Red Hat Summit4.7. 속성 암호화 관리
Directory Server는 디렉터리의 중요한 데이터에 대한 액세스를 보호하는 다양한 메커니즘을 제공합니다. 그러나 기본적으로 서버는 데이터베이스에 암호화되지 않은 데이터를 저장합니다. 매우 민감한 정보의 경우 공격자가 데이터베이스에 액세스할 수 있는 잠재적 위험도 상당한 위험이 될 수 있습니다.
관리자는 특성 암호화 기능을 사용하여 데이터베이스에서 암호화된 정부 식별 번호와 같은 중요한 데이터를 사용하여 특정 속성을 저장할 수 있습니다. 접미사에 대해 활성화하면 이러한 속성의 모든 인스턴스인 인덱스 데이터도 데이터베이스의 이 속성에 저장된 모든 항목에 대해 암호화됩니다. 접미사에 대해 속성 암호화를 활성화할 수 있습니다. 전체 서버에 이 기능을 활성화하려면 서버의 각 접미사에 대해 속성 암호화를 활성화해야 합니다. 속성 암호화는 eq 및 사전 인덱싱과 완벽하게 호환됩니다.
입력 고유 이름(DN) 내에서 사용하는 속성은 효율적으로 암호화할 수 없습니다. 예를 들어 uid 특성을 암호화하도록 구성한 경우 값은 항목에서 암호화되지만 DN에는 포함되지 않습니다.
dn: uid=demo_user,ou=People,dc=example,dc=com ... uid::Sf04P9nJWGU1qiW9JJCGRg==
dn: uid=demo_user,ou=People,dc=example,dc=com
...
uid::Sf04P9nJWGU1qiW9JJCGRg==4.7.1. 키 Directory Server에서 특성 암호화에 사용
속성 암호화를 사용하려면 TLS를 사용하여 암호화된 연결을 구성해야 합니다. Directory Server는 특성 암호화에 서버의 TLS 암호화 키와 동일한 PIN 입력 방법을 사용합니다.
서버는 임의로 생성된 대칭 암호화 키를 사용하여 특성 데이터를 암호화하고 해독합니다. 서버는 서버의 TLS 인증서에서 공개 키를 사용하여 이러한 키를 래핑합니다. 결과적으로 속성 암호화의 효과적인 강도는 서버의 TLS 키의 강도보다 클 수 없습니다.
서버의 개인 키에 액세스하지 않으면 래핑된 사본에서 대칭 키를 복구할 수 없습니다. 따라서 서버의 인증서 데이터베이스를 정기적으로 백업합니다. 키가 손실되면 더 이상 데이터베이스에 저장된 데이터를 암호 해독하고 암호화할 수 없습니다.
4.7.2. 명령줄을 사용하여 속성 암호화 활성화
이 절차에서는 명령줄을 사용하여 userRoot 데이터베이스의 telephoneNumber 특성에 대해 속성 암호화를 활성화하는 방법을 보여줍니다. 절차를 수행한 후 서버는 이 특성의 기존 및 새 값을 AES 암호화합니다.
사전 요구 사항
- Directory Server에서 TLS 암호화를 활성화했습니다.
프로세스
사용자Root데이터베이스를 내보냅니다.dsconf <instance_name> backend export -E userRoot
# dsconf <instance_name> backend export -E userRootCopy to Clipboard Copied! Toggle word wrap Toggle overflow 서버는
/var/lib/dirsrv/slapd-instance_name/ldif/디렉터리에 있는 LDIF 파일에 내보내기를 저장합니다.E옵션은 내보내기 중에 이미 암호화된 속성의 암호를 해독합니다.telephoneNumber특성에 대해 AES 암호화를 활성화합니다.dsconf <instance_name> backend attr-encrypt --add-attr telephoneNumber dc=example,dc=com
# dsconf <instance_name> backend attr-encrypt --add-attr telephoneNumber dc=example,dc=comCopy to Clipboard Copied! Toggle word wrap Toggle overflow 인스턴스를 중지합니다.
dsctl <instance_name> stop
# dsctl <instance_name> stopCopy to Clipboard Copied! Toggle word wrap Toggle overflow LDIF 파일을 가져옵니다.
dsctl <instance_name> ldif2db --encrypted userRoot /var/lib/dirsrv/slapd-instance_name/ldif/None-userroot-2022_01_24_10_28_27.ldif
# dsctl <instance_name> ldif2db --encrypted userRoot /var/lib/dirsrv/slapd-instance_name/ldif/None-userroot-2022_01_24_10_28_27.ldifCopy to Clipboard Copied! Toggle word wrap Toggle overflow --encrypted매개변수를 사용하면 스크립트가 가져오기 중에 암호화되도록 구성된 속성을 암호화할 수 있습니다.인스턴스를 시작합니다.
dsctl <instance_name> start
# dsctl <instance_name> startCopy to Clipboard Copied! Toggle word wrap Toggle overflow
4.7.3. 웹 콘솔을 사용하여 속성 암호화 활성화
이 절차에서는 웹 콘솔을 사용하여 userRoot 데이터베이스의 telephoneNumber 특성에 대해 속성 암호화를 활성화하는 방법을 보여줍니다. 절차를 수행한 후 서버는 이 특성의 기존 및 새 값을 AES 암호화합니다.
웹 콘솔의 내보내기 및 가져오기 기능은 암호화된 속성을 지원하지 않습니다. 따라서 명령줄에서 다음 단계를 수행해야 합니다.
사전 요구 사항
- Directory Server에서 TLS 암호화를 활성화했습니다.
- 웹 콘솔에서 인스턴스에 로그인되어 있습니다.
프로세스
사용자Root데이터베이스를 내보냅니다.dsconf <instance_name> backend export -E userRoot
# dsconf <instance_name> backend export -E userRootCopy to Clipboard Copied! Toggle word wrap Toggle overflow 서버는
/var/lib/dirsrv/slapd-instance_name/ldif/디렉터리에 있는 LDIF 파일에 내보내기를 저장합니다.E옵션은 내보내기 중에 이미 암호화된 속성의 암호를 해독합니다.-
웹 콘솔에서
로 이동합니다. - 암호화할 속성을 입력하고 를 클릭합니다.
- 메뉴에서 인스턴스 중지 를 선택합니다.
명령줄에서 LDIF 파일을 가져옵니다.
dsctl <instance_name> ldif2db --encrypted userRoot /var/lib/dirsrv/slapd-instance_name/ldif/None-userroot-2022_01_24_10_28_27.ldif
# dsctl <instance_name> ldif2db --encrypted userRoot /var/lib/dirsrv/slapd-instance_name/ldif/None-userroot-2022_01_24_10_28_27.ldifCopy to Clipboard Copied! Toggle word wrap Toggle overflow --encrypted매개변수를 사용하면 스크립트가 가져오기 중에 암호화되도록 구성된 속성을 암호화할 수 있습니다.-
웹 콘솔에서 메뉴를 열고
Start Instance를 선택합니다.
4.7.4. 속성 암호화를 활성화한 후 일반 고려 사항
데이터베이스에 이미 있는 데이터에 대한 암호화를 설정한 후 다음 사항을 고려하십시오.
암호화되지 않은 데이터는 서버의 데이터베이스 페이지 풀 백업 파일에 저장할 수 있습니다. 이 데이터를 제거하려면 다음을 수행합니다.
인스턴스를 중지합니다.
dsctl <instance_name> stop
# dsctl <instance_name> stopCopy to Clipboard Copied! Toggle word wrap Toggle overflow /var/lib/dirsrv/slapd- <instance_name> /db/guardian파일을 삭제합니다.rm /var/lib/dirsrv/slapd-<instance_name>/db/guardian
# rm /var/lib/dirsrv/slapd-<instance_name>/db/guardianCopy to Clipboard Copied! Toggle word wrap Toggle overflow 인스턴스를 시작합니다.
dsctl <instance_name> start
# dsctl <instance_name> startCopy to Clipboard Copied! Toggle word wrap Toggle overflow
- 암호화가 활성화되고 데이터를 성공적으로 가져온 후 암호화되지 않은 데이터로 LDIF 파일을 삭제합니다.
- Directory Server는 복제 로그 파일을 암호화하지 않습니다. 이 데이터를 보호하려면 암호화된 디스크에 복제 로그를 저장합니다.
- 서버의 메모리(RAM)의 데이터는 암호화되지 않으며 스왑 파티션에 일시적으로 저장할 수 있습니다. 이 데이터를 보호하려면 암호화된 스왑 공간을 구성합니다.
암호화되지 않은 데이터가 포함된 파일을 삭제하더라도 특정 상황에서 이 데이터를 복원할 수 있습니다.
4.7.5. 속성 암호화에 사용되는 TLS 인증서 업데이트
속성 암호화는 서버의 TLS 인증서를 기반으로 합니다. TLS 인증서를 갱신하거나 교체한 후 속성 암호화가 실패하지 않도록 하려면 다음 절차를 따르십시오.
사전 요구 사항
- 특성 암호화를 구성했습니다.
- TLS 인증서는 가까운 시일 내에 만료됩니다.
프로세스
사용자Root데이터베이스를 내보냅니다.dsconf <instance_name> backend export -E userRoot
# dsconf <instance_name> backend export -E userRootCopy to Clipboard Copied! Toggle word wrap Toggle overflow 서버는
/var/lib/dirsrv/slapd-instance_name/ldif/디렉터리에 있는 LDIF 파일에 내보내기를 저장합니다.E옵션은 내보내기 중에 이미 암호화된 속성의 암호를 해독합니다.개인 키 및 CSR(인증서 서명 요청)을 만듭니다. 외부 유틸리티를 사용하여 생성하려면 이 단계를 건너뜁니다.
호스트에 하나의 이름으로만 연결할 수 있는 경우 다음을 입력합니다.
dsctl <instance_name> tls generate-server-cert-csr -s "CN=server.example.com,O=example_organization"
# dsctl <instance_name> tls generate-server-cert-csr -s "CN=server.example.com,O=example_organization"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 여러 이름으로 호스트에 연결할 수 있는 경우:
dsctl <instance_name> tls generate-server-cert-csr -s "CN=server.example.com,O=example_organization" server.example.com server.example.net
# dsctl <instance_name> tls generate-server-cert-csr -s "CN=server.example.com,O=example_organization" server.example.com server.example.netCopy to Clipboard Copied! Toggle word wrap Toggle overflow 호스트 이름을 마지막 매개 변수로 지정하면 명령에서
DNS:server.example.com, DNS:server.example.net항목을 CSR에 사용하여 SAN(Subject Alternative Name) 확장을 추가합니다.
-s subject매개변수에 지정된 문자열은 RFC 1485에 따라 유효한 제목 이름이어야 합니다. 제목의CN필드가 필요하며 서버의 FQDN(정규화된 도메인 이름) 중 하나로 설정해야 합니다. 명령은 CSR을/etc/dirsrv/slapd- <instance_name> /Server-Cert.csr파일에 저장합니다.- 인증서 발급을 받으려면 CSR을 CA(인증 기관)에 제출합니다. 자세한 내용은 CA 설명서를 참조하십시오.
CA에서 발급한 서버 인증서를 NSS 데이터베이스로 가져옵니다.
dsctl tls generate-server-cert-csr명령을 사용하여 개인 키를 생성한 경우 다음을 입력합니다.dsconf <instance_name> security certificate add --file /root/instance_name.crt --name "server-cert" --primary-cert
# dsconf <instance_name> security certificate add --file /root/instance_name.crt --name "server-cert" --primary-certCopy to Clipboard Copied! Toggle word wrap Toggle overflow --name _certificate_nickname매개변수에 설정한 인증서의 이름을기억합니다. 이는 이후 단계에서 필요합니다.외부 유틸리티를 사용하여 개인 키를 생성한 경우 서버 인증서와 개인 키를 가져옵니다.
dsctl <instance_name> tls import-server-key-cert /root/server.crt /root/server.key
# dsctl <instance_name> tls import-server-key-cert /root/server.crt /root/server.keyCopy to Clipboard Copied! Toggle word wrap Toggle overflow 이 명령을 사용하려면 먼저 서버 인증서의 경로를 지정한 다음 개인 키의 경로를 지정해야 합니다. 이 방법은 항상 인증서의 닉네임을
Server-Cert로 설정합니다.
CA 인증서를 NSS 데이터베이스로 가져옵니다.
dsconf <instance_name> security ca-certificate add --file /root/ca.crt --name "Example CA"
# dsconf <instance_name> security ca-certificate add --file /root/ca.crt --name "Example CA"Copy to Clipboard Copied! Toggle word wrap Toggle overflow CA 인증서의 신뢰 플래그를 설정합니다.
dsconf <instance_name> security ca-certificate set-trust-flags "Example CA" --flags "CT,,"
# dsconf <instance_name> security ca-certificate set-trust-flags "Example CA" --flags "CT,,"Copy to Clipboard Copied! Toggle word wrap Toggle overflow 이렇게 하면 TLS 암호화 및 인증서 기반 인증을 위한 CA를 신뢰하도록 Directory Server가 구성됩니다.
인스턴스를 중지합니다.
dsctl <instance_name> stop
# dsctl <instance_name> stopCopy to Clipboard Copied! Toggle word wrap Toggle overflow /etc/dirsrv/slapd- <instance_name> /dse.ldif파일을 편집하고 해당 속성을 포함하여 다음 항목을 제거합니다.-
CN=AES,cn=encrypted 특성 키,cn=database_name,cn=ldbm 데이터베이스,cn=plugins,cn=config -
CN=3DES,cn=encrypted 특성 키,cn=database_name,cn=ldbm 데이터베이스,cn=plugins,cn=config
중요모든 데이터베이스의 항목을 제거합니다.
nsSymmetricKey속성이 포함된 항목이 '/etc/dirsrv/slapd- <instance_name> /dse.ldif 파일에 남아 있으면 Directory Server가 시작되지 않습니다.-
LDIF 파일을 가져옵니다.
dsctl <instance_name> ldif2db --encrypted userRoot /var/lib/dirsrv/slapd-instance_name/ldif/None-userroot-2022_01_24_10_28_27.ldif
# dsctl <instance_name> ldif2db --encrypted userRoot /var/lib/dirsrv/slapd-instance_name/ldif/None-userroot-2022_01_24_10_28_27.ldifCopy to Clipboard Copied! Toggle word wrap Toggle overflow --encrypted매개변수를 사용하면 스크립트가 가져오기 중에 암호화되도록 구성된 속성을 암호화할 수 있습니다.인스턴스를 시작합니다.
dsctl <instance_name> start
# dsctl <instance_name> startCopy to Clipboard Copied! Toggle word wrap Toggle overflow
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}