| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
장치 정책은 시스템에 필수적인 장치에 대한 액세스를 제한하거나 금지합니다. 정책은 커널에서 시행됩니다.
다음 작업 맵은 장치 정책에 관련된 장치 구성 절차를 가리킵니다.
|
% getdevpolicy | more DEFAULT read_priv_set=none write_priv_set=none ip:* read_priv_set=net_rawaccess write_priv_set=net_rawaccess …
예 5-1 특정 장치에 대한 장치 정책 보기
이 예에서 세 장치에 대한 장치 정책이 표시됩니다.
% getdevpolicy /dev/allkmem /dev/ipsecesp /dev/bge /dev/allkmem read_priv_set=all write_priv_set=all /dev/ipsecesp read_priv_set=sys_net_config write_priv_set=sys_net_config /dev/bge read_priv_set=net_rawaccess write_priv_set=net_rawaccess
시작하기 전에
Device Security 권한 프로파일이 지정되어야 합니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
# update_drv -a -p policy device-driver
device-driver에 대한 policy를 지정합니다.
device-driver에 대한 장치 정책입니다. 장치 정책은 두 개의 권한 세트를 지정합니다. 한 세트는 장치 읽기에 필요합니다. 다른 세트는 장치 쓰기에 필요합니다.
장치 드라이버입니다.
자세한 내용은 update_drv(1M) 매뉴얼 페이지를 참조하십시오.
예 5-2 기존 장치에 정책 추가
다음 예에서 ipnat 장치에 장치 정책이 추가됩니다.
# getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=none write_priv_set=none # update_drv -a \ -p 'read_priv_set=net_rawaccess write_priv_set=net_rawaccess' ipnat # getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=net_rawaccess write_priv_set=net_rawaccess
예 5-3 장치에서 정책 제거
다음 예에서 ipnat 장치에 대한 장치 정책에서 읽기 권한 세트가 제거됩니다.
# getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=net_rawaccess write_priv_set=net_rawaccess # update_drv -a -p write_priv_set=net_rawaccess ipnat # getdevpolicy /dev/ipnat /dev/ipnat read_priv_set=none write_priv_set=net_rawaccess
기본적으로 as 감사 클래스는 AUE_MODDEVPLCY 감사 이벤트를 포함합니다.
시작하기 전에
Audit Configuration 권한 프로파일이 지정되어야 합니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
# auditconfig -getflags current-flags # auditconfig -setflags current-flags,as
자세한 지침은 감사 클래스를 사전 선택하는 방법을 참조하십시오.
Oracle Solaris IP MIB-II 정보를 검색하는 응용 프로그램이 /dev/arp(/dev/ip 아님)를 열어야 합니다.
% getdevpolicy /dev/ip /dev/arp /dev/ip read_priv_set=net_rawaccess write_priv_set=net_rawaccess /dev/arp read_priv_set=none write_priv_set=none
/dev/ip를 읽고 쓰려면 net_rawaccess 권한이 필요합니다. /dev/arp에 필요한 권한은 없습니다.
필요한 권한은 없습니다. 이 방법은 /dev/ip를 열고 arp, tcp, udp 모듈을 푸시하는 것과 같습니다. 이제 /dev/ip을 열려면 권한이 필요하므로 /dev/arp 메소드를 사용하는 것이 좋습니다.
|