탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
Trusted Extensions에서 IPv6 CIPSO 네트워크를 구성하는 방법
DOI(Domain of Interpretation)를 구성하는 방법
기본 Trusted Extensions 시스템을 만드는 방법
가상 네트워크 인터페이스를 레이블이 있는 영역에 추가하는 방법
Trusted Extensions 시스템을 다른 Trusted Extensions 시스템에 연결하는 방법
각 레이블이 있는 영역에 대해 별도의 이름 서비스를 구성하는 방법
Trusted Extensions의 역할 및 사용자 만들기
Trusted Extensions에서 보안 관리자 역할을 만드는 방법
Trusted Extensions에서 역할을 맡을 수 있는 사용자를 만드는 방법
Trusted Extensions에서 중앙 홈 디렉토리 만들기
Trusted Extensions에서 홈 디렉토리 서버를 만드는 방법
사용자가 각 NFS 서버에 로그인하여 모든 레이블에서 원격 홈 디렉토리에 액세스할 수 있도록 설정하는 방법
각 서버에서 자동 마운트를 구성하여 사용자가 원격 홈 디렉토리에 액세스할 수 있도록 설정하는 방법
Trusted Extensions에서 이동식 매체에 파일을 복사하는 방법
Trusted Extensions에서 이동식 매체의 파일을 복사하는 방법
시스템에서 Trusted Extensions를 제거하는 방법
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리
14. Trusted Extensions에서 파일 관리 및 마운트
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 점검 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
Trusted Extensions의 역할 만들기는 Oracle Solaris의 역할 만들기와 동일합니다. 하지만 평가된 구성의 경우 보안 관리자 역할이 필요합니다.
|
시작하기 전에
전역 영역에서 root 역할을 가진 사용자입니다.
명령에 대한 자세한 내용은 roleadd(1M) 매뉴얼 페이지를 참조하십시오.
다음 정보에 따라 작업을 수행합니다.
Role name(역할 이름) – secadmin
-c Local Security Officer
고유의 정보를 제공하지 마십시오.
-m home-directory
-u role-UID
-S repository
-K key=value
Information Security 및 User Security 권한 프로파일을 지정합니다.
주 - 모든 관리 역할에 대해 레이블 범위의 관리 레이블을 사용하고, pfexec 명령 사용을 감사하며, lock_after_retries=no를 설정하고, 암호 만료 날짜는 설정하지 않습니다.
# roleadd -c "Local Security Officer" -m \ -u 110 -K profiles="Information Security,User Security" -S files \ -K lock_after_retries=no \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin
# passwd -r files secadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for secadmin #
6자 이상의 영숫자로 구성된 암호를 지정합니다. 악의적인 사용자가 암호를 추측하여 무단으로 액세스하지 못하도록 보안 관리자 역할의 암호와 모든 암호를 추측하기 어렵게 지정해야 합니다.
사용 가능한 역할은 다음과 같습니다.
admin 역할 – System Administrator 권한 프로파일
oper 역할 – Operator 권한 프로파일
예 4-4 LDAP에서 보안 관리자 역할 만들기
첫번째 시스템을 로컬 보안 관리자 역할로 구성한 후 관리자는 LDAP 저장소에서 보안 관리자 역할을 만듭니다. 이 시나리오에서 LDAP 클라이언트는 LDAP에서 정의된 보안 관리자 역할로 관리할 수 있습니다.
# roleadd -c "Site Security Officer" -d server1:/rpool/pool1/BayArea/secadmin -u 111 -K profiles="Information Security,User Security" -S ldap \ -K lock_after_retries=no -K audit_flags=lo,ex:no \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH secadmin
관리자는 역할에 대한 초기 암호를 제공합니다.
# passwd -r ldap secadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for secadmin #
다음 순서
로컬 역할을 로컬 사용자에게 지정하려면 Trusted Extensions에서 역할을 맡을 수 있는 사용자를 만드는 방법을 참조하십시오.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자입니다.
# roleadd -c "Local System Administrator" -m -u 111 -K audit_flags=lo,ex:no\ -K profiles="System Administrator" -K lock_after_retries=no \ -K min_label=ADMIN_LOW -K clearance=ADMIN_HIGH sysadmin
# passwd -r files sysadmin New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for sysadmin #
사이트 보안 정책에 따라 둘 이상의 관리 역할을 수락할 수 있는 사용자를 만들도록 선택할 수 있습니다.
보안 사용자를 만드는 경우 시스템 관리자 역할에서 사용자를 만든 후 초기 암호를 지정하고, 보안 관리자 역할에서 역할과 같은 보안 관련 속성을 지정합니다.
시작하기 전에
전역 영역에서 root 역할을 가진 사용자여야 합니다. 또는 책임 구분이 적용된 경우 보안 관리자 및 시스템 관리자의 고유 역할을 맡을 수 있는 사용자가 존재하고 이 절차에서 해당하는 단계를 수행해야 합니다.
root 역할 또는 시스템 관리자 역할이 이 단계를 수행합니다.
주석에 고유 정보를 추가하지 마십시오.
# useradd -c "Second User" -u 1201 -d /home/jdoe jdoe
root 역할 또는 보안 관리자 역할이 이 단계를 수행합니다.
주 - 역할을 맡을 수 있는 사용자에 대해 계정 잠금을 해제하고 암호 만료 날짜를 설정하지 않습니다. pfexec 명령 사용을 감사합니다.
# usermod -K lock_after_retries=no -K idletime=5 -K idlecmd=lock \ -K audit_flags=lo,ex:no jdoe
주 - idletime 및 idlecmd에 대한 값은 사용자가 역할을 맡을 경우 계속 유효합니다. 자세한 내용은 Trusted Extensions의 policy.conf 파일 기본값을 참조하십시오.
# passwd jdoe New Password: Type password Re-enter new Password:Retype password
주 - 초기 설정 팀은 암호를 선택할 때 악의적인 사용자가 암호를 추측하여 무단으로 액세스하지 못하도록 추측하기 어려운 암호를 선택해야 합니다.
root 역할 또는 보안 관리자 역할이 이 단계를 수행합니다.
# usermod -R oper jdoe
사이트 보안 정책을 확인한 후 첫번째 사용자에게 Convenient Authorizations(편리한 권한 부여) 권한 프로파일을 부여할 수 있습니다. 이 프로파일을 가진 사용자는 장치 할당, 레이블 없이 인쇄, 원격 로그인 및 시스템 종료를 수행할 수 있습니다. 프로파일을 만들려면 편리한 권한 부여를 위해 권한 프로파일을 만드는 방법을 참조하십시오.
보안을 위한 사용자 환경 사용자 정의(작업 맵)를 참조하십시오.
다중 레벨 시스템에서는 다른 레이블에 복사하거나 연결할 사용자 초기화 파일을 나열하는 파일을 사용하여 사용자와 역할을 설정할 수 있습니다. 자세한 내용은 .copy_files 및 .link_files 파일을 참조하십시오.
예 4-5 useradd 명령을 사용하여 로컬 사용자 만들기
이 예에서 root 역할은 보안 관리자 역할을 맡을 수 있는 로컬 사용자를 만듭니다. 자세한 내용은 useradd(1M) 및 atohexlabel(1M) 매뉴얼 페이지를 참조하십시오.
이 사용자는 기본 레이블 범위보다 넓은 레이블 범위를 가지게 됩니다. 따라서 root 역할은 16진수 형식의 사용자 최소 레이블 및 클리어런스 레이블을 결정합니다.
# atohexlabel public 0x0002-08-08 # atohexlabel -c "confidential restricted" 0x0004-08-78
다음으로 root 역할은 표 1-2를 참조한 후에 사용자를 만듭니다. 관리자는 사용자의 홈 디렉토리를 기본값인 /export/home 대신 /export/home1에 둡니다.
# useradd -c "Local user for Security Admin" -d /export/home1/jandoe \ -K idletime=10 -K idlecmd=logout -K lock_after_retries=no -K min_label=0x0002-08-08 -K clearance=0x0004-08-78 jandoe
그런 다음 root 역할은 초기 암호를 제공합니다.
# passwd -r files jandoe New Password: <Type password> Re-enter new Password: <Retype password> passwd: password successfully changed for jandoe #
마지막으로 root 역할은 사용자 정의에 보안 관리자 역할을 추가합니다. 역할은 Trusted Extensions에서 보안 관리자 역할을 만드는 방법에서 만들었습니다.
# usermod -R secadmin jandoe
각 역할을 확인하려면 역할을 수락합니다. 그런 다음 해당 역할만 수행할 수 있는 작업을 수행하고 해당 역할이 수행할 수 없는 작업을 시도합니다.
시작하기 전에
DNS 또는 경로 지정을 구성한 경우 역할을 만들고 재부트한 후에 작동 여부를 확인해야 합니다.
다음 신뢰할 수 있는 스트라이프에서 사용자 이름은 tester입니다.
사용자 등록 정보를 변경하는 데 필요한 권한 부여는 passwd(1) 매뉴얼 페이지를 참조하십시오.
시스템 관리자 역할은 사용자를 만들고 사용자의 로그인 셸과 같이 solaris.user.manage 권한 부여가 필요한 사용자 등록 정보를 수정할 수 있어야 합니다. 시스템 관리자 역할은 solaris.account.setpolicy 권한 부여가 필요한 사용자 등록 정보를 변경할 수 없어야 합니다.
보안 관리자 역할은 solaris.account.setpolicy 권한 부여가 필요한 사용자 등록 정보를 변경할 수 있어야 합니다. 보안 관리자는 사용자를 만들거나 사용자의 로그인 셸을 변경할 수 없어야 합니다.
시스템이 재부트되면 장치와 기본 저장소 간의 연결을 다시 설정해야 합니다.
시작하기 전에
레이블이 있는 영역을 한 개 이상 만들었습니다. 시스템을 구성한 후 재부트했습니다. root 역할을 맡을 수 있습니다.
# svcs zones STATE STIME FMRI offline - svc:/system/zones:default
# svcadm restart svc:/system/zones:default
이제 일반 사용자가 로그인할 수 있습니다. 세션이 레이블이 있는 영역에 있습니다.