원격 네트워크 액세스 제한
저장소 서버에서 원격 네트워크 액세스를 제한할 수 있는 방법은 몇 가지가 있습니다. 사용자 계정 및 시작점에 따라 액세스를 정의하는 하향식 필터링 규칙 세트를 구현해서 저장소 서버에 대한 인바운드 네트워크 액세스를 제한할 수 있습니다. 또한 미국 국방부 및 PCI-DSS 요구 사항에 따라 액세스를 허용 또는 거부하는 사용자 정의 규칙 세트를 정의할 수도 있습니다.
 | 주의 - 시스템에 대한 액세스가 중단되지 않도록 비기본 정책을 구현할 때는 주의가 필요합니다. 새로운 개별 규칙을 추가할 때 변경사항은 즉시 적용됩니다. |
규칙 세트를 구현하려면 다음 절차를 수행합니다.
-
저장소 서버에 celladmin으로 로그인합니다.
저장소 서버 OS에 로그인을 참조하십시오.
-
활성 규칙 세트를 조사합니다.
# /opt/oracle.cellos/host_access_control access --status
-
현재 규칙 세트를 파일로 내보내고 백업 복사본으로 저장합니다.
이 명령은 규칙 세트를 ASCII 텍스트 파일로 내보냅니다.
# /opt/oracle.cellos/host_access_control access-export --file filename
-
규칙 세트를 만들기 위해 사용하려는 방법에 따라 이러한 명령 중 하나 이상을 수행해서 규칙 세트를 구성합니다.
-
인바운드 네트워크 제한 사항을 제거하는 개방형 규칙 세트를 구현하려면 다음을 입력합니다.
# /opt/oracle.cellos/host_access_control access --open
-
SSH를 사용한 인바운드 액세스만 허용하는 폐쇄형 규칙 세트를 구현하려면 다음을 입력합니다.
# /opt/oracle.cellos/host_access_control access --close
-
기존 규칙 세트를 수정하려면 다음을 입력합니다.
현재 규칙 세트를 ASCII 텍스트 파일로 내보냅니다.
# /opt/oracle.cellos/host_access_control access-export --file filename
편집기를 사용해서 텍스트 파일을 편집해서 규칙 세트를 구성합니다.
텍스트 파일로부터 규칙 세트를 가져와서 기존 규칙 세트를 대체합니다.
# /opt/oracle.cellos/host_access_control access-import --file filename
-
특정 규칙을 개별적으로 추가하려면 다음을 수행합니다.
이 방법에는 다음 매개변수를 기준으로 한 액세스 허용 및 거부가 포함됩니다.
-
Username – 유효한 값에는 all 키워드 또는 하나 이상의 유효한 로컬 계정 사용자 이름이 포함됩니다.
-
Origin – 유효한 값에는 all 키워드 또는 콘솔, 가상 콘솔, Oracle ILOM, IP 주소, 네트워크 주소, 호스트 이름 또는 DNS 도메인 등 시스템 액세스의 소스를 기술하는 개별 항목이 포함됩니다.
이 예에서는 trusted.example.org 호스트 또는 .trusted.domain.com 도메인 내의 모든 호스트에서 연결이 시작될 경우 celladmin 사용자에게 저장소 서버에 대한 액세스 권한이 부여됩니다.
# /opt/oracle.cellos/host_access_control access --add --user celladmin \ --origins trustedhost.example.org,.trusted.domain.com
-
-
인바운드 네트워크 제한 사항을 제거하는 개방형 규칙 세트를 구현하려면 다음을 입력합니다.