추가 Trusted Extensions 구성 작업

다음 작업은 요구 사항에 맞게 Trusted Extensions 시스템을 구성할 때 유용할 수 있습니다. 마지막 작업에서는 Oracle Solaris 시스템에서 Trusted Extensions 기능 제거를 사용으로 설정합니다.

작업	설명	수행 방법
사용자에게 사이트 보안에 대해 알립니다.	로그인 시 보안 메시지를 표시합니다.	Oracle Solaris 11 보안 지침의 배너 파일에 보안 메시지를 배치하는 방법 Oracle Solaris 11 보안 지침의 데스크탑 로그인 화면에 보안 메시지를 배치하는 방법
기존 영역과 동일한 레이블에서 작동되는 서비스를 포함하는 레이블이 있는 영역을 만듭니다.	기본 영역과 동일한 레이블에 보조 영역을 만듭니다.	보조 레이블이 있는 영역을 만드는 방법
모든 레이블의 디렉토리 및 파일을 보유할 데이터 세트를 만듭니다.	최소 오버헤드로 파일의 레이블을 다시 지정할 수 있는 데이터 세트를 만들고 마운트합니다.	다중 레벨 데이터 세트를 만들고 공유하는 방법
모든 레이블에서 홈 디렉토리 서버를 만듭니다.	각 레이블에 하나씩 여러 홈 디렉토리 서버를 만듭니다. 또는 다중 레벨 홈 디렉토리 서버를 만듭니다.	Trusted Extensions에서 홈 디렉토리 서버를 만드는 방법
역할을 맡을 수 있는 초기 사용자를 만듭니다.	역할을 맡는 경우 시스템을 관리할 신뢰할 수 있는 사용자를 만듭니다.	Trusted Extensions에서 역할을 맡을 수 있는 사용자를 만드는 방법
Trusted Extensions를 제거합니다.	시스템에서 Trusted Extensions 및 모든 신뢰할 수 있는 데이터를 제거합니다. 또한 시스템에서 Trusted Extensions 없이 Oracle Solaris를 실행할 준비를 합니다.	시스템에서 Trusted Extensions를 제거하는 방법

보조 레이블이 있는 영역을 만드는 방법

보조 레이블이 있는 영역은 서비스를 다른 영역에 격리하면서도 동일한 레이블에서 실행할 수 있도록 하는 데 유용합니다. 자세한 내용은 기본 및 보조 레이블이 있는 영역을 참조하십시오.

시작하기 전에

기본 영역은 반드시 있어야 합니다. 보조 영역에는 배타적 IP 주소가 있어야 하며 데스크탑이 필요하면 안 됩니다.

전역 영역에서 root 역할을 가진 사용자여야 합니다.

보조 영역을 만듭니다.
명령줄이나 레이블이 있는 영역 GUI txzonemgr을 사용할 수 있습니다.
- 명령줄 사용
```
# tncfg -z secondary-label-service primary=no
# tncfg -z secondary-label-service label=public
```
- txzonemgr 사용
```
# txzonemgr &
```
  Create a new zone(새 영역 만들기)으로 이동하고 프롬프트를 따릅니다.
  
  주 - 넷마스크는 접두어 형식으로 입력해야 합니다. 예를 들어 255.255.254.0 넷마스크에는 접두어 23이 필요합니다.

영역이 보조 영역인지 확인합니다.

# tncfg -z zone info primary
    primary=no

예 4-6 공용 스크립트를 위한 영역 만들기

이 예에서 관리자는 스크립트 및 일괄 처리 작업을 실행하기 위한 공용 영역을 격리합니다.

# tncfg -z public-scripts primary=no
# tncfg -z public-scripts label=public

다중 레벨 데이터 세트를 만들고 공유하는 방법

다중 레벨 데이터 세트는 정보를 다운그레이드하거나 업그레이드할 때 유용한 컨테이너입니다. 자세한 내용은 파일의 레이블 다시 지정을 위한 다중 레벨 데이터 세트를 참조하십시오. 다중 레벨 데이터 세트는 여러 레이블에서 여러 NFS 클라이언트에 파일을 제공하는 다중 레벨 NFS 파일 서버에도 유용합니다.

시작하기 전에

다중 레벨 데이터 세트를 만들려면 전역 영역에서 root 역할이어야 합니다.

다중 레벨 데이터 세트를 만듭니다.
```
# zfs create -o mountpoint=/multi -o multilevel=on rpool/multi
```
rpool/multi는 전역 영역에서 /multi에 마운트되는 다중 레벨 데이터 세트입니다.
데이터 세트의 상위 레이블 범위를 제한하려면 예 4-7을 참조하십시오.
다중 레벨 데이터 세트가 마운트되어 있고 마운트 지점에 ADMIN_LOW 레이블이 있는지 확인합니다.
```
# getlabel /multi
/multi: ADMIN_LOW
```
상위 파일 시스템을 보호합니다.
풀의 모든 파일 시스템에 대해 ZFS 등록 정보를 off로 설정됩니다.
```
# zfs set devices=off rpool/multi
# zfs set exec=off rpool/multi
# zfs set setuid=off rpool/multi
```
(옵션) 풀의 압축 등록 정보를 설정합니다.
일반적으로 압축은 ZFS의 파일 시스템 레벨에서 설정됩니다. 하지만 이 풀의 모든 파일 시스템은 데이터 파일이므로 압축은 풀의 최상위 레벨 데이터 세트에서 설정됩니다.
```
# zfs set compression=on rpool/multi
```
또한 Oracle Solaris 11.1 관리: ZFS 파일 시스템의 ZFS 압축, 중복 제거 및 암호화 등록 정보 간의 상호 작용을 참조하십시오.

다중 레벨 데이터 세트에 필요한 각 레이블에 대한 최상위 디렉토리를 만듭니다.

# cd /multi
# mkdir public internal
# chmod 777 public internal
# setlabel PUBLIC public
# setlabel "CNF : INTERNAL" internal

액세스하도록 승인된 모든 레이블이 있는 영역에서 LOFS를 사용하여 다중 레벨 데이터 세트를 마운트합니다.
예를 들어 다음 일련의 zonecfg 명령은 public 영역에서 데이터 세트를 마운트합니다.
```
# zonecfg -z public
zonecfg:public> add fs
zonecfg:public:fs> set dir=/multi
zonecfg:public:fs> set special=/multi
zonecfg:public:fs> set type=lofs
zonecfg:public:fs> end
zonecfg:public> exit
```
다중 레벨 데이터 세트는 마운트 영역과 동일한 레이블에서 파일 쓰기 및 하위 레벨 파일 읽기를 허용합니다. 마운트된 파일의 레이블을 보고 설정할 수 있습니다.
NFS를 사용하여 다른 시스템과 다중 레벨 데이터 세트를 공유하려면 다음을 수행합니다.
1. 전역 영역에서 NFS 서비스를 다중 레벨 서비스로 만듭니다.
```
# tncfg -z global add mlp_private=2049/tcp
# tncfg -z global add mlp_private=111/udp
# tncfg -z global add mlp_private=111/tcp
```
2. NFS 서비스를 다시 시작합니다.
```
# svcadm restart nfs/server
```
3. 다중 레벨 데이터 세트를 공유합니다.
```
# share /multi
```
NFS 마운트된 다중 레벨 데이터 세트는 마운트 영역과 동일한 레이블에서 파일 쓰기 및 하위 레벨 파일 읽기를 허용합니다. 마운트된 파일의 레이블을 안정적으로 보거나 설정할 수 없습니다. 자세한 내용은 다른 시스템에서 다중 레벨 데이터 세트 마운트를 참조하십시오.

예 4-7 ADMIN_HIGH 아래의 최상위 레이블로 다중 레벨 데이터 세트 만들기

이 예에서 관리자는 기본값인 ADMIN_HIGH보다 낮은 상한 또는 최상위 레이블로 다중 데이터 세트를 만듭니다. 데이터 세트 생성 시 관리자는 mslabel 등록 정보에 레이블 상한을 지정합니다. 이 상한은 전역 영역 프로세스에서 다중 레벨 데이터 세트에 파일 또는 디렉토리를 만들지 못하게 합니다. 레이블이 있는 영역 프로세스만 데이터 세트에 디렉토리 및 파일을 만들 수 있습니다. multilevel 등록 정보가 on이므로 mlslabel 등록 정보는 단일 레이블 데이터 세트에 대한 레이블이 아니라 상한을 설정합니다.

# zfs create -o mountpoint=/multiIUO -o multilevel=on \
-o mlslabel="CNF : INTERNAL" rpool/multiIUO

그런 다음 관리자는 각 레이블이 있는 영역에 로그인하여 마운트된 데이터 세트에 해당 레이블의 디렉토리를 만듭니다.

# zlogin public 
# mkdir /multiIUO
# chmod 777 /multiIUO
# zlogin internal 
# mkdir /multiIUO
# chmod 777 /multiIUO

영역이 재부트된 후 다중 레벨 데이터 세트는 마운트 영역의 레이블에서 권한이 부여된 사용자에게 표시됩니다.

다음 순서

사용자가 파일의 레이블을 다시 지정할 수 있도록 설정하려면 레이블이 있는 영역에서 파일의 레이블을 재지정할 수 있게 설정하는 방법을 참조하십시오.

파일의 레이블 다시 지정에 대한 자세한 내용은 Trusted Extensions 사용자 설명서의 다중 레벨 데이터 세트에서 데이터를 업그레이드하는 방법 및 Trusted Extensions 사용자 설명서의 다중 레벨 데이터 세트에서 데이터를 다운그레이드하는 방법을 참조하십시오.

Trusted Extensions에서 이동식 매체에 파일을 복사하는 방법

이동식 매체에 복사할 경우 정보의 민감도 레이블을 사용하여 매체의 레이블을 지정합니다.

주 - Trusted Extensions 구성 중 root 역할은 이동식 매체를 사용하여 label_encodings 파일을 모든 시스템에 전송할 수 있습니다. 매체 레이블을 Trusted Path로 지정합니다.

시작하기 전에

관리 파일을 복사하려면 전역 영역에서 root 역할을 가진 사용자여야 합니다.

해당 장치를 할당합니다.
Device Manager(장치 할당 관리자)를 사용하고 빈 매체를 넣습니다. 자세한 내용은 Trusted Extensions 사용자 설명서의 Trusted Extensions에서 장치를 할당하는 방법을 참조하십시오.
File Browser(파일 브라우저)에 빈 매체의 컨텐츠가 표시됩니다.
두번째 File Browser(파일 브라우저)를 엽니다.
복사할 파일이 있는 폴더로 이동합니다.
각 파일에 대해서 다음을 수행합니다.
1. 파일에 대한 아이콘을 강조 표시합니다.
2. 파일을 이동식 매체에 대한 File Browser(파일 브라우저)로 끕니다.
장치를 할당 해제합니다.
자세한 내용은 Trusted Extensions 사용자 설명서의 Trusted Extensions에서 장치를 할당 해제하는 방법을 참조하십시오.
이동식 매체에 대한 File Browser(파일 브라우저)의 File(파일) 메뉴에서 Eject(꺼내기)를 선택합니다.
주 - 복사된 파일의 민감도 레이블을 사용하여 매체에 레이블을 물리적으로 추가합니다.

예 4-8 구성 파일을 모든 시스템에서 동일하게 유지

시스템 관리자는 모든 시스템을 동일한 설정으로 구성하려고 합니다. 따라서 구성되는 첫번째 시스템에서 관리자는 재부트 중에 삭제할 수 없는 디렉토리를 만듭니다. 관리자는 모든 시스템에서 동일하거나 유사해야 하는 파일을 해당 디렉토리에 넣습니다.

예를 들어, 관리자는 policy.conf 파일과 이 사이트에 대한 기본 login 및 passwd 파일을 수정합니다. 따라서 관리자는 다음 파일을 영구 디렉토리에 복사합니다.

# mkdir /export/commonfiles
# cp  /etc/security/policy.conf \
# cp  /etc/default/login \
# cp  /etc/default/passwd \
# cp  /etc/security/tsol/label_encodings \
/export/commonfiles

관리자는 Device Manager(장치 할당 관리자)를 사용하여 전역 영역에 CD-ROM을 할당하고 파일을 CD로 전송한 후 Trusted Path 레이블을 붙입니다.

Trusted Extensions에서 이동식 매체의 파일을 복사하는 방법

파일을 바꾸기 전에 원본 Trusted Extensions 파일의 이름을 바꾸는 것이 좋습니다. 시스템을 구성할 때 root 역할은 관리 파일의 이름을 변경하고 이 파일을 복사합니다.

시작하기 전에

관리 파일을 복사하려면 전역 영역에서 root 역할을 가진 사용자여야 합니다.

해당 장치를 할당합니다.
자세한 내용은 Trusted Extensions 사용자 설명서의 Trusted Extensions에서 장치를 할당하는 방법을 참조하십시오.
File Browser(파일 브라우저)에 컨텐츠가 표시됩니다.
관리 파일이 들어 있는 매체를 삽입합니다.
시스템에 동일한 이름을 가진 파일이 있는 경우 원본 파일을 새 이름으로 복사합니다.
예를 들어, .orig를 원본 파일의 끝에 추가합니다.
```
# cp /etc/security/tsol/label_encodings /etc/security/tsol/label_encodings.orig
```
File Browser(파일 브라우저)를 엽니다.
원하는 대상 디렉토리(예: /etc/security/tsol)로 이동합니다.
복사할 각 파일에 대해 다음을 수행합니다.
1. 마운트된 매체의 File Browser(파일 브라우저)에서 해당 파일의 아이콘을 강조 표시합니다.
2. 그런 다음 파일을 두번째 File Browser(파일 브라우저)의 대상 디렉토리로 끕니다.
장치를 할당 해제합니다.
자세한 내용은 Trusted Extensions 사용자 설명서의 Trusted Extensions에서 장치를 할당 해제하는 방법을 참조하십시오.
메시지가 표시되면 매체를 꺼내서 제거합니다.

시스템에서 Trusted Extensions를 제거하는 방법

Oracle Solaris 시스템에서 Trusted Extensions 기능을 제거하려면 특정 단계를 수행합니다.

시작하기 전에

전역 영역에서 root 역할을 가진 사용자입니다.

보관할 레이블이 있는 영역의 데이터를 아카이브합니다.
이동식 매체의 경우 각 아카이브된 영역에 영역의 민감도 레이블이 적힌 스티커를 붙입니다.
레이블이 있는 영역을 시스템에서 제거합니다.
자세한 내용은 Oracle Solaris 11.1 관리: Oracle Solaris 영역, Oracle Solaris 10 영역 및 리소스 관리의 비전역 영역 제거 방법을 참조하십시오.
Trusted Extensions 서비스를 사용 안함으로 설정합니다.
```
# svcadm disable labeld
```
(옵션) 시스템을 재부트합니다.
시스템을 구성합니다.
Oracle Solaris 시스템에 대한 다양한 서비스를 구성해야 할 수 있습니다. 여기에는 기본 네트워크, 이름 지정 서비스 및 파일 시스템 마운트가 포함됩니다.

탐색 링크 건너뛰기
인쇄 보기 종료
	Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어)