You cannot see this page without javascript.

진주성 블로그 방문하기

기술문서 HPUX 보안설정 가이드

2017.08.25 18:09

gupy1004 조회 수:503

HPUX 보안설정 가이드

 

hpux11.31_보안설정.pdf

 

HP-UX 시스템 관리 설명서: 보안 관리
HP-UX 11i v3

 

I 시스템 보호...........................................................................................................................19
1 안전하게 HP-UX 운영 환경 설치........................................................................................21
1.1 설치 보안 고려 사항.................................................................................................21
1.2 부팅 프로세스 중 보안 문제 방지...............................................................................21
1.3 root에 대한 로그인 보안 활성화.................................................................................22
1.4 부팅 인증을 사용하여 권한 없는 액세스 방지.............................................................22
1.5 설치 시간 보안 옵션 설정.........................................................................................23
1.6 보안 패치 설치........................................................................................................23
1.7 백업 및 복구에 관한 설치 후 보안 팁.........................................................................23
2 사용자 및 시스템 보안 관리..............................................................................................25
2.1 사용자 액세스 관리..................................................................................................25
2.1.1 사용자 계정 모니터링........................................................................................25
2.1.2 게스트 계정 모니터링.......................................................................................26
2.1.3 응용 프로그램 사용자 계정 만들기.....................................................................26
2.1.4 그룹 계정 관리.................................................................................................27
2.2 로그인 중 사용자 인증.............................................................................................27
2.2.1 login 프로세스 설명..........................................................................................28
2.2.2 로그인 추적 파일(btmp 및 wtmp) 확인...............................................................29
2.2.2.1 last 명령 예제..........................................................................................29
2.2.3 로그인한 사용자 확인......................................................................................30
2.3 PAM을 사용하여 사용자 인증...................................................................................30
2.3.1 개요................................................................................................................30
2.3.2 PAM 라이브러리..............................................................................................31
2.3.3 /etc/pam.conf를 사용한 시스템 범위 구성.........................................................32
2.3.4 샘플 /etc/pam.conf 파일..................................................................................33
2.3.5 /etc/pam_user.conf 사용자 구성 파일................................................................34
2.3.6 예제: PAM이 로그인에 대해 작동하는 방식........................................................34
2.4 암호 관리...............................................................................................................35
2.4.1 시스템 관리자의 책임.......................................................................................36
2.4.2 사용자 책임....................................................................................................36
2.4.3 좋은 암호의 기준.............................................................................................36
2.4.4 /etc/passwd 암호 파일 변경.............................................................................37
2.4.4.1 passwd 명령 예제....................................................................................37
2.4.4.2 /etc/passwd 파일 형식............................................................................38
2.4.5 /etc/shadow 섀도 패스워드 파일......................................................................38
2.4.6 /etc/passwd에서 의사 계정 제거 및 주요 하위 시스템 보호.................................39
목차 3
2.4.7 HP-UX Secure Shell을 사용한 로그인 보안 유지...................................................40
2.4.8 NIS에 저장된 암호 보안 유지...........................................................................40
2.4.9 LDAP 디렉토리 서버에 저장된 암호 보안 유지....................................................40
2.5 시스템 보안 속성 정의.............................................................................................40
2.5.1 시스템 범위 속성 구성......................................................................................41
2.5.2 사용자별 속성 구성.........................................................................................42
2.5.2.1 userdbset를 사용한 사용자별 속성 정의 예제...............................................43
2.5.2.2 INACTIVITY_MAXDAYS 및 섀도 패스워드 파일............................................43
2.5.3 사용자 데이터베이스 문제 해결........................................................................43
2.6 setuid 및 setgid 프로그램 처리..................................................................................43
2.6.1 setuid 및 setgid 프로그램이 위험할 수 있는 이유.................................................44
2.6.2 ID가 설정되는 방법..........................................................................................45
2.6.3 setuid 기능 제한 지침.......................................................................................45
2.7 스택 버퍼 오버플로 공격 방지..................................................................................46
2.8 무인 터미널 및 워크스테이션 보호............................................................................46
2.8.1 /etc/inittab 및 실행 수준을 사용하여 액세스 제어...............................................47
2.8.2 터미널 장치 파일 보호.....................................................................................47
2.8.3 화면 잠금 구성................................................................................................48
2.8.3.1 TMOUT 변수 구성....................................................................................48
2.8.3.2 CDE 잠금 관리자 구성.............................................................................48
2.9 원격 장치의 시스템 액세스 방지...............................................................................48
2.9.1 /etc/dialups 및 /etc/d_passwd를 사용하여 액세스 제어......................................49
2.10 로그인 배너 보안 유지............................................................................................50
2.11 root 계정 보호........................................................................................................51
2.11.1 root 계정 액세스 모니터링................................................................................51
2.11.2 제한된 수퍼유저 액세스를 위해 Restricted SMH Builder 사용................................51
2.11.3 수퍼유저 액세스 검토......................................................................................52
3 HP-UX Bastille..................................................................................................................53
3.1 특징 및 장점............................................................................................................53
3.2 HP-UX Bastille 설치...................................................................................................53
3.3 HP-UX Bastille 사용...................................................................................................54
3.3.1 대화형으로 HP-UX Bastille 사용..........................................................................54
3.3.2 비대화형으로 HP-UX Bastille 사용......................................................................56
3.3.3 시스템 구성....................................................................................................56
3.4 HP-UX Bastille을 사용하여 변경 사항 되돌리기............................................................58
3.5 파일 위치...............................................................................................................58
3.6 팁 및 문제 해결.......................................................................................................59
3.7 HP-UX Bastille 제거...................................................................................................60
4 HP-UX Standard Mode Security Extensions...........................................................................63
4.1 개요.......................................................................................................................63
4.2 보안 속성 및 사용자 데이터베이스............................................................................64
4 목차
4.2.1 시스템 보안 속성.............................................................................................64
4.2.2 시스템 범위 속성 구성.....................................................................................64
4.2.3 사용자 데이터베이스 구성 요소........................................................................65
4.2.3.1 구성 파일................................................................................................65
4.2.3.2 명령.......................................................................................................65
4.2.3.3 속성.......................................................................................................65
4.2.3.4 맨페이지................................................................................................66
4.2.4 사용자 데이터베이스에서 속성 구성..................................................................66
4.2.5 사용자 데이터베이스 문제 해결........................................................................67
5 원격 액세스 보안 관리.....................................................................................................69
5.1 인터넷 서비스 및 원격 액세스 서비스 개요.................................................................69
5.1.1 ftp 보안 유지....................................................................................................70
5.1.2 익명 ftp 보안 유지............................................................................................70
5.1.3 /etc/ftpd/ftpusers를 사용하여 액세스 거부.........................................................71
5.1.4 스푸핑에 대한 기타 보안 솔루션........................................................................71
5.2 inetd 데몬...............................................................................................................72
5.2.1 inetd 보안 유지................................................................................................73
5.2.1.1 /var/adm/inetd.sec를 사용하여 액세스 거부 또는 허용................................73
5.3 TCP Wrappers를 사용하여 스푸핑 방지......................................................................73
5.3.1 TCP Wrappers의 추가 기능...............................................................................74
5.3.2 TCP Wrappers는 RPC 서비스와 함께 작동하지 않음............................................74
5.4 Secure Internet Services.............................................................................................74
5.5 관리 도메인 제어.....................................................................................................75
5.5.1 네트워크 제어 파일의 사용 권한 설정 확인.........................................................76
5.6 HP-UX SSH(Secure Shell)를 사용하여 원격 세션 보안 유지............................................76
5.6.1 HP-UX Secure Shell의 주요 보안 기능..................................................................77
5.6.2 HP-UX Secure Shell의 소프트웨어 구성 요소.......................................................77
5.6.3 HP-UX Secure Shell 실행...................................................................................78
5.6.3.1 ssh 클라이언트 실행.................................................................................78
5.6.3.2 sftp 클라이언트 실행................................................................................79
5.6.3.3 scp 클라이언트 실행................................................................................79
5.6.4 HP-UX Secure Shell 권한 분리............................................................................79
5.6.5 HP-UX Secure Shell 인증...................................................................................80
5.6.5.1 GSS-API..................................................................................................81
5.6.5.2 공개 키 인증...........................................................................................81
5.6.5.3 호스트 기반 및 공개 키 인증.....................................................................81
5.6.5.4 암호 인증...............................................................................................81
5.6.6 통신 프로토콜.................................................................................................82
5.6.7 HP-UX Secure Shell 및 HP-UX 시스템..................................................................82
5.6.8 연관된 기술....................................................................................................82
5.6.9 Strong Random Number Generator 요구 사항.....................................................83
5.6.10 TCP Wrappers 지원........................................................................................83
목차 5
5.6.11 chroot 디렉토리 jail.........................................................................................83
II 데이터 보호..........................................................................................................................85
6 파일 시스템 보안.............................................................................................................87
6.1 파일 액세스 제어.....................................................................................................87
6.1.1 파일 액세스 권한 설정.......................................................................................88
6.1.2 파일 소유권 설정.............................................................................................89
6.1.3 디렉토리 보호..................................................................................................89
6.1.4 사용자 계정과 관련된 파일 보호........................................................................90
6.1.5 fsck를 사용하여 파일 손상 검색 및 수정..............................................................90
6.2 액세스 제어 목록 설정.............................................................................................91
6.3 HFS ACL 사용..........................................................................................................91
6.3.1 HFS ACL 및 HP-UX 명령과 호출..........................................................................92
6.4 JFS ACL 사용...........................................................................................................94
6.4.1 JFS ACL 정의...................................................................................................94
6.4.2 시스템에서 JFS ACL을 생성하는 방법................................................................94
6.4.3 최소 JFS ACL...................................................................................................94
6.4.4 추가 JFS ACL user 및 group 항목.......................................................................95
6.4.5 JFS ACL group 및 class 항목..............................................................................95
6.4.6 setacl 및 getacl 명령 사용.................................................................................96
6.4.7 class 항목에 대한 chmod의 영향.......................................................................96
6.4.8 최소 JFS ACL 변경 예제....................................................................................96
6.4.9 기본 JFS ACL...................................................................................................98
6.4.10 setacl 명령을 사용하여 JFS ACL 변경................................................................99
6.4.10.1 수정 및 삭제 옵션 사용...........................................................................99
6.4.10.2 -f 옵션 사용...........................................................................................99
6.4.10.3 유효 사용 권한 및 setacl -n......................................................................99
6.5 JFS ACL과 HFS ACL 비교.........................................................................................100
6.5.1 JFS와 HFS의 명령 및 함수 매핑........................................................................100
6.6 ACL 및 NFS..........................................................................................................101
6.7 /dev 장치 특수 파일의 보안 고려 사항....................................................................101
6.8 디스크 파티션 및 논리 볼륨 보호............................................................................102
6.9 파일 시스템 마운트 및 마운트 해제에 대한 보안 지침...............................................103
6.10 네트워크의 파일 보안 제어....................................................................................104
6.10.1 네트워크 제어 파일의 사용 권한 설정 확인.....................................................104
6.10.2 NFS 환경에 마운트된 파일............................................................................104
6.10.2.1 서버 취약성.........................................................................................105
6.10.2.2 클라이언트 취약성...............................................................................105
6.10.2.3 NFS 마운트된 파일을 보호하는 방법......................................................105
7 구획.............................................................................................................................107
7.1 개요......................................................................................................................107
7.1.1 구획 아키텍처.................................................................................................107
6 목차
7.1.2 기본 구획 구성...............................................................................................109
7.2 구획 구조 계획......................................................................................................109
7.3 구획 활성화...........................................................................................................110
7.4 구획 구성 수정......................................................................................................110
7.4.1 구획 규칙 변경...............................................................................................111
7.4.2 구획 이름 변경..............................................................................................111
7.5 구획 구성 요소......................................................................................................111
7.5.1 구획 구성 파일...............................................................................................111
7.5.2 구획 명령......................................................................................................112
7.5.3 구획 맨페이지...............................................................................................112
7.6 구획 규칙 및 구문..................................................................................................112
7.6.1 구획 정의......................................................................................................113
7.6.2 파일 시스템 규칙...........................................................................................114
7.6.3 IPC 규칙........................................................................................................115
7.6.4 네트워크 규칙...............................................................................................116
7.6.5 기타 규칙......................................................................................................118
7.6.6 예제 규칙 파일..............................................................................................119
7.7 구획의 응용 프로그램 구성.....................................................................................119
7.8 구획 문제 해결......................................................................................................119
7.9 discover 모드를 사용하여 초기 구획 구성 생성..........................................................120
7.10 HP Serviceguard 클러스터의 구획...........................................................................120
8 Fine-grained 권한...........................................................................................................123
8.1 개요.....................................................................................................................123
8.2 Fine-grained 권한 구성 요소...................................................................................123
8.2.1 명령.............................................................................................................123
8.2.2 맨페이지......................................................................................................124
8.3 사용 가능한 권한...................................................................................................124
8.4 Fine-grained 권한을 사용하여 응용 프로그램 구성....................................................126
8.4.1 권한 모델......................................................................................................127
8.4.2 복합 권한.....................................................................................................128
8.5 Fine-grained 권한의 보안 관련 사항.........................................................................128
8.5.1 권한 에스컬레이션.........................................................................................128
8.6 HP Serviceguard 클러스터의 Fine-grained 권한.........................................................128
8.7 Fine-grained 권한 문제 해결...................................................................................128
III ID 보호..............................................................................................................................131
9 HP-UX Role-Based Access Control.....................................................................................133
9.1 개요......................................................................................................................133
9.2 액세스 제어 기본 사항...........................................................................................134
9.2.1 역할을 사용하여 액세스 제어 단순화...............................................................134
9.3 HP-UX RBAC 구성 요소...........................................................................................135
9.3.1 HP-UX RBAC 액세스 제어 정책 전환.................................................................136
목차 7
9.3.2 HP-UX RBAC 구성 파일...................................................................................136
9.3.3 HP-UX RBAC 명령...........................................................................................137
9.3.4 HP-UX RBAC 맨페이지....................................................................................137
9.3.5 HP-UX RBAC 아키텍처....................................................................................138
9.3.6 HP-UX RBAC 예제 사용 및 작업.......................................................................139
9.4 HP-UX RBAC 배포 실행...........................................................................................140
9.4.1 역할 계획......................................................................................................140
9.4.2 역할의 권한 부여 계획...................................................................................141
9.4.3 명령 매핑 계획..............................................................................................141
9.4.4 HP-UX RBAC 제한 사항...................................................................................142
9.5 HP-UX RBAC 구성...................................................................................................142
9.5.1 역할 구성......................................................................................................143
9.5.1.1 역할 만들기............................................................................................143
9.5.1.2 사용자에게 역할 할당.............................................................................144
9.5.1.3 그룹에 역할 할당....................................................................................145
9.5.2 권한 부여 구성..............................................................................................145
9.5.3 추가 명령 권한 부여 및 권한 구성...................................................................146
9.5.4 Fine-grained 권한을 사용하여 HP-UX RBAC 구성................................................147
9.5.5 구획을 사용하여 HP-UX RBAC 구성..................................................................149
9.6 HP-UX RBAC 사용...................................................................................................149
9.6.1 privrun 명령을 통해 권한을 사용하여 응용 프로그램 실행...................................150
9.6.1.1 Serviceguard 클러스터의 HP-UX RBAC.......................................................151
9.6.2 privedit 명령을 사용하여 액세스가 제어되는 파일 편집.....................................152
9.6.3 ACPS를 사용하여 privrun 및 privedit 사용자 정의..............................................153
9.7 HP-UX RBAC 문제 해결...........................................................................................153
9.7.1 rbacdbchk 데이터베이스 구문 도구..................................................................153
9.7.2 privrun -v 정보................................................................................................154
10 감사 관리....................................................................................................................155
10.1 감사 구성 요소.....................................................................................................155
10.1.1 명령.............................................................................................................156
10.1.2 감사 구성 파일.............................................................................................156
10.1.3 감사 맨페이지..............................................................................................156
10.2 시스템 감사........................................................................................................157
10.2.1 감사 구현 계획.............................................................................................157
10.2.2 감사 활성화................................................................................................157
10.2.3 감사 비활성화.............................................................................................158
10.2.4 감사 파일 모니터링......................................................................................158
10.2.5 성능 고려 사항............................................................................................158
10.2.6 감사 시스템 관리 지침.................................................................................159
10.3 사용자 감사........................................................................................................159
10.4 감사 이벤트........................................................................................................160
10.5 감사 기록............................................................................................................161
8 목차
10.5.1 감사 기록 구성.............................................................................................162
10.5.2 감사 기록 모니터링 및 관리..........................................................................162
10.6 감사 로그 보기....................................................................................................163
10.6.1 audisp 명령 사용 예제..................................................................................164
10.7 자체 감사............................................................................................................164
10.8 HP-UX RBAC 감사.................................................................................................165
10.8.1 HP-UX RBAC 기준 및 /etc/rbac/aud_filter 파일...............................................166
10.8.2 HP-UX RBAC 기준 감사 절차.........................................................................166
A 트러스트된 시스템.............................................................................................................169
A.1 트러스트된 시스템 설치..............................................................................................169
A.2 트러스트된 시스템 감사..............................................................................................170
A.3 트러스트된 암호 및 시스템 액세스 관리.......................................................................170
A.3.1 암호 파일...........................................................................................................171
A.3.1.1 /etc/passwd 파일........................................................................................171
A.3.1.2 /tcb/files/auth/ 데이터베이스......................................................................172
A.3.2 암호 선택 사항 및 생성.......................................................................................173
A.3.3 암호 변경기간 설정 기능.....................................................................................173
A.3.4 암호 내역 및 암호 재사용....................................................................................173
A.3.5 시간 기반 액세스 제어........................................................................................174
A.3.6 장치 기반 액세스 제어........................................................................................174
A.3.7 트러스트된 시스템 데이터베이스 조작.................................................................174
A.4 트러스트된 백업 및 복구 지침.....................................................................................175
B 기타 보안 제품...................................................................................................................177
B.1 HP-UX HIDS.................................................................................................................177
B.2 보안 패치...................................................................................................................177
B.3 HP-UX IPFilter..............................................................................................................177
B.4 HP-UX Secure Shell .....................................................................................................177
용어.....................................................................................................................................179
색인.....................................................................................................................................187
목차 9
그림 목록
2-1 PAM 아래의 HP-UX 인증 모듈........................................................................................31
3-1 HP-UX Bastille 사용자 인터페이스...................................................................................55
6-1 파일 및 디렉토리 사용 권한 필드...................................................................................88
7-1 구획 아키텍처............................................................................................................108
9-1 HP-UX RBAC 아키텍처.................................................................................................139
9-2 privrun을 호출한 후 예제 작업......................................................................................140
 

진주성 블로그 방문하기
CLOSE