탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 10에서 Oracle Solaris 11.1로 전환 Oracle Solaris 11.1 Information Library (한국어) |
1. Oracle Solaris 10에서 Oracle Solaris 11 릴리스로 전환(개요)
2. Oracle Solaris 11 설치 방법으로 전환
Oracle Solaris 11에서 변경된 주요 보안 기능은 다음과 같습니다.
ASLR(주소 공간 레이아웃 임의 지정) – Oracle Solaris 11.1부터 ASLR이 특정 이진에 사용되는 주소를 임의로 지정합니다. ASLR은 특정 메모리 범위의 정확한 위치에 대한 식별을 기반으로 하는 특정 유형의 공격을 방지하고 실행 파일을 중지하려고 할 때의 시도를 감지할 수 있습니다. sxadm 명령을 사용하여 ASLR을 구성합니다. elfedit 명령을 사용하여 이진에서 태깅을 변경합니다. sxadm(1M) 및 elfedit(1)를 참조하십시오.
관리 편집기 – Oracle Solaris 11.1부터 pfedit 명령을 사용하여 시스템 파일을 편집할 수 있습니다. 시스템 관리자에 의해 정의된 경우 이 편집기의 값은 $EDITOR입니다. 정의되지 않은 경우 편집기는 기본적으로 vi 명령으로 설정됩니다. 다음과 같이 편집기를 시작합니다.
$ pfedit system-filename
pfedit(1M) 매뉴얼 페이지와 Oracle Solaris 11.1 관리: 보안 서비스의 3 장, 시스템에 대한 액세스 제어(작업)를 참조하십시오.
감사 – 감사는 이제 서비스이며 기본적으로 사용으로 설정되어 있습니다. 이 서비스를 사용 또는 사용 안함으로 설정할 때 재부트할 필요가 없습니다. auditconfig 명령은 감사 정책에 대한 정보를 확인하고 감사 정책을 변경하는 데 사용됩니다. 공용 객체의 감사로 감사 추적에서 잡음이 덜 생성됩니다. 또한 비커널 이벤트 감사는 성능에 영향을 미치지 않습니다.
감사 파일에 대한 ZFS 파일 시스템 만들기에 대한 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 감사 파일에 대한 ZFS 파일 시스템을 만드는 방법을 참조하십시오.
ARS(감사 원격 서버) – ARS는 감사 중이고 활성 audit_remote 플러그인으로 구성된 시스템에서 감사 레코드를 수신하고 저장하는 기능입니다. 감사되는 시스템을 ARS와 구분하기 위해 감사 시스템을 로컬로 감사되는 시스템이라고 부를 수 있습니다. 이 기능은 Oracle Solaris 11.1에 새로 도입되었습니다. auditconfig(1M) 매뉴얼 페이지에서 -setremote 옵션에 대한 정보를 참조하십시오.
BART(기본 감사 보고 도구) – BART에서 사용하는 기본 해시는 이제 MD5가 아니라 SHA256입니다. SHA256이 기본값으로 사용되는 것 이외에도, 해시 알고리즘을 선택할 수도 있습니다. Oracle Solaris 11.1 관리: 보안 서비스의 6 장, BART를 사용하여 파일 무결성 확인(작업)을 참조하십시오.
암호화 프레임워크 – 이 기능에는 이제 Intel 및 SPARC T4 하드웨어 가속을 위해 더 많은 알고리즘, 방식, 플러그인 및 지원이 포함됩니다. 또한 Oracle Solaris 11에서는 NSA Suite B 암호화와 더 잘 호환됩니다.
Kerberos DTrace 공급자 – Kerberos 메시지(프로토콜 데이터 단위)에 대한 검사를 제공하는 새로운 DTrace USDT 공급자가 추가되었습니다. 검사는 RFC4120에 설명된 Kerberos 메시지 유형 뒤에 모델링됩니다.
키 관리 향상된 기능:
Trusted Platform Module에서 RSA 키에 대한 PKCS#11 키 저장소 지원
중앙화된 엔터프라이즈 키 관리를 위한 Oracle Key Manager에 대한 PKCS#11 액세스
lofi 명령 변경 사항 – lofi가 이제 블록 장치의 암호화를 지원합니다. lofi(7D)를 참조하십시오.
profiles 명령 변경 사항 – Oracle Solaris 10에서 이 명령은 특정 사용자나 역할에 대한 프로파일 또는 특정 명령에 대한 사용자의 권한을 나열하는 데만 사용됩니다. Oracle Solaris 11에서는 profiles 명령을 사용하여 파일 및 LDAP에서 프로파일을 만들고 수정할 수도 있습니다. profiles(1)를 참조하십시오.
sudo 명령 – sudo 명령은 Oracle Solaris 11의 새로운 명령으로, 실행 시 Oracle Solaris 감사 레코드를 생성합니다. 또한 sudoers 명령 항목에 NOEXEC라는 태그가 지정된 경우 proc_exec 기본 권한을 삭제합니다.
ZFS 파일 시스템 암호화 – ZFS 파일 시스템 암호화는 데이터 보안이 유지되도록 설계되었습니다. ZFS 파일 시스템 암호화를 참조하십시오.
rstchown 등록 정보 – 이전 릴리스에서 chown 작업을 제한하는 데 사용되던 rstchown 조정 가능 매개변수가 이제 ZFS 파일 시스템 등록 정보 rstchown입니다. 이 등록 정보는 일반 파일 시스템 마운트 옵션이기도 합니다. Oracle Solaris 11.1 관리: ZFS 파일 시스템 및 mount(1M)를 참조하십시오.
/etc/system 파일에서 더 이상 사용되지 않는 이 매개변수를 설정하려고 하면 다음과 같은 메시지가 표시됩니다.
sorry, variable 'rstchown' is not defined in the 'kernel'
다음 네트워크 보안 기능이 지원됩니다.
IKE(Internet Key Exchange) 및 IPsec – IKE는 이제 더 많은 Diffie-Hellman 그룹을 포함하며 ECC(Elliptic Curve Cryptography) 그룹도 사용할 수 있습니다. IPsec은 AES-CCM 및 AES-GCM 모드를 포함하며 이제 Oracle Solaris의 Trusted Extensions 기능에 대한 네트워크 트래픽을 보호할 수 있습니다.
IPfilter 방화벽 – 오픈 소스 IPfilter 기능과 유사한 IPfilter 방화벽은 호환이 가능하며 관리가 용이하고 SMF와 완벽히 통합됩니다. 이 기능을 사용하면 IP 주소에 따라 선별적으로 포트에 액세스할 수 있습니다.
Kerberos – Kerberos는 이제 클라이언트와 서버의 상호 인증을 가능하게 합니다. 또한 X.509 인증서를 PKINIT 프로토콜과 함께 사용하여 초기 인증에 대한 지원도 제공됩니다. Oracle Solaris 11.1 관리: 보안 서비스의 제VI부, Kerberos 서비스를 참조하십시오.
보안을 고려한 기본 설정 – Oracle Solaris 10에서 이 기능이 도입되었지만, netservices limited 상태여서 기본적으로 해제되어 있었습니다. Oracle Solaris 11에서는 이 기능이 사용으로 설정됩니다. 보안을 고려한 기본 설정 기능은 여러 네트워크 서비스를 사용 안함으로 설정하고 이러한 서비스가 공격받지 않도록 보호하며 네트워크 노출을 최소화합니다. SSH만 사용으로 설정됩니다.
SSH – X.509 인증서를 사용하여 호스트 및 사용자 인증에 대한 지원을 제공합니다.
다음 PAM(플러그 가능한 인증 모듈) 변경 사항이 도입되었습니다.
사용자별 PAM 스택을 사용으로 설정하는 모듈 - 새 RBAC pam_policy 키와 함께 사용할 때 사용자 단위로 PAM 인증 정책을 구성할 수 있습니다(user_attr(4)). 또한 기본 pam.conf 파일이 업데이트되어서 사용자의 확장 속성에서 또는 사용자에 지정된 프로파일에서 pam_policy를 지정하여 이 기능을 사용할 수 있습니다. 예를 들면 다음과 같습니다.
# usermod -K pam_policy=krb5_only username
pam_user_policy(5)를 참조하십시오.
/etc/pam.d의 PAM 구성 – 서비스별 파일을 사용하여 PAM 구성을 위한 지원을 추가합니다. 그 결과, /etc/pam.conf 파일의 내용이 관련 PAM 서비스 이름을 기반으로 /etc/pam.d/ 디렉토리 내의 여러 파일로 마이그레이션되었습니다. 이 방식은 이제 Oracle Solaris에서 PAM을 구성하기 위한 방법이며 모든 새로운 설치에 사용되는 기본 방법입니다. /etc/pam.conf 파일은 계속 참조되며 이 파일에서 기존에 또는 새로 변경한 사항을 계속 인식할 수 있습니다.
/etc/pam.conf 파일을 편집한 적이 없는 경우 /etc/pam.d/ 디렉토리의 서비스별 파일과 동일하다는 설명만 포함합니다. 이전에 LDAP 또는 Kerberos를 사용으로 설정하기 위해 /etc/pam.conf 파일을 편집한 경우 /etc/pam.conf.new라는 새 파일 이름이 변경 사항과 함께 제공됩니다. pam.conf(4)를 참조하십시오.
definitive 플래그가 pam.conf에 추가됨 – pam.conf 파일에 이제 definitive control_flag가 포함됩니다. pam.conf(4)를 참조하십시오.
Oracle Solaris 11에서 제외된 보안 기능은 다음과 같습니다.
ASET(자동화된 보안 강화 도구) – ASET 기능은 Oracle Solaris 11에서 지원되는 svc.ipfd, BART, SMF 및 기타 보안 기능을 포함하는 IPfilter 조합으로 바뀌었습니다.
스마트 카드 – 스마트 카드 지원은 더 이상 사용할 수 없습니다.