UNIX용 끝점 관리 안내서 › 로그인 명령 제어 › 터미널을 사용할 사용자 권한 정의

터미널을 사용할 사용자 권한 정의

침입자가 시스템에 액세스하는 것을 차단하는 가장 효율적인 방법 중 하나는 터미널 보호입니다(즉, 로그인 소스). 소스는 사용자가 로그인하는 호스트 또는 터미널(예: X 터미널 또는 콘솔)일 수 있습니다.

그러나 요즘의 아키텍처로 이루어진 터미널은 더 이상 텔레타이프 컴퓨터(텔레타이프 컴퓨터용으로 UNIX가 개발되었음)가 아닙니다. 대부분의 사이트에는 가상 터미널 서버(PTS) 또는 X window manager를 통해 "가상 터미널"이 할당되어 있고 터미널의 이름은 보안 시스템에 대한 의미 없는 기호일 뿐입니다. CA Access Control은 터미널로서 인식되는 항목을 보호합니다. CA Access Control에서 다음 세 가지 방법 중 하나로 터미널을 정의할 때 CA Access Control은 로그인 단계에서 터미널 보호를 구현합니다.

• 사용자가 XDM 로그인 창을 통해 X 터미널에서 로그인하면 CA Access Control은 해당 로그인 요청에 사용되는 터미널이 되도록 /etc/hosts, NIS 또는 DNS에서 호스트 이름으로 변환된 X 터미널의 IP 주소를 받습니다. 또한 CA Access Control은 호스트 이름으로의 변환이 실패하거나 IP 사용을 선호하는 경우 IP 주소를 사용하여 보호할 수도 있습니다.
• 사용자가 단순(dumb) 터미널에서 로그인하는 경우 TTY 이름이 터미널을 식별합니다.
• 사용자가 네트워크에서 (telnet, rlogin, rsh 등을 통해) 로그인하면 (/etc/hosts, NIS, DNS를 통해) 호스트 이름으로 변환되는 IP 주소가 터미널 이름이 됩니다.

이 호스트를 TERMINAL 클래스에 정의하고 해당 사용자와 그룹을 개체의 액세스 목록에 추가하여 특정 호스트에 대한 로그인 규칙을 정의할 수 있습니다. 또한 각 로그인 소스에 대해 TERMINAL 개체에 날짜 및 시간 제한 사항을 설정하여 이 호스트 또는 터미널에서 로그인이 허용되는 날짜 및 시간을 제한할 수 있습니다. TERMINAL 클래스에 와일드카드를 사용하여 패턴(호스트 이름 또는 IP 주소)과 일치하는 호스트를 정의할 수 있습니다.

대부분의 경우 슈퍼 사용자 또는 시스템 관리자와 같이 중요한 권한이 부여된 사용자는 안전한 위치의 터미널로 제한해야 합니다. 슈퍼 사용자로 시스템에 침입하려는 침입자 및 해커는 자신의 원격 스테이션에서 침입할 수 없습니다. 안전한 위치에 있는 허가된 터미널 중 하나에서 작업해야 시스템에 침입할 수 있기 때문입니다.

네트워크에서 로그인하면 사용자가 호스트 콘솔을 사용 중이라는 보장이 없습니다. 사용자는 해당 호스트에 연결된 터미널을 사용 중일 수도 있고 요청 호스트에서 서비스 수신이 허가된 네트워크의 다른 노드에서 통신 중일 수도 있습니다. 사용자가 다른 호스트에서 로그인하도록 허용하는 것은 특정 스테이션의 사용자뿐 아니라 해당 스테이션에서 허가한 다른 터미널의 사용자에게도 로그인을 허용한다는 것을 의미합니다. 부서 간 차단을 확실히 하려면 터미널 그룹을 정의하고 각 부서의 사용자가 해당 부서의 터미널 그룹에서만 작업할 수 있도록 합니다.

다른 리소스와 달리 터미널 권한 부여에서는 사용자에게 정보 액세스 권한이 더 많이 부여될수록 사용자의 터미널 권한은 더 적게 부여되어야 합니다. 슈퍼 사용자는 안전하지 않은 원격 터미널에서 누구도 루트로 로그인하지 못하도록 하기 위해서 터미널 액세스가 가장 제한된 사용자여야 합니다.

터미널을 정의할 때 CA Access Control은 터미널 정의의 소유자를 명시적으로 지정할 것을 요구합니다. 그 이유는 루트가 보안 관리자로서 기본적으로 터미널의 소유자가 되면 슈퍼 사용자가 터미널에 로그인할 수 있기 때문입니다. 대부분의 경우 이는 바람직하지 않습니다. 우연히 허점을 만들 수 있는 실수를 방지하기 위해 CA Access Control은 터미널을 정의할 때 소유자를 정의하도록 합니다.

터미널 tty34를 정의하려면 다음 명령을 사용합니다.

newres TERMINAL tty34 defaccess(none) owner(userA)

이 명령은 터미널 tty34에 대한 레코드를 생성하고 기본 액세스를 NONE으로 설정하며 userA를 소유자로 정의합니다. userA는 터미널의 소유자로서 터미널 tty34를 통해 시스템에 자동으로 허용되어 들어갈 수 있다는 것에 유의하십시오.

모든 사용자가 터미널 tty34에서 로그인하지 못하도록 하려면 "nobody"를 소유자로 지정합니다.

newres TERMINAL tty34 defaccess(none) owner(nobody)

특정 터미널에서 로그인하는 사용자를 허용하려면 다음 명령을 입력합니다.

authorize TERMINAL tty34 uid(USR1)

이 명령은 USR1이 터미널 tty34에서 로그인하도록 허용합니다.

터미널 사용 권한은 그룹에도 부여될 수 있습니다. 예를 들어 다음 명령은 그룹 DEPT1의 구성원이 터미널 tty34를 사용하도록 허용합니다.

authorize TERMINAL tty34 gid(DEPT1)

터미널 그룹을 정의하려면 다음 명령을 입력합니다.

newres GTERMINAL TERM.DEPT1 owner(ADM1)

터미널 그룹 TERM.DEPT1에 구성원 터미널을 추가하려면 다음 명령을 입력합니다.

chres GTERMINAL TERM.DEPT1 mem(tty34, tty35)

이 터미널 그룹을 사용하도록 USR1을 인증하려면 다음 명령을 입력합니다.

authorize GTERMINAL TERM.DEPT1 uid(USR1)

이렇게 하면 USR1에 tty34 및 tty35를 모두 사용할 수 있도록 권한을 부여합니다.