탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
Trusted Extensions의 보안 기능 구성 인터페이스
Trusted Extensions로 Oracle Solaris 보안 기능 확장
9. Trusted Extensions에서 일반 작업 수행
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리
14. Trusted Extensions에서 파일 관리 및 마운트
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 점검 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
시스템 보안이 손상되지 않도록 관리자는 암호, 파일 및 감사 데이터를 보호해야 합니다. 사용자에게 각자 맡은 부분을 수행하도록 교육해야 합니다. 평가된 구성에 대해 요구 사항을 일관되게 유지하려면 이 섹션의 지침을 따르십시오.
각 사이트의 보안 관리자는 사용자에게 보안 절차에 대해 교육해야 합니다. 보안 관리자는 신입 직원에게 다음 규칙에 대해 전달하고 기존 직원에게 해당 규칙에 대해 정기적으로 상기시켜야 합니다.
암호를 아무에게도 말하지 마십시오.
다른 사람이 암호를 알고 있는 경우 책임을 지지 않고 사용자가 액세스할 수 있는 동일한 정보에 몰래 액세스할 수 있습니다.
암호를 기록해 두거나 전자 메일 메시지에 포함시키지 마십시오.
추측하기 어려운 암호를 선택하십시오.
암호를 다른 사람에게 전자 메일로 보내지 마십시오.
화면을 잠그거나 로그오프하지 않고 컴퓨터를 떠나지 마십시오.
관리자는 전자 메일을 통해 사용자에게 지침을 전달하지 않습니다. 따라서 관리자가 전자 메일로 보낸 지침은 따르지 말고 다시 한 번 관리자의 확인을 받으십시오.
전자 메일의 보낸 사람 정보가 위조되었을 수 있습니다.
자신이 만든 파일과 디렉토리에 대한 액세스 권한은 사용자의 책임이므로 해당 파일과 디렉토리에 대한 사용 권한이 올바르게 설정되어 있는지 확인하십시오. 권한 부여되지 않은 사용자에게 파일 읽기, 파일 변경, 디렉토리 내용 보기 또는 디렉토리에 추가 권한을 허용하지 마십시오.
사이트에서 추가 제안 사항을 제공할 수 있습니다.
전자 메일을 사용하여 사용자에게 수행할 작업을 지시하는 것은 안전한 방법이 아닙니다.
관리자가 보낸 지침이 포함된 전자 메일을 신뢰하지 않도록 사용자에게 경고하십시오. 그러면 스푸핑된 전자 메일 메시지를 통해 사용자를 속여서 암호를 특정 값으로 변경하거나 암호를 알려달라고 하여 해당 암호로 로그인한 다음 시스템을 손상시킬 수 있는 시도를 차단할 수 있습니다.
시스템 관리자 역할은 새 계정을 만들 때 고유한 사용자 이름과 사용자 ID를 지정해야 합니다. 새 계정에 대한 이름과 ID를 선택할 때 사용자 이름과 관련 ID가 네트워크상에서 중복되지 않고 이전에 사용한 적이 없는지 확인해야 합니다.
보안 관리자 역할은 각 계정에 대한 원본 암호를 지정하고 새 계정의 사용자에게 암호를 전달할 책임이 있습니다. 암호를 관리할 때 다음 정보를 고려해야 합니다.
보안 관리자 역할을 맡을 수 있는 사용자에 대한 계정이 잠글 수 없도록 구성되어 있는지 확인합니다. 그러면 모든 다른 계정이 잠겨 있을 때 항상 최소 하나의 계정이 로그인하여 보안 관리자 역할을 맡은 다음 모든 사람의 계정을 다시 열 수 있습니다.
다른 사람이 암호를 도청할 수 없는 방법으로 새 계정의 사용자에게 암호를 전달합니다.
모르는 사람이 암호를 알아냈을 것 같은 의심이 드는 경우 계정 암호를 변경하십시오.
시스템 수명 기간 동안 사용자 이름 또는 사용자 ID를 다시 사용하지 마십시오.
사용자 이름과 사용자 ID를 다시 사용하지 않으면 다음에 대한 혼동을 방지할 수 있습니다.
감사 레코드를 분석할 때 어느 사용자가 어느 작업을 수행했는지 여부
보관된 파일을 복원할 때 어느 파일이 어느 사용자의 소유인지 여부
관리자는 보안이 중요한 파일에 대한 DAC(임의 액세스 제어) 및 MAC(필수 액세스 제어) 보호를 올바르게 설정하여 유지 관리해야 할 책임이 있습니다. 중요한 파일은 다음과 같습니다.
shadow 파일 – 암호화된 암호가 포함되어 있습니다. shadow(4) 매뉴얼 페이지를 참조하십시오.
auth_attr 파일 – 사용자 정의 권한 부여가 포함되어 있습니다. auth_attr(4) 매뉴얼 페이지를 참조하십시오.
prof_attr 파일 – 사용자 정의 권한 프로파일이 포함되어 있습니다. prof_attr(4) 매뉴얼 페이지를 참조하십시오.
exec_attr 파일 – 사이트에서 권한 프로파일에 추가한 보안 속성을 가진 명령이 포함되어 있습니다. exec_attr(4) 매뉴얼 페이지를 참조하십시오.
감사 추적 – 감사 서비스에서 수집된 감사 레코드가 포함되어 있습니다. audit.log(4) 매뉴얼 페이지를 참조하십시오.
로컬 파일의 암호는 DAC에 의해 보기가 방지되고 DAC와 MAC 모두에 의해 수정이 금지됩니다. 로컬 계정에 대한 암호는 root만 읽을 수 있는 /etc/shadow 파일에서 유지 관리됩니다. 자세한 내용은 shadow(4) 매뉴얼 페이지를 참조하십시오.
시스템 관리자 역할은 로컬 시스템과 네트워크에서 모든 그룹에 고유한 그룹 ID(GID)가 있는지 확인해야 합니다.
로컬 그룹을 시스템에서 삭제할 때 시스템 관리자 역할은 다음을 확인해야 합니다.
계정을 시스템에서 삭제할 때 시스템 관리자 역할과 보안 관리자 역할은 다음 작업을 수행해야 합니다.
모든 영역에서 계정의 홈 디렉토리를 삭제합니다.
삭제된 계정이 소유한 모든 프로세스 또는 작업을 삭제합니다.
해당 계정이 소유한 모든 객체를 삭제하거나 소유권을 다른 사용자에게 지정합니다.
사용자를 대신하여 예정된 모든 at 또는 batch 작업을 삭제합니다. 자세한 내용은 at(1) 및 crontab(1) 매뉴얼 페이지를 참조하십시오.
사용자 이름 또는 사용자 ID를 절대 다시 사용하지 마십시오.