장치 할당 관리(작업)

장치 할당은 주변 장치에 대한 액세스를 제한하거나 금지합니다. 제한은 사용자 할당 타임에 시행됩니다. 기본적으로 사용자는 할당 가능한 장치에 액세스하기 위한 인증이 있어야 합니다.

장치 할당 관리(작업 맵)

다음 작업 맵은 장치 할당을 사용으로 설정하고 구성하는 절차를 가리킵니다. 장치 할당은 기본적으로 사용으로 설정되지 않습니다. 장치 할당을 사용으로 설정한 후 장치 할당 지침은 장치 할당(작업)을 참조하십시오.

작업	설명	수행 방법
장치를 할당 가능하도록 만듭니다. 장치 할당을 사용 안함으로 설정합니다.	한번에 하나의 사용자에 장치가 할당되도록 합니다. 모든 장치에서 할당 제한을 제거합니다.	장치 할당을 사용으로 설정하는 방법
장치를 할당할 수 있는 인증을 사용자에게 부여합니다.	사용자에게 장치 할당 인증을 지정합니다.	장치를 할당할 수 있도록 사용자를 인증하는 방법
시스템의 할당 가능한 장치를 봅니다.	할당 가능한 장치와 장치의 상태를 나열합니다.	장치에 대한 할당 정보를 보는 방법
강제로 장치를 할당합니다.	즉시 필요한 사용자에게 장치를 할당합니다.	강제로 장치 할당
강제로 장치를 할당 해제합니다.	현재 사용자에게 할당된 장치를 해제합니다.	강제로 장치 할당 해제
장치의 할당 등록 정보를 변경합니다.	장치 할당을 위한 요구 사항을 변경합니다.	할당 가능한 장치를 변경하는 방법
device-clean 스크립트를 만듭니다.	물리적 장치에서 데이터를 비웁니다.	새 Device-Clean 스크립트 작성
장치 할당을 감사합니다.	장치 할당을 감사 증적에 기록합니다.	장치 할당을 감사하는 방법

장치 할당을 사용으로 설정하는 방법

시작하기 전에

Device Security 권한 프로파일이 지정되어야 합니다.

필요한 보안 속성을 가진 관리자가 됩니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.

장치 할당 서비스를 사용으로 설정하고 서비스가 사용으로 설정되었는지 확인합니다.

# svcadm enable svc:/system/device/allocate
# svcs -x allocate
svc:/system/device/allocate:default (device allocation)
 State: online since September 10, 2011 01:10:11 PM PDT
   See: allocate(1)
   See: deallocate(1)
   See: list_devices(1)
   See: device_allocate(1M)
   See: mkdevalloc(1M)
   See: mkdevmaps(1M)
   See: dminfo(1M)
   See: device_maps(4)
   See: /var/svc/log/system-device-allocate:default.log
Impact: None.

장치 할당 서비스를 사용 안함으로 설정하려면 disable 하위 명령을 사용합니다.

# svcadm disable device/allocate

장치를 할당할 수 있도록 사용자를 인증하는 방법

시작하기 전에

User Security 권한 프로파일이 지정되어야 합니다.

필요한 보안 속성을 가진 관리자가 됩니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
적절한 인증 및 명령을 포함하는 권한 프로파일을 만듭니다.
일반적으로, solaris.device.allocate 인증을 포함하는 권한 프로파일을 만듭니다. 감사 프로파일을 만들거나 변경하는 방법의 지침을 따릅니다. 다음과 같은 적절한 등록 정보를 권한 프로파일에 제공합니다.
- 권한 프로파일 이름: Device Allocation
- 부여된 인증: solaris.device.allocate
- 보안 속성 포함 명령: exec_attr 데이터베이스에서 sys_mount 권한으로 mount를 실행하고, sys_mount 권한으로 umount를 실행합니다.
권한 프로파일에 대한 역할을 만듭니다.
역할을 만드는 방법의 지침을 따릅니다. 다음 역할 등록 정보를 길잡이로 사용합니다.
- 역할 이름: devicealloc
- 역할 전체 이름: Device Allocator
- 역할 설명: Allocates and mounts allocated devices
- 권한 프로파일: Device Allocation
  
  이 권한 프로파일은 역할에 포함된 프로파일 목록의 첫번째여야 합니다.
장치 할당이 허가된 모든 사용자에게 역할을 지정합니다.
장치 할당 사용 방법을 사용자에게 알려줍니다.
이동식 매체 할당의 예는 장치를 할당하는 방법을 참조하십시오.

장치에 대한 할당 정보를 보는 방법

시작하기 전에

장치 할당을 사용으로 설정하는 방법을 완료했습니다.

Device Security 권한 프로파일이 지정되어야 합니다.

필요한 보안 속성을 가진 관리자가 됩니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
시스템에 할당 가능한 장치에 대한 정보를 표시합니다.
```
# list_devices device-name
```
여기서 device-name은 다음 중 하나입니다.
- audio[n] – 마이크로폰 및 스피커입니다.
- fd[n] – 디스켓 드라이브입니다.
- rmdisk[n] – 이동식 매체 장치입니다.
- sr[n] – CD-ROM 드라이브입니다.
- st[n] – 테이프 드라이브입니다.

일반 오류

list_devices 명령이 다음과 비슷한 오류 메시지를 반환하는 경우 장치 할당이 사용으로 설정되지 않았거나 정보를 검색할 권한이 부족한 것입니다.

list_devices: No device maps file entry for specified device.

명령을 성공하려면 장치 할당을 사용으로 설정하고 solaris.device.revoke 인증을 가진 역할을 맡습니다.

강제로 장치 할당

누군가 장치 할당 해제를 잊어버렸을 때 강제 할당이 사용됩니다. 사용자가 장치를 즉시 필요로 할 때에도 강제 할당을 사용할 수 있습니다.

시작하기 전에

solaris.device.revoke 인증이 지정되어야 합니다.

내 역할에 적절한 인증이 있는지 확인합니다.
```
$ auths
solaris.device.allocate solaris.device.revoke
```
장치가 필요한 사용자에게 강제로 장치를 할당합니다.
이 예에서 테이프 드라이브가 사용자 jdoe에 강제로 할당됩니다.
```
$ allocate -U jdoe
```

강제로 장치 할당 해제

프로세스를 종료하거나 사용자가 로그아웃할 때 사용자에 할당된 장치가 자동으로 할당 해제되지 않습니다. 사용자가 장치 할당 해제를 잊어버렸을 때 강제 할당 해제가 사용됩니다.

시작하기 전에

solaris.device.revoke 인증이 지정되어야 합니다.

내 역할에 적절한 인증이 있는지 확인합니다.
```
$ auths
solaris.device.allocate solaris.device.revoke
```
강제로 장치 할당을 해제합니다.
이 예에서 프린터가 강제로 할당 해제됩니다. 이제 다른 사용자가 프린터를 할당할 수 있습니다.
```
$ deallocate -f /dev/lp/printer-1
```

할당 가능한 장치를 변경하는 방법

시작하기 전에

이 절차가 성공하려면 장치 할당을 사용으로 설정해야 합니다. 장치 할당을 사용으로 설정하려면 장치 할당을 사용으로 설정하는 방법을 참조하십시오. 사용자는 수퍼유저여야 합니다.

인증이 필요한지 지정하거나, solaris.device.allocate 인증을 지정합니다.
device_allocate 파일에서 장치 항목의 다섯번째 필드를 변경합니다.
```
audio;audio;reserved;reserved;solaris.device.allocate;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;solaris.device.allocate;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;solaris.device.allocate;/etc/security/lib/sr_clean
```
여기서 solaris.device.allocate는 사용자가 장치를 사용하려면 solaris.device.allocate 인증이 필요함을 나타냅니다.

예 5-4 임의 사용자가 장치를 할당하도록 허가

다음 예에서 시스템의 임의 사용자가 임의 장치를 할당할 수 있습니다. device_allocate 파일에서 모든 장치 항목의 다섯번째 필드는 at 기호(@)로 변경되었습니다.

# vi /etc/security/device_allocate
audio;audio;reserved;reserved;@;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;@;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;@;/etc/security/lib/sr_clean
…

예 5-5 일부 주변 장치의 사용을 금지

다음 예에서 오디오 장치를 사용할 수 없습니다. device_allocate 파일에서 오디오 장치 항목의 다섯번째 필드는 별표(*)로 변경되었습니다.

# vi /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;solaris device.allocate;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;solaris device.allocate;/etc/security/lib/sr_clean
…

예 5-6 모든 주변 장치의 사용을 금지

다음 예에서 어떤 주변 장치도 사용할 수 없습니다. device_allocate 파일에서 모든 장치 항목의 다섯번째 필드는 별표(*)로 변경되었습니다.

# vi /etc/security/device_allocate
audio;audio;reserved;reserved;*;/etc/security/lib/audio_clean
fd0;fd;reserved;reserved;*;/etc/security/lib/fd_clean
sr0;sr;reserved;reserved;*;/etc/security/lib/sr_clean
…

장치 할당을 감사하는 방법

기본적으로 장치 할당 명령은 other 감사 클래스에 속합니다.

시작하기 전에

Audit Configuration 권한 프로파일이 지정되어야 합니다.

필요한 보안 속성을 가진 관리자가 됩니다.
자세한 내용은 관리 권한을 얻는 방법을 참조하십시오.
ot 감사 클래스를 미리 선택합니다.
```
# auditconfig -getflags
current-flags
# auditconfig -setflags current-flags,ot
```
자세한 지침은 감사 클래스를 사전 선택하는 방법을 참조하십시오.

탐색 링크 건너뛰기
인쇄 보기 종료
	Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어)