| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
Trusted Extensions에서 원격 시스템을 관리하는 방법
Trusted Extensions에서 원격 시스템 구성 및 관리(작업 맵)
원격 Trusted Extensions 시스템의 원격 관리 사용
13. Trusted Extensions에서 영역 관리
14. Trusted Extensions에서 파일 관리 및 마운트
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 점검 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
원격 시스템을 Trusted Extensions로 재부트하기 전에 원격 관리를 사용으로 설정한 후 가상 네트워크 컴퓨팅(VNC) 또는 ssh 프로토콜을 사용하여 시스템을 구성할 수 있습니다.
|
주 - 보안 정책을 검토하여 사이트에서 허용되는 원격 관리 방법을 결정합니다.
이 절차에서는 Trusted Extensions 기능을 추가하기 전에 Oracle Solaris 원격 시스템에서 호스트 기반 인증을 사용으로 설정합니다. 원격 시스템은 보안 셸 서버입니다.
시작하기 전에
원격 시스템에는 Oracle Solaris가 설치되어 있고 해당 시스템에 액세스할 수 있습니다. root 역할을 가진 사용자여야 합니다.
절차는 Oracle Solaris 11.1 관리: 보안 서비스의 Secure Shell에 대한 호스트 기반 인증 설정 방법을 참조하십시오.
주 - cat 명령을 사용하지 마십시오. 보안 셸 연결을 통해 공개 키를 복사하여 붙여 넣습니다. 보안 셸 클라이언트가 Oracle Solaris 시스템이 아닌 경우 보안 셸 클라이언트를 호스트 기반 인증으로 구성하기 위한 해당 플랫폼의 지침을 따르십시오.
이 단계를 완료하면 두 시스템에서 root 역할을 맡을 수 있는 사용자 계정을 가지게 됩니다. 계정에는 동일한 UID, GID 및 역할이 지정됩니다. 또한 공개/개인 키 쌍을 생성하고 공개 키를 공유했습니다.
# pfedit /etc/ssh/sshd_config ## Permit remote login by root PermitRootLogin yes
이후의 단계는 root 로그인을 특정 시스템 및 사용자로 제한합니다.
주 - 관리자가 root 역할을 맡게 되므로 원격 root 로그인을 막는 로그인 정책을 완화할 필요가 없습니다.
# svcadm restart ssh
# cd # pfedit .shosts client-host username
.shosts 파일은 공용/개인 키가 공유되면 client-host 시스템의 username이 서버에서 root 역할을 맡을 수 있도록 설정합니다.
# cp /etc/pam.d/other /etc/pam.d/other.orig
# pfedit /etc/pam.d/other ... # Default definition for Account management # Used when service name is not explicitly mentioned for account management # ... #account requisite pam_roles.so.1 # Enable remote role assumption account requisite pam_roles.so.1 allow_remote ...
이 정책은 client-host 시스템의 username이 서버에서 역할을 맡을 수 있도록 설정합니다.
# pfedit /etc/pam.d/other # Default definition for Account management # Used when service name is not explicitly mentioned for account management # ... #account requisite pam_roles.so.1 # Enable remote role assumption account requisite pam_roles.so.1 allow_remote # account required pam_unix_account.so.1 #account required pam_tsol_account.so.1 # Enable unlabeled access to TX system account required pam_tsol_account.so.1 allow_unlabeled
% ssh -l root remote-system
# svcadm enable -s labeld # /usr/sbin/reboot
예 12-1 원격 관리를 위한 CIPSO 호스트 유형 지정
이 예에서 관리자는 Trusted Extensions 시스템을 사용하여 원격 Trusted Extensions 호스트를 구성합니다. 이를 위해 관리자는 각 시스템에서 tncfg 명령을 사용하여 피어 시스템의 호스트 유형을 정의합니다.
remote-system # tncfg -t cipso add host=192.168.1.12 Client-host
client-host # tncfg -t cipso add host=192.168.1.22 Remote system
레이블이 없는 시스템도 원격 Trusted Extensions 호스트를 구성할 수 있으므로 관리자는 원격 호스트의 pam.d/other 파일에서 allow_unlabeled 옵션을 그대로 둡니다.
VNC(Virtual Network Computing) 기술은 클라이언트를 원격 서버에 연결한 다음 클라이언트의 창에 원격 서버의 데스크탑을 표시합니다. Xvnc는 표준 X 서버를 기반으로 하는 VNC의 UNIX 버전입니다. Trusted Extensions에서는 모든 플랫폼의 클라이언트가 Trusted Extensions를 실행 중인 Xvnc 서버에 연결하여 Xvnc 서버에 로그인한 다음 다중 레벨 데스크탑을 표시한 후 작업할 수 있습니다.
자세한 내용은 Xvnc(1) 및 vncconfig(1) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
Xvnc 서버로 사용될 이 시스템에서 Trusted Extensions를 설치하고 구성했습니다. 이 시스템의 전역 영역은 고정 IP 주소를 가지므로 자동 네트워크 구성 프로파일을 사용하지 않습니다. netcfg(1M) 매뉴얼 페이지를 참조하십시오.
이 시스템은 호스트 이름 또는 IP 주소로 VNC 클라이언트를 인식합니다. 구체적으로 admin_low 보안 템플리트는 명시적으로 또는 와일드카드를 사용하여 이 서버의 VNC 클라이언트가 될 수 있는 시스템을 식별합니다. 보안 연결 구성에 대한 자세한 내용은 신뢰할 수 있는 네트워크에서 연결할 수 있는 호스트를 제한하는 방법을 참조하십시오.
미래 Trusted Extensions Xvnc 서버 콘솔의 GNOME 세션에서 현재 실행 중인 경우 데스크탑 공유가 사용으로 설정되지 않습니다.
미래 Trusted Extensions Xvnc 서버의 전역 영역에서 root 역할을 가집니다.
# packagemanager &
Package Manager(패키지 관리자) GUI에서 “vnc”를 검색하고 사용 가능한 서버 중에서 선택합니다. 한 가지 옵션은 TigerVNC X11/VNC 서버 소프트웨어입니다.
GUI를 열 수 없는 경우 X 서버 액세스 제어 목록에 로컬 root 계정을 추가합니다. X 서버에 로그인한 사용자로 이 명령을 실행합니다.
% xhost +si:localuser:root
자세한 내용은 xhost(1) 및 Xsecurity(5) 매뉴얼 페이지를 참조하십시오.
GNOME 디스플레이 관리자(gdm) 사용자 정의 구성 파일을 수정합니다. /etc/gdm/custom.conf 파일에서 [xdmcp] 머리글 아래에 Enable=true를 입력합니다.
[xdmcp] Enable=true
참고 - 변경하기 전에 원래 Xsession 파일의 복사본을 저장합니다.
DISPLAY=unix:$(echo $DISPLAY|sed -e s/::ffff://|cut -d: -f2)
단계 2 및 단계 3의 파일은 패키지 속성 preserve=true로 표시됩니다. 패키지 업그레이드 및 패키지 수정 동안 이 속성이 수정된 파일에 미치는 영향에 대한 자세한 내용은 pkg(5) 매뉴얼 페이지를 참조하십시오.
# svcadm enable xvnc-inetd
# svcadm restart gdm
데스크탑 관리자가 다시 시작될 때까지 1분 정도 기다립니다. 그러면 VNC 클라이언트가 연결할 수 있습니다.
# svcs | grep vnc
클라이언트 시스템의 경우 소프트웨어를 선택할 수 있습니다. Oracle Solaris 저장소에서 VNC 소프트웨어를 사용할 수 있습니다.
시스템별 및 사용자별로 감사 이벤트를 미리 선택하는 방법에 대한 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 감사 서비스 구성(작업)을 참조하십시오.
% /usr/bin/vncviewer Xvnc-server-hostname
명령 옵션은 vncviewer(1) 매뉴얼 페이지를 참조하십시오.
로그인 절차를 계속합니다. 나머지 단계에 대한 자세한 설명은 Trusted Extensions 사용자 설명서의 Trusted Extensions에 로그인을 참조하십시오.
예 12-2 Vino를 사용하여 테스트 환경에서 데스크탑 공유
이 예에서는 두 개발자가 GNOME Vino 서비스를 사용하여 Launch(시작) → System(시스템) → Preferences(기본 설정) → Desktop Sharing(데스크탑 공유) 메뉴에서 화면을 공유합니다. 앞의 단계와 더불어 이들 개발자는 XTEST 확장자를 사용으로 설정하여 Trusted Extensions 정책을 완화합니다.
# pfedit /usr/X11/lib/X11/xserver/TrustedExtensionsPolicy ## /usr/X11/lib/X11/xserver/TrustedExtensionsPolicy file ... #extension XTEST extension XTEST ...
이 절차에서는 명령줄 및 txzonemgr GUI를 사용하여 원격 Trusted Extensions 시스템을 관리할 수 있습니다.
시작하기 전에
원격 Trusted Extensions 시스템의 원격 관리 사용에 설명된 대로 사용자, 역할 및 역할 지정은 로컬 및 원격 시스템에서 동일하게 정의됩니다.
desktop $ xhost + remote-sys
ssh 명령을 사용하여 로그인합니다.
desktop $ ssh -X -l identical-username remote-sys Password: Type the user's password remote-sys $
-X 옵션은 GUI가 표시되도록 합니다.
예를 들어 root 역할을 수락합니다.
remote-sys $ su - root Password: Type the root password
이제 사용자가 전역 영역에 있습니다. 이 터미널을 사용하여 명령줄에서 원격 시스템을 관리할 수 있습니다. GUI가 화면에 표시됩니다. 예는 예 12-3를 참조하십시오.
예 12-3 원격 시스템에서 레이블이 있는 영역 구성
이 예에서는 관리자가 txzonemgr GUI를 사용하여 레이블이 있는 데스크탑 시스템에서 레이블이 있는 원격 시스템에 레이블이 있는 영역을 구성합니다. Oracle Solaris에서와 마찬가지로 관리자는 ssh 명령에 -X 옵션을 사용하여 X 서버에서 데스크탑 시스템에 액세스 할 수 있게 합니다. 사용자 jandoe는 두 시스템에 모두 동일하게 정의되어 있으며 remoterole 역할을 수락할 수 있습니다.
TXdesk1 $ xhost + TXnohead4
TXdesk1 $ ssh -X -l jandoe TXnohead4 Password: Ins1PwD1 TXnohead4 $
전역 영역에 접근하기 위해 관리자는 jandoe 계정을 사용하여 remoterole 역할을 맡습니다. 이 역할은 두 시스템에 모두 동일하게 정의되어 있습니다.
TXnohead4 # su - remoterole Password: abcd1EFG
동일한 터미널에서 remoterole 역할을 맡은 관리자가 txzonemgr GUI를 시작합니다.
TXnohead4 $ /usr/sbin/txzonemgr &
Labeled Zone Manager(레이블이 있는 영역 관리자)가 원격 시스템에서 실행되고 로컬 시스템에 표시됩니다.
예 12-4 원격 레이블이 있는 영역에 로그인
관리자는 PUBLIC 레이블에서 원격 시스템의 구성 파일을 변경하려고 합니다.
관리자에게는 두 가지 옵션이 있습니다.
전역 영역에 원격으로 로그인하고 원격 전역 영역 작업 공간을 표시한 다음 작업 공간을 PUBLIC 레이블로 변경하고 터미널 창을 열어 파일을 편집합니다.
PUBLIC 터미널 창에서 ssh 명령을 사용하여 PUBLIC 영역에 원격으로 로그인한 다음 파일을 편집합니다.
원격 시스템이 모든 영역에 대해 하나의 이름 지정 서비스 데몬(nscd)을 실행 중이고 원격 시스템이 파일 이름 지정 서비스를 사용 중인 경우 원격 PUBLIC 영역에 대한 암호는 영역이 마지막으로 부트되었을 때 유효한 암호입니다. 원격 PUBLIC 영역에 대한 암호가 변경되었지만 변경 이후 영역이 부트되지 않은 경우 원래 암호가 액세스를 허용합니다.
일반 오류
-X 옵션이 작동하지 않을 경우 패키지를 설치해야 할 수 있습니다. xauth 이진이 설치되지 않으면 X11 전달이 사용 안함으로 설정됩니다. pkg install pkg:/x11/session/xauth 명령은 이진을 로드합니다.
|