Red Hat Summit12장. 복제 변경 로그 암호화
공격자가 서버의 파일 시스템에 액세스할 수 있는 경우 복제 변경 로그를 암호화하여 인스턴스의 보안을 높입니다.
changelog 암호화는 서버의 TLS 암호화 키와 동일한 PIN을 사용하여 키 잠금을 해제합니다. 서버를 시작할 때 PIN을 수동으로 입력하거나 PIN 파일을 사용해야 합니다.
Directory Server는 임의로 생성된 대칭 암호화 키를 사용하여 변경 로그를 암호화하고 암호 해독합니다. 서버는 구성된 각 암호에 대해 별도의 키를 사용합니다. 이러한 키는 서버의 TLS 인증서에서 공개 키를 사용하여 래핑되며 결과 래핑된 키는 서버의 구성 파일에 저장됩니다. 속성 암호화의 효과적인 장점은 래핑에 사용되는 서버의 TLS 키의 강도와 동일합니다. 서버의 개인 키와 PIN에 액세스하지 않으면 래핑된 사본에서 대칭 키를 복구할 수 없습니다.
12.1. 명령줄을 사용하여 변경 로그를 암호화
복제 토폴로지의 보안을 늘리려면 공급업체 및 허브의 변경 로그를 암호화합니다. 다음 절차에서는 dc=example,dc=com 접미사에 대한 변경 로그 암호화를 활성화하는 방법을 설명합니다.
사전 요구 사항
- 서버에는 TLS 암호화가 활성화되어 있습니다.
- 호스트는 복제 토폴로지의 공급자 또는 허브입니다.
프로세스
변경 로그를
/tmp/changelog.ldif파일로 내보냅니다.dsconf <instance_name> replication export-changelog to-ldif -o /tmp/changelog.ldif -r "dc=example,dc=com"
# dsconf <instance_name> replication export-changelog to-ldif -o /tmp/changelog.ldif -r "dc=example,dc=com"Copy to Clipboard Copied! Toggle word wrap Toggle overflow dc=example,dc=com접미사의 변경 로그 암호화를 활성화합니다.dsconf <instance_name> replication --suffix "dc=example,dc=com" --encrypt
# dsconf <instance_name> replication --suffix "dc=example,dc=com" --encryptCopy to Clipboard Copied! Toggle word wrap Toggle overflow /tmp/changelog.ldif파일에서 변경 로그를 가져옵니다.dsconf <instance_name> replication import-changelog from-ldif -r "dc=example,dc=com" /tmp/changelog.ldif
# dsconf <instance_name> replication import-changelog from-ldif -r "dc=example,dc=com" /tmp/changelog.ldifCopy to Clipboard Copied! Toggle word wrap Toggle overflow 인스턴스를 다시 시작합니다.
dsctl <instance_name> restart
# dsctl <instance_name> restartCopy to Clipboard Copied! Toggle word wrap Toggle overflow
검증
- 항목 업데이트와 같은 LDAP 디렉터리를 변경합니다.
인스턴스를 중지합니다.
dsctl <instance_name> stop
# dsctl <instance_name> stopCopy to Clipboard Copied! Toggle word wrap Toggle overflow 접미사 및 해당 데이터베이스를 나열합니다.
dsconf <instance_name> backend suffix list
# dsconf <instance_name> backend suffix list dc=example,dc=com (userroot)Copy to Clipboard Copied! Toggle word wrap Toggle overflow 변경 로그 암호화를 활성화한 데이터베이스 이름을 확인합니다.
다음 명령을 입력하여 변경 로그의 일부를 표시합니다.
dbscan -f /var/lib/dirsrv/slapd-<instance_name>/db/userroot/replication_changelog.db | tail -50
# dbscan -f /var/lib/dirsrv/slapd-<instance_name>/db/userroot/replication_changelog.db | tail -50Copy to Clipboard Copied! Toggle word wrap Toggle overflow 변경 로그가 암호화되면 암호화된 데이터만 표시됩니다.
인스턴스를 시작합니다.
dsctl <instance_name> start
# dsctl <instance_name> startCopy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}