기본 구성에서는 ssh 및 telnet 항목 서비스를 other 서비스 이름에서 처리합니다. 이 절차에 나오는 PAM 구성 파일은 ssh 및 telnet에 대한 요구 사항을 변경합니다.
시작하기 전에
root 역할을 맡아야 합니다. 자세한 내용은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 지정된 관리 권한 사용을 참조하십시오.
pfedit 명령을 사용하여 파일을 만든 다음 /opt와 같은 사이트 구성 디렉토리에 가져다 놓습니다. /etc/security/pam_policy 디렉토리에 저장해도 됩니다.
파일에 설명 주석을 포함합니다.
# pfedit /opt/local_pam/ssh-telnet-conf # # PAM configuration which uses UNIX authentication for console logins, # (see pam.d/login), and LDAP for SSH keyboard-interactive logins # This stack explicitly denies telnet logins. # sshd-kbdint auth requisite pam_authtok_get.so.1 sshd-kbdint auth binding pam_unix_auth.so.1 server_policy sshd-kbdint auth required pam_unix_cred.so.1 sshd-kbdint auth required pam_ldap.so.1 # telnet auth requisite pam_deny.so.1 telnet account requisite pam_deny.so.1 telnet session requisite pam_deny.so.1 telnet password requisite pam_deny.so.1
root 소유권과 444 사용 권한으로 파일을 보호합니다.
# ls -l /opt/local_pam total 5 -r--r--r-- 1 root 4570 Jun 21 12:08 ssh-telnet-conf
수정된 PAM 정책을 지정하는 방법을 참조하십시오.
기본적으로 zfs_pam_key 모듈은 /etc/security/pam_policy/unix 파일에 없습니다. 이 예에서는 관리자가 unix 버전 PAM 사용자별 정책을 만든 다음 새 버전을 사용하여 해당 홈 디렉토리가 암호화되는 사용자를 만듭니다.
# cp /etc/security/pam_policy/unix /opt/local_pam/unix-encrypt # pfedit /opt/local_pam/unix-encrypt.conf ... other auth required pam_unix_auth.so.1 other auth required pam_unix_cred.so.1 ## pam_zfs_key auto-creates an encrypted home directory ## other auth required pam_zfs_key.so.1 create
관리자가 사용자를 추가할 때 이 정책 파일을 사용합니다. 암호화는 파일 시스템에 추가할 수 없습니다. 따라서 파일 시스템을 만들 때 암호화를 설정한 상태에서 만들어야 합니다. 자세한 내용은 zfs_encrypt(1M)을 참조하십시오.
관리자가 사용자를 만들고 암호를 지정합니다.
# useradd -K pam_policy=/opt/local_pam/unix-encrypt.conf jill # passwd jill New Password: xxxxxxxx Re-enter new Password: xxxxxxxx passwd: password successfully changed for jill
그런 다음 해당 사용자로 로그인하여 암호화된 홈 디렉토리를 만듭니다.
# su - jill Password: xxxxxxxx Creating home directory with encryption=on. Your login password will be used as the wrapping key. Oracle Corporation SunOS 5.11 11.2 July 2014 # logout
ZFS 서비스 모듈에 대한 옵션은 pam_zfs_key(5) 매뉴얼 페이지를 참조하십시오.
마지막으로, 새 홈 디렉토리가 암호화된 파일 시스템인지 확인합니다.
# mount -p | grep ~jill rpool/export/home/jill - /export/home/jill zfs - no rw,devices,setuid,nonbmand,exec,rstchown,xattr,atime # zfs get encryption,keysource rpool/export/home/jill NAME PROPERTY VALUE SOURCE rpool/export/home/jill encryption on local rpool/export/home/jill keysource passphrase,prompt local