CLI를 사용하여 보안 레벨 옵션 구성
가끔 오류를 해결하거나 사용될 수 있는 프로토콜의 범위를 더 제한하기 위해 시스템의 SSL(Secure Sockets Layer), TLS(Transport Layer Security) 또는 SSH(Secure Shell) 보안 레벨 설정을 구성하거나 변경해야 합니다.
이 태스크 정보
시스템의 보안 레벨을 구성하거나 변경하려면 chsecurity 및 lssecurity 명령을 사용하십시오.
-sslprotocol 매개변수에 대한 chsecurity 및
lssecurity 명령 레벨 설정(1, 2, 3 또는 4)은 다음 목록에 표시된 대로 정의됩니다.
- 1은 SSL 3.0을 허용하지 않습니다.(이 설정은 시스템 기본값입니다.)
- 2는 TLS 1.2만 허용합니다.
- 3은 1.2에 제한되지 않은 TLS 1.2 암호화 도구 모음을 추가로 허용하지 않습니다.
- 4는 RSA 키 교환 암호를 추가로 허용하지 않습니다.
-sshprotocol 매개변수에 대한 chsecurity 및
lssecurity 명령 레벨 설정(1 또는 2)은 다음 목록에 표시된 대로 정의됩니다.
- 1은 SSH용 RSA 암호를 허용하지 않습니다.
- 2는 diffie-hellman-group14-sha256 및 diffie-hellman-group14-sha1 키 교환 메소드를 추가로 허용하지 않습니다.
현재 시스템 SSL, TLS 및 SSH 보안 설정을 표시하려면
다음 명령을 입력하십시오.
lssecuritysslprotocol:1sshprotocol:1SSL 또는 TLS 보안 설정을 변경하려면 다음 명령을 입력하십시오.
chsecurity -sslprotocol security_level SSH 보안 설정을 변경하려면 다음 명령을 입력하십시오.
chsecurity -sshprotocol security_level chsecurity 명령은 공격에 대한 취약성을 줄일 수 있도록 보안 인터페이스가 허용하는 암호 및 프로토콜을 설정하는 데 사용될 수 있습니다. 그러나 이 보안 레벨을 변경하면 VMWare 프로비저닝 유틸리티 또는 IBM® Spectrum Control 소프트웨어와 같은 CIM을 통해 연결되는 것과 웹 브라우저 등 외부 시스템과의 연결이 끊어질 수 있습니다.
다음 지침과
chsecurity -sslprotocol 및 chsecurity -sshprotocol
명령을 사용하여
시스템에서 보안 프로토콜 문제를 해결하십시오.
- 호환되지 않는 프로토콜로 인해 연결이 실패할 수 있습니다. -sslprotocol 매개변수를 사용하면 SSL 인터페이스 버전 변경으로 발생한 외부 시스템의 문제점을 찾을 수 있습니다. 이 매개변수를 사용하여 현재 수정할 수 없는 호환되지 않는 프로토콜 때문에 연결에 실패하는 경우 보안 레벨을 다시 되돌릴 수도 있습니다.
- 보안 레벨이 최소 기본 레벨보다 높게 설정되고 웹 브라우저가 동일한 레벨을 사용하도록 설정되지 않으면 관리 GUI에 대한 원격 액세스가 유실될 수 있습니다. 웹 브라우저의 보안 레벨을 높일 수 없는 경우, chsecurity 명령을 사용하여 보안 레벨을 낮추십시오.
- 보안 레벨이 최소 기본 레벨보다 높게 설정되고 LDAP 서버가 동일한 레벨을 사용하도록 설정되지 않으면 LDAP 서버를 사용한 사용자 권한 관리에 실패합니다. LDAP 서버의 보안 레벨을 높일 수 없는 경우, chsecurity 명령을 사용하여 보안 레벨을 낮춰야 할 수 있습니다.
- 일부 VMWare 프로비저닝 유틸리티와 Tivoli Storage Manager 같은 CIM을 통해 연결되는 외부 관리 시스템은 특정 환경에서 시스템에 연결할 수 없습니다. 예를 들어, 보안 레벨이 최소 기본 레벨보다 높게 설정되고 외부 시스템이 동일한 프로토콜 레벨을 사용하도록 설정되지 않으면 이러한 실패가 발생할 수 있습니다. 외부 시스템의 보안 레벨을 높일 수 없는 경우, chsecurity 명령을 사용하여 보안 레벨을 낮춰야 할 수 있습니다.