UNIX su 명령은 사용자가 대상 사용자의 암호를 사용하여 다른 사용자로 대체하게 합니다. 사용자 ID를 대체하려는 사용자는 대상 사용자의 암호를 기억하거나, 기록해 놓거나, 대상 사용자에게 평범한 암호를 사용하도록 요청해야 합니다. 이것은 여러 암호 정책에 위반되며 su 명령은 명령을 실행한 사용자를 기록하지 않으므로 계정 소유자를 가장하는 사용자와 실제 소유자를 구분할 수도 없습니다.
CA ControlMinder은 UNIX su 명령의 향상된 버전인 sesu 유틸리티를 포함하고 있습니다. 인증을 위해 대상 사용자의 암호가 아닌 현재 사용자의 암호를 입력하도록 sesu를 구성할 수 있습니다. 권한 부여 프로세스는 SURROGATE 클래스에 정의된 액세스 규칙 및 (선택적으로) 명령을 실행하는 사용자의 암호에 기반합니다.
su와 달리 sesu는 대상 사용자의 암호를 몰라도 해당 사용자로 전환할 수 있습니다. 전환 가능 여부는 데이터베이스에 지정된 권한에 따라 결정되며 사용자는 자신의 로그인 ID가 기록되기 때문에 이후 작업에 책임을 집니다.
사용자가 _surrogate 그룹 사용자 중 하나로 전환하는 경우 CA ControlMinder은 새 사용자로 수행한 동작을 모두 추적하여 감사 기록에 전송합니다.
부주의한 사용을 방지하기 위해 파일 시스템에서 sesu는 누구도 실행할 수 없도록 설정되어 있습니다. 이 프로그램을 사용하려면 보안 관리자가 프로그램을 실행할 수 있도록 설정하고 setuid를 root로 설정해야 합니다.
중요! sesu 유틸리티를 사용하기 전에 모든 사용자를 CA ControlMinder 데이터베이스에 정의하고 sesu 사전 요구 사항을 설정하십시오. 이렇게 하면 CA ControlMinder에 정의되지 않은 사용자에게 전체 시스템이 개방되는 사고를 방지할 수 있습니다.
|
Copyright © 2013 CA.
All rights reserved.
|
|