAP for SSH keyboard-interactive logins, and denies telnet logins. # login auth requisite pam_authtok_get.so.1 login auth required pam_dhkeys.so.1 login auth required pam_unix_auth.so.1 login auth required pam_unix_cred.so.1 login auth required pam_dial_auth.so.1 # sshd-kbdint auth requisite pam_authtok_get.so.1 sshd-kbdint auth binding pam_unix_auth.so.1 server_policy sshd-kbdint auth required pam_unix_cred.so.1 sshd-kbdint auth required pam_ldap.so.1 # telnet auth requisite pam_deny.so.1 telnet account requisite pam_deny.so.1 telnet session requisite pam_deny.so.1 telnet password requisite pam_deny.so.1
파일은 root가 소유해야 하며 그룹 또는 전체 쓰기 가능일 수 없습니다.
# ls -l /etc/opt/pam_policy total 5 -r--r--r-- 1 root 4570 Jun 21 12:08 custom-config
/etc/opt/pam_policy의 custom-config 파일은 사용자 이름 jill에 지정됩니다.
# useradd -K pam_policy=/etc/opt/pam_policy/custom-config jill
시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 지정된 관리 권한을 사용하는 방법을 참조하십시오.
이 예에서는 ldap PAM 정책이 사용됩니다.
# profiles -p "PAM Per-User Policy of LDAP" \ 'set desc="Profile which sets pam_policy=ldap"; set pam_policy=ldap; exit;'
pfedit를 사용하여 새 정책을 PROFS_GRANTED 선언에 추가합니다.
# cat /etc/security/policy.conf . . AUTHS_GRANTED= PROFS_GRANTED=Basic Solaris User,PAM Per-User Policy of LDAP CONSOLE_USER=Console User
이전 절차의 단계 1에서 프로파일을 만든 경우 다음 명령을 사용하여 권한 프로파일을 사용자에게 지정할 수 있습니다.
# usermod -P +"PAM Per-User Policy of LDAP" jill