터미널을 사용할 사용자 권한 정의
침입자가 시스템에 액세스하는 것을 차단하는 가장 효율적인 방법 중 하나는 로그인 수단이 되는 터미널을 보호하는 것입니다. 로그인 수단은 사용자가 로그인 시 사용하는 호스트 또는 터미널(예: X 터미널 또는 콘솔)일 수 있습니다.
cminder140kr
침입자가 시스템에 액세스하는 것을 차단하는 가장 효율적인 방법 중 하나는 로그인 수단이 되는 터미널을 보호하는 것입니다. 로그인 수단은 사용자가 로그인 시 사용하는 호스트 또는 터미널(예: X 터미널 또는 콘솔)일 수 있습니다.
하지만 현대의 아키텍처에서 터미널이란 애초 UNIX 개발 시 염두에 두었던 텔레타이프 장치 이상을 의미하게 되었습니다. 대부분의 사이트에서는 PTS(가상 터미널 서버) 또는 X Window Manager를 통해 가상 터미널이 할당됩니다. 터미널이란 이름은 이제 보안 시스템에 대한 의미 없는 상징일 뿐입니다.
Privileged Access Manager Server Control
은 터미널로 인식되는 항목을 보호합니다. 다음 세 가지 방법 중 하나로 터미널이 정의된 경우 로그인 단계에서 터미널 보호가 구현됩니다.- 사용자가 XDM 로그인 창을 사용하여 X 터미널에서 로그인하면Privileged Access Manager Server Control은 /etc/hosts, NIS 또는 DNS에서 호스트 이름으로 변환된 X 터미널의 IP 주소를 받아 해당 로그인 요청에 사용되는 터미널을 확인합니다. 호스트 이름으로의 변환이 실패하거나 사용자가 IP 주소를 사용하는 것을 선호하는 경우에는 IP 주소를 사용하여 보호할 수도 있습니다.
- 사용자가 단순(dumb) 터미널에서 로그인하는 경우 TTY 이름이 터미널을 식별합니다.
- 사용자가 telnet, rlogin, rsh 등을 통해 네트워크에서 로그인하면 /etc/hosts, NIS 또는 DNS를 통해 호스트 이름으로 변환되는 요청 IP 주소가 터미널 이름이 됩니다.
TERMINAL 클래스에서 호스트를 정의하여 해당 호스트에 대한 로그인 규칙을 정의할 수 있습니다. 개체의 액세스 목록에 적절한 사용자와 그룹을 추가하십시오. 각 로그인 수단에 대해 이 호스트 또는 터미널에서의 로그인이 허용되는 날짜와 시간을 제한할 수도 있습니다. 이렇게 하려면 TERMINAL 개체에 대한 날짜 및 시간 제한을 설정하십시오. TERMINAL 클래스에 와일드카드를 사용하여 패턴(호스트 이름 또는 IP 주소)과 일치하는 호스트를 정의하십시오.
대개 슈퍼 사용자 또는 시스템 관리자와 같이 중요한 권한이 부여된 사용자는 안전한 곳에 있는 터미널을 통해서만 로그인할 수 있습니다. 침입자와 해커가 슈퍼 사용자로 가장하여 시스템에 침입하려고 해도 자신의 원격 스테이션에서는 침입이 불가능합니다. 안전한 곳에 있고 권한이 부여된 터미널 중 하나에서만 로그인이 가능하기 때문입니다.
네트워크에서 로그인하면 사용자가 호스트 콘솔을 사용 중이라는 보장이 없습니다. 사용자는 해당 호스트에 연결된 터미널을 사용 중일 수도 있고 요청 호스트에서 서비스 수신이 허가된 네트워크의 다른 노드에서 통신 중일 수도 있습니다. 사용자가 다른 호스트에서 로그인하도록 허용하는 것은 특정 스테이션의 사용자뿐 아니라 해당 스테이션에서 허가한 다른 터미널의 사용자에게도 로그인을 허용한다는 것을 의미합니다. 부서 간 격리를 확실히 하려면 터미널 그룹을 정의하십시오. 각 부서의 사용자가 해당 부서의 터미널 그룹에서만 작업할 수 있도록 하십시오.
다른 리소스와 달리 터미널 권한 부여에서는 사용자에게 정보 액세스 권한이 많이 부여될수록 사용자의 터미널 권한 수준이 낮아야 합니다. 슈퍼 사용자는 터미널 액세스가 가장 제한되는 사용자여야 합니다. 이렇게 제한하면 안전하지 않은 원격 터미널에서는 아무도 root로 로그인할 수 없습니다.
Privileged Access Manager Server Control
에서는 터미널을 정의할 때 터미널 정의의 소유자를 명시적으로 지정해야 합니다. 보안 관리자인 root 사용자가 기본적으로 터미널의 소유자가 될 경우 해당 터미널이 슈퍼 사용자 로그인에 사용될 수 있기 때문입니다. 대부분의 경우 이는 바람직하지 않습니다. 이처럼 실수로 의도치 않게 보안 허점을 만들지 않기 위해 Privileged Access Manager Server Control
에서는 터미널을 정의할 때 반드시 소유자를 정의해야 합니다.터미널 tty34를 정의하려면 다음 명령을 사용합니다.
newres TERMINAL tty34 defaccess(none) owner(userA)
이 명령은 터미널 tty34에 대한 레코드를 생성하고 기본 액세스를 NONE으로 설정하며 userA를 소유자로 정의합니다. userA는 터미널의 소유자로서 터미널 tty34를 통해 시스템에 자동으로 허용되어 들어갈 수 있습니다.
모든 사용자가 터미널 tty34에서 로그인하지 못하도록 하려면 nobody를 소유자로 지정합니다.
newres TERMINAL tty34 defaccess(none) owner(nobody)
특정 터미널에서 로그인하는 사용자를 허용하려면 다음 명령을 입력합니다.
authorize TERMINAL tty34 uid(USR1)
이 명령은 USR1이 터미널 tty34에서 로그인하도록 허용합니다.
터미널 사용 권한은 그룹에도 부여될 수 있습니다. 예를 들어 다음 명령은 그룹 DEPT1의 구성원이 터미널 tty34를 사용하도록 허용합니다.
authorize TERMINAL tty34 gid(DEPT1)
터미널 그룹을 정의하려면 다음 명령을 입력합니다.
newres GTERMINAL TERM.DEPT1 owner(ADM1)
터미널 그룹 TERM.DEPT1에 구성원 터미널을 추가하려면 다음 명령을 입력합니다.
chres GTERMINAL TERM.DEPT1 mem(tty34, tty35)
USR1에 이 터미널 그룹을 사용할 수 있는 권한을 부여하려면 다음 명령을 입력합니다.
authorize GTERMINAL TERM.DEPT1 uid(USR1)
이렇게 하면 USR1에 tty34 및 tty35를 모두 사용할 수 있도록 권한을 부여합니다.