구현 안내서 › UNIX 끝점 설치 및 사용자 지정 › 유지 관리 모드 보호(자동 모드)

유지 관리 모드 보호(자동 모드)

CA Access Control에는 CA Access Control 데몬이 유지 관리를 위해 종료된 경우 보호할 수 있도록 자동 모드라는 유지 관리 모드가 있습니다. 이 모드에서는 이러한 데몬이 종료된 동안 CA Access Control에서 이벤트를 거부합니다.

CA Access Control은 실행 중일 때 보안상 중요한 이벤트를 차단하고 이벤트가 허용되었는지 검사합니다. 유지 관리 모드가 활성화되지 않은 상태에서 CA Access Control 서비스가 종료되면 모든 이벤트가 허용됩니다. 유지 관리 모드를 활성화하면 CA Access Control 데몬이 종료된 동안 이벤트를 거부하여 시스템 유지 관리 동안 사용자의 작업을 중단시킵니다.

유지 관리 모드는 기본적으로 비활성화되어 있으며, 필요할 때 활성화할 수 있습니다.

CA Access Control 보안 서비스가 종료되었을 때:

• 유지 관리 모드가 활성화되어 있으면 유지 관리 사용자가 실행한 이벤트와 특별한 경우를 제외하고 보안에 민감한 이벤트가 모두 거부됩니다.
• 유지 관리 모드가 비활성화되어 있으면 CA Access Control이 아무 작업도 중단하지 않고 실행이 운영 체제로 전달됩니다.

유지 관리 모드가 활성화되고 보안이 종료된 경우 금지된 이벤트가 감사 로그 파일에 기록되지 않습니다.

유지 관리 모드를 활성화하려면 다음 단계를 수행하십시오.

중요! 루트가 유지 관리 사용자가 아닌 경우 다른 방법으로는 로그인할 수 없으므로 유지 관리 사용자를 위한 세션을 열어 두십시오.

1. CA Access Control 데몬이 종료되었는지 확인합니다.
2. seini 유틸리티를 사용하여 silent_deny 토큰 값을 yes로 변경합니다.

   토큰은 SEOS_syscall 섹션 아래에 있습니다.

   seini -s SEOS_syscall.silent_deny yes
   

3. silent_admin 토큰 값을 CA Access Control 데몬이 종료된 동안 컴퓨터에 액세스할 수 있도록 허용할 UNIX UID(숫자)로 변경합니다.

   seini -s SEOS_syscall.silent_admin <maintenance_UID>
   

   참고: 루트는 기본 유지 관리 모드 사용자(UID 0)입니다.

   중요! 유지 관리 사용자가 루트가 아닌 경우 CA Access Control 권한 부여 데몬 setuid를 루트 사용자로 해야 유지 관리 모드에서 CA Access Control을 시작할 수 있습니다. 이처럼 변경하려면 다음 명령을 입력합니다.
   chmod 6111 seosd

4. seload 명령으로 CA Access Control 데몬을 시작합니다.

   참고: 유지 관리 모드 사용자가 루트가 아닌 경우 seosd 명령으로 CA Access Control 데몬을 시작하십시오.