SMS 1.4 보안 옵션 | Sun Microsystems guide

5 장

SMS 1.4 보안 옵션

이 장에는 Solaris 운영 환경에서의 System Management Services (SMS) 1.4 소프트웨 어 보안에 대한 정보가 들어 있습니다. 이러한 지침은 Sun Fire 최고급 서버 시스템에 적 용합니다.

다음 보안 옵션은 SMS 1.4에서 이용 가능합니다.

권장 사항

fomd(장애 조치 관리 데몬)에 대한 대체 전송 방식으로 보안 쉘(ssh)을 사용합니다. SC 및 도메인 사이의 I1 MAN 네트워크에서 ARP(주소 해상도 프로토콜)을 사용하지 마십시오.

선택적

SC의 MAN 드라이버로부터 해당 도메인을 제외시켜 SC와 도메인 사이에서 모든 IP 트래픽을 사용하지 마십시오.

fomd에 대한 대체 전송 방식으로 ssh를 사용하여 SC는 더 이상 /.rhosts 파일이 필요 하지 않습니다. 보안 쉘은 사용자 권한을 제공하고 모든 네트워크 트래픽을 암호화하여 침입자가 차단된 통신을 읽지 못하게 하며 또는 시스템을 스푸핑하지 못하도록 합니다.

ARP 스푸핑 및 IP 기반 침입을 방지하기 위해, 모든 멀티 도메인 구성의 MAN 네트워크 에서 ARP를 사용하지 않는 것이 좋습니다. 도메인 분리가 중요한 시스템에 대해 분리 가 필요한 특정 도메인 및 SC 사이에서 IP 연결을 사용하지 않는 것이 좋습니다.

위의 보안 옵션을 구현하기 전에, 전체 시스템의 보안을 향상시키기 위해 SC 및 도메인 에서 Solaris 운영 환경 구성을 수정(강화)하는 것이 좋습니다. 좀 더 자세한 사항은 다음 주소에서 이용 가능한 Sun BluePrints Online 기사를 참조하십시오.

http://www.sun.com/security/blueprints

Solaris 운영 환경 보안 - Solaris 8 운영 환경 갱신

Solaris 운영 환경 보안 - Solaris 9 운영 환경 갱신

Solaris 보안 툴킷 사용(SST, a/k/a JASS)을 포함한 세가지 옵션 및 Sun Fire 최고급 시스 템의 모든 보안 권장 사항에 대한 세부 설명의 수행에 관한 단계적 지침에 대해서는 다음 주소에서 이용 가능한 Sun BluePrints Online 기사를 참조하십시오.

79

Image 89

Sun Microsystems manual SMS 1.4 보안 옵션

Contents

System Management Services SMS 1.4 설치 안내서 재활용 재설치 또는 OS/SMS 새로 설치 실행 준비유형 1 유형 1 설치 수행 SMS 소프트웨어 다운로드 머리말SMS 1.4 소프트웨어 요구사항 기본 정지 과정 소프트웨어 조합 기타 문서 및 요구 사항 SMS 1.4 소프트웨어 업그레이드 이전 주 SC에 MAN 네트워크 구성 32 이전 주 SC 재시동SCSC1에서 장애 조치 사용 도메인에 대한 Solaris 운영 환경 설정 및 설치 구성 해제된 도메인 도메인 작성 도메인으로 변경 SMS에 사용자 추가SMS 1.4 소프트웨어 및 도메인 Vi System Management Services SMS 1.4 설치 안내서 2003 년 11 월 설명서의 구성 책을 읽기 전에 활자체 규칙 Unix 명령어 사용프롬프트 장은 보안 옵션 지침에 대해 설명합니다 장은 SMS 1.4 소프트웨어 및 도메인에 대해 설명합니다 참조 매뉴얼 1M 관련 문서 Sun 기술 지원부 연락처 Sun 온라인 문서 액세스Sun은 여러분의 의견을 환영합니다 다음 웹 사이트에서 번역된 버전을 포함하여 다양한 종류의 Sun 문서를 보고 인쇄하고 구매할 수 있습니다 장은 SMS 1.4 소프트웨어의 재설치 및 업그레이드에 대해 설명합니다. 설명은 다음 장에서 제공됩니다 SC의 SMS 1.4 소프트웨어 기본 정지 과정 SMS 1.4 소프트웨어 요구사항 다음은 Solaris 8 및 Solaris 9 운영 환경에서 유효한 SMS 소프트웨어 업그레이드 경로 입니다 소프트웨어 조합 Sms1.4s8 Sms1.3s9 SMS 업그레이드업그레이드 Sms1.4s9 기타 문서 및 요구 사항 예를 들어, 이 안내서는 다음과 같습니다 도메인ID# 도메인의 수퍼유저 System Management Services SMS 1.4 설치 안내서 2003년 11월 재설치 또는 OS/SMS 새로 설치 실행 준비 SMS 1.4 소프트웨어 설치 유형 1 설치 수행 CD-ROM에서 소프트웨어 다운로드 SMS 소프트웨어 다운로드웹에서 소프트웨어 다운로드 SMS 환경 백업 SMS 환경 백업 Sc1# /usr/bin/df -F ufs 디렉토리이름 Sc1# /opt/SUNWSMS/bin/smsbackup 디렉토리이름 SMS 패키지 설치 Smsinstall를 사용한 SMS 소프트웨어 패키지 설치 Sc1# smsinstall 디렉토리이름 Smsinstall1M 명령을 사용하여 패키지를 추가합니다 SMS 구성 복원 예비 SC에 SMS 구성 복원16 페이지의 SMS 구성 복원으로 갑니다 SMS 구성을 복원합니다 예비 SC에 MAN 네트워크 구성 Sc1# /opt/SUNWSMS/bin/smsconfig -m관리 네트워크를 올바르게 구성하려면 다음을 수행해야 합니다 주의 -다음 예에 표시된 IP 주소는 단지 예일 뿐입니다. 사용자 네트워크에 대한 올바른 Sun15 Sc1# smsconfig -m 10.2.1.0 10.3.1.0 SMS에 대한 이름 서비스를 구성합니다 수퍼유저로서 SC에 로그인합니다 제어를 예비 SC로 전환 제어를 예비 SC로 전환SMS 그룹을 구성합니다 페이지의 SMS 그룹에 사용자 추가 및 디렉토리 액세스 구성을 참조하십시오 SMS 그룹에 사용자를 추가한 후 참고 SC PROM을 갱신하려면 다음 드라이버에 액세스할 수 있어야 합니다 예비 SC를 시동합니다다음으로 참고 드라이버를 사용할 수 없는 경우 각 SC에서 수퍼유저로서 다음 명령을 실행해야 합니다 Flashupdate를 사용하여 모든 CPU Flash PROM을 갱신합니다Platadmn 권한을 갖는 사용자로서 새로운 주 SC에 로그인합니다 다음 FPROMid 양식이 허용됩니다 이전 주 SC 재설치 이전 주 SC를 재설치SC를 재시동합니다. 다음을 입력합니다 25 페이지의 이전 주 SC 재설치로 갑니다 Sc0# /usr/bin/df -F ufs 디렉토리이름 이전 주 SC에 Solaris 운영 환경 설치UFS 파일 시스템이 디렉토리 정보를 리턴합니다. 다른 모든 유형의 파일 시스템은 경고 를 리턴합니다 이전 주 SC에 수퍼유저로서 로그인합니다 디렉토리를 smsinstall 위치로 변경합니다 Smsinstall을 사용한 SMS 소프트웨어 패키지 설치이전 주 SC에 SMS 1.4 소프트웨어 설치 운영 환경이 성공적으로 설치된 후에 27 페이지의 이전 주 SC에 SMS 1.4 소프트웨어 설치로 가십시오 Sc0# smsupgrade 디렉토리이름 SMS 1.4 소프트웨어 설치 System Management Services SMS 1.4 설치 안내서 2003년 11월 31 페이지의 SMS 구성 복원으로 갑니다 이전 주 SC에 SMS 구성 복원 이전 주 SC에 MAN 네트워크 구성 Smsconfig1M 매뉴얼 페이지를 읽습니다 수퍼유저로 이전 주 SC에 로그인합니다Sc0# /opt/SUNWSMS/bin/smsrestore 파일이름 Sc0# smsconfig -m Sc0# /opt/SUNWSMS/bin/smsconfig -m 10.2.1.0 10.3.1.0 SMS에 대한 이름 서비스 구성 수퍼유저로서 SC에 로그인합니다 38 페이지의 이전 주 SC 재시동으로 갑니다 Sc0# vi /etc/nsswitch.conf어야 합니다. 그 다음에 nis 또는 DNS와 같이 사용 중인 다른 이름 지정 서비스를 나 열합니다 이전 주 SC 재시동 이전 주 SCSC0에 수퍼유저로 로그인하고 OpenBoot Prom 프롬프트로 갑니다이전 주 SC 재시동 이전 주 SC를 시동합니다 Platadmn 권한을 갖는 사용자로서 주 SC에 로그인합니다 Flashupdate를 사용하여 SC PROM을 갱신합니다Password superuser passwd sc0# shutdown -y -g0 섀시 일련 번호 확인 섀시 일련 번호 확인 장애 조치 사용 SCSC1에서 장애 조치 사용Platadmn 권한을 갖는 사용자로서 새로운 주 SCSC1에 로그인합니다 장애 조치를 켭니다 Sc1sms- 사용자 /opt/SUNWSMS/bin/setfailover on System Management Services SMS 1.4 설치 안내서 2003년 11월 새로운 주 SCSC1에서 장애 조치 사용 SMS 1.4 소프트웨어 업그레이드 유형 2 업그레이드 수행 OS/SMS 업그레이드유형 2 설치 수행 준비 유형 2 업그레이드를 시작하려면 46 페이지의 SMS 소프트웨어 다운로드로 가십시오 Smsupgrade SMS 수퍼유저로서 시스템 컨트롤러에 로그인합니다 Product 설치 디렉토리로 변경합니다 Sc1# cd /cdrom/cdrom0/SystemManagementServices1.4/Product47 페이지의 사용자 SMS 환경 업그레이드 준비로 갑니다 예비 SC의 시스템을 백업합니다선택사항 사용자 SMS 환경 업그레이드 준비사용자 SMS 환경 업그레이드 준비 Solaris 운영 환경 업그레이드 Solaris 운영 환경 업그레이드 SMS 패키지 업그레이드 수퍼유저로서 예비 SC에 로그인합니다 디렉토리를 smsupgrade 위치로 변경합니다SMS 소프트웨어 패키지 업그레이드 49 페이지의 SMS 패키지 업그레이드로 갑니다 Sc1# smsupgrade 디렉토리이름 Smsupgrade1M 명령을 이용하여 SMS를 업그레이드합니다 SMS 1.4 소프트웨어 업그레이드 System Management Services SMS 1.4 설치 안내서 2003 년 11 월 53 페이지의 제어를 예비 SC로 전환으로 갑니다 CPU Flash Prom 업그레이드 예비 SC 및 시스템 보드의 Flash Prom 갱신 56 페이지의 이전 주 SC 업그레이드로 갑니다 이전 주 SC 업그레이드 이전 주 SC 업그레이드이전 주 SC에 수퍼유저로서 로그인합니다 이전 주 SC의 SMS를 중지합니다 이전 주 SC의 시스템을 백업합니다선택사항 이전 주 SC의 SMS 1.4 소프트웨어 예비 SC에서 Solaris 운영 환경 업그레이드업그레이드 할 준비가 되었습니다 58 페이지의 SMS 소프트웨어 패키지 업그레이드로 갑니다 Smsupgrade1M 명령을 사용하여 패키지를 업그레이드합니다 이전 주 SC에 수퍼유저로서 로그인합니다 디렉토리를 smsupgrade 위치로 변경합니다 SMS 1.4 소프트웨어 업그레이드 System Management Services SMS 1.4 설치 안내서 2003 년 11 월 61 페이지의 이전 주 SC 재시동으로 갑니다 62 페이지의 이전 주 SC의 Flash Prom 갱신으로 갑니다 변경이 효력을 가지려면 SC를 재시동해야 합니다. 시스템을 재시동한 후, 네트워크 구성이 완료됩니다 64 페이지의 새로운 주 SCSC1에서 장애 조치 사용으로 갑니다 섀시 일련 번호 확인 및 지정섀시 일련번호 확인 및 지정 섀시 일련번호가 이전에 기록된 경우, 섀시 일련번호가 출력 장치에 표시됩니다 새로운 주 SCSC1에서 장애 조치 사용 SMS에 사용자 추가 SMS 1.4 소프트웨어 추가 지침 플랫폼 관리자 그룹 여기서 사용자이름은 시스템 사용자 계정의 이름입니다 SMS 그룹에 사용자 추가 및 디렉토리 액세스 구성 예를 들어 플랫폼 권한을 갖는 모든 사용자를 나열하려면 다음을 입력하십시오 Sc0 # /opt/SUNWSMS/bin/smsconfig -l platformSMS 그룹 및 관리 권한을 올바르게 구성하려면, 제거하려는 각 사용자에 대해 다음 명령을 사용해야 합니다 예를 들어 dmnbadmn 그룹에서 fdjones를 제거하려면 다음을 입력하십시오 예비 SC에 패치 설치 SMS 패치 설치 SC로 장애 조치를 재활성화하고 다음과 같이 활성화 되었음을 확인합니다 이전 주 SC 패치 설치예비 SC로 장애 조치 합니다 이전 주 SC에 수퍼유저로서 로그인합니다 패치 지침에 따라서 이전 주 SC에 패치를 설치합니다 SC 규칙 복원 추가 소프트웨어 패키지 설치플랫폼 관리자 권한을 갖고 새로운 주 SC에 로그인합니다 예비 SC로 장애 조치 합니다 SC는 재시동하고 예비 SC가 됩니다. 원래 주 SC는 다시 주 SC가 됩니다 수퍼유저로서 SC에 로그인합니다 SC의 CD-ROM드라이브에 적합한 설치 CD를 넣습니다 추가 소프트웨어 패키지 설치Cdrom 이미지를 NFS로 전파하기 위해 다음을 입력합니다 수퍼유저로서 도메인에 로그인합니다 도메인에 대한 /cdrom 디렉토리를 작성하고 마운트합니다 추가 소프트웨어 패키지를 추가합니다 NTP 클라이언트로 SC 구성CD를 마운트 해제합니다 도메인을 로그 아웃하고 수퍼유저로서 SC에 로그인합니다 SC의 CD-ROM드라이브에서 설치 CD를 꺼냅니다 개의 NTP 서버 이름을 각 SC 및 시동 가능한 도메인의 NTP 구성 파일에 입력합니 다 SMS 정지 및 시작Driftfile의 이름을 추가합니다 통계 생성에 대한 지침을 추가합니다 수동으로 SMS 정지 및 재시작 10. 다음을 입력합니다 예비 SC의 SMS 패키지를 주 SC에 공유Showenvironment가 모든 보드 상태 표시를 끝마칠 때까지 기다립니다 로그 아웃하여 SMS 프로그램 사용해서 시작할 수 있습니다 Sc1# mkdir /cdrom Sc1# mount SC-I1 /cdrom/cdrom0 /cdrom 예비 SC에 대한 /cdrom 디렉토리를 작성하고 마운트 합니다 System Management Services SMS 1.4 설치 안내서 2003 년 11 월 SMS 1.4 보안 옵션 System Management Services SMS 1.4 설치 안내서 2003년 11월 도메인에 대한 Solaris 운영 환경 설정 및 설치 SMS 1.4 소프트웨어 및 도메인 시스템 컨트롤러에 네트워크 설치 서버 설정 다음을 입력하여 OpenBoot Prom 프롬프트에서 MAN 네트워크 이더넷 주소를 확보 합니다도메인을 설치 클라이언트로 설정 절차를 시작하기 전에 네트워크 설치 서버 설정에 익숙해야 합니다 표시된 출력은 예일 뿐이며 시스템에 나타나는 특정 정보를 반영하지 않습니다 도메인에 Solaris 운영 환경 설치SC0의 수퍼유저로서, 호스트 도메인을 설치 클라이언트로 설정합니다 워크시트에 정의되어 있었습니다 도메인을 위한 Solaris 운영 환경을 설치합니다 Management Network를 사용하여 SC로부터 도메인을 네트워크 시동합니다. 다음을 입력합니다도메인 노드이름을 변경합니다 네트워크 설치 서버 목록에서 도메인을 제거합니다 장치 별명 작성에 사용할 OpenBoot Prom 장치 트리를 표시합니다 도메인에 대한 OpenBoot Prom 환경 변수 설정다음 절차의 4 단계에 대한 준비에서, 실제 디스크 위치를 기록합니다. 예를 들면, 다음을 입력하십시오 로그아웃 합니다 이제 시동 장치에 대한 별명을 설정했으므로, 다음을 입력하여 디스크를 시동합니다 Ok boot새로 작성된 Nvram 데이터를 레코드 합니다 도메인 네트워크 구성 구성 해제된 도메인수퍼유저로서 도메인에 로그인합니다 다음을 입력합니다 다음은 표시되는 출력에 대한 예제입니다 아닌 경우, /etc/syslog.conf 파일을 편집합니다. 저장하고 종료합니다 도메인 작성여기서 Manc도메인ip주소는 /etc/netmasks에 나열된 도메인 IP 주소입니다 이제 도메인이 구성됩니다 예를 들어, 이 안내서에서는 시스템 컨트롤러에 새 도메인 구성시스템 컨트롤러에 새 도메인 구성 도메인 활성화 도메인에 대한 콘솔 표시 도메인에 대한 태그를 추가합니다 활동하지 않는 도메인에서 보드를 제거해야 하는 경우 deleteboard1M 명령을 사용 하십시오 예를 들어, 다음 명령은 도메인 A에 대한 태그를 플랫폼 구성 데이터베이스PCD에 추가합니다 도메인 활성화참고 새 시스템 컨트롤러에 Solaris 운영 환경과 SMS를 설치하려면 도메인 상태를 표시합니다 도메인을 비활성화 해야 하는 경우 가상 키스위치의 위치를 off로 설정하십시오 도메인에 대한 콘솔 표시 SC의 IP 주소 또는 도메인 변경하기 도메인으로 변경도메인 또는 SC의 호스트이름 변경하기 IP 주소와 사용자 이름 서비스 맵을 업데이트 합니다 도메인 또는 시스템 컨트롤러를 재시동합니다 도메인 또는 SC를 재시동합니다 호스트이름이 SC에서 변경된 경우, smsconfig -m을 실행합니다 도메인에 대한 콘솔 표시 예를 들어 SMS 그룹 사용자 추가 소프트웨어 추가 패키지 설치