참조 안내서 › 유틸리티 › eacpg_gen 유틸리티-모범 사례 정책 정의

eacpg_gen 유틸리티-모범 사례 정책 정의

Linux에 해당

eacpg_gen을 정책 생성기라고도 합니다. 이 메뉴 방식의 유틸리티는 CA ControlMinder 응용 프로그램에 대한 정책을 정의할 수 있는 손쉬운 방법을 제공합니다. 정책 생성기는 CA ControlMinder 규칙이 없는 테스트 시스템에서 사용할 수 있습니다. 정책 생성기의 목적은 중요한 전자 자산에 보안 모범 사례를 적용하여 엔터프라이즈 응용 프로그램 및/또는 운영 체제와 해당 기밀 데이터를 보호하는 것입니다.

"기본 거부(default-deny)" 패러다임과 함께 응용 프로그램 셀이 작성됩니다. 이러한 정책은 UNIX chroot() jail의 개념과 유사합니다. 인터넷에 연결된 응용 프로그램에 대해 그러한 정책이 생성되면 해당 응용 프로그램을 사용하는 호스트 절충의 위험이 크게 줄어듭니다.

응용 프로그램 셀은 응용 프로그램을 차단하는 ACL(Access Control List - 액세스 제어 목록) 규칙입니다. eacpg_gen은 각 응용 프로그램에 대해 다수의 응용 프로그램 셀을 생성합니다. 응용 프로그램 셀은 특정 리소스에 대해서만 액세스를 적용합니다. 셀 정책으로 보호되는 프로세스는 정책에서 특별히 액세스가 허용되지 않은 리소스에 액세스할 수 없습니다. 따라서 잠재적인 공격자가 디스크의 인증되지 않은 영역에 쓰거나 인증되지 않은 바이너리를 실행하는 것을 막을 수 있습니다.

참고: 이 유틸리티를 실행하기 전에 secadmin 및 그룹 secadmins가 데이터베이스에 있는지 확인하십시오.

정책 생성에는 몇 가지 주요 단계가 있습니다.

• 초기화
• 응용 프로그램 조사
• 응용 프로그램 테스트
• 정책 생성
• 정책 적용
• 정책 테스트

이 명령의 형식은 다음과 같습니다.

eacpg_gen \

[-u user] \
[-g group] \
[-p path] \
[-o owner] \
[-w wheel] \
[-m machine] \
[-a] \
[-s file] \
[-# step] \
[-x]

-u user

프로세스를 실행할 사용자를 지정합니다.

-g group

프로세스를 소유할 그룹 이름을 지정합니다.

-p path

프로그램에 대한 전체 경로를 지정합니다.

-o owner

정책 소유자를 지정합니다.

-w wheel

'secadmins' 그룹으로서 설정합니다(권장).

-m machine

컴퓨터 이름을 지정합니다.

-a

생성된 규칙의 적용 여부를 설정합니다.

-s file

정책 규칙을 저장하기 위한 전체 경로와 파일 이름을 지정합니다.

-# step 1-2

2로 설정해야 합니다.

-x

경고 모드와 실패 모드 간에 전환됩니다.

예: 정책 생성기 실행

1. (초기화). 정책 생성기를 실행합니다.

   eacpg_gen
   

2. 시스템을 경고 모드에 두려면 프롬프트에 y를 입력합니다.
3. 정책 생성기에 실행 파일에 대한 전체 경로를 제공합니다. 예를 들면 다음과 같습니다.

   /work/WebServers/apache_1.3.26/bin/htppd
   

4. 기본 사용자 이름을 그대로 사용합니다.
5. 기본 그룹 이름을 그대로 사용합니다.
6. 정보가 정확한지 확인하려면 프롬프트에 y를 입력합니다.

   (응용 프로그램 조사). 정책 생성기가 정책을 만들 대상 프로세스에 대한 데이터를 수집하기 시작합니다.

7. 화면 정보를 확인하고 Enter 키를 누릅니다.
8. (응용 프로그램 테스트). 응용 프로그램을 시작합니다. 예:

   ./apachectl start
   

9. 응용 프로그램을 중지합니다. 예:

   ./apachectl stop
   

   참고: 응용 프로그램을 시작하고 중지한 이후의 이 시점이 응용 프로그램을 다시 시작하고 일반 사용 데이터를 수집하기에 가장 적합합니다. 이 조사가 실행되는 기간은 원하는 대로 설정할 수 있습니다. 더 오래 실행할수록 정책 생성기에서 더 많은 데이터를 수집하며, 그 결과 더 정확한 정책이 나오게 됩니다. 데이터를 충분히 수집했다고 생각되면 다음 단계로 진행하십시오.

10. (정책 생성). filename.txt를 입력하고 Enter 키를 눌러 정책을 파일에 저장합니다.
11. (정책 적용). 정책을 적용하려면 y를 입력합니다.
12. 시스템을 Fail 모드에 두고 정책 적용을 시작하려면 y를 입력합니다.
13. (정책 테스트). 정책을 테스트합니다.

    다음은 evil.html이라는 이름의 파일에 대한 정책 테스트를 보여주는 샘플 화면입니다.

    Linux:/srv/www/htdocs: #telnet localhost 80
    Trying ::1...
    telnet: connect to address ::1: Connection refused
    Trying 127.0.0.1...
    Connected to localhost.
    Escape character is '^]'.
    GET /evil.html
    <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
    <HTML><HEAD>
    <TITLE>403 Forbidden</TITLE>
    <HEAD><BODY>
    <H1>Forbidden</H1>
    You don't have permission to access /evil.html
    on the server. <P>
    <HR>
    <ADDRESS>Apache/1.3.26 Server at linux.local Port 80</ADDRESS>
    </BODY></HTML>
    Connection closed by foreign host.
    Linux:/srv/www/htdocs# []
    

    정책이 적용되었으므로 더 이상 evil.html 파일을 사용할 수 없습니다. 그 이유는 이 파일이 일반 사용 프로필의 범위를 벗어났기 때문입니다.