Trusted Extensions 보안 관리 사용

기존의 UNIX 시스템과 달리 수퍼유저(root 사용자)는 Trusted Extensions를 관리하는 데 사용되지 않습니다. 오히려, 고유한 기능이 있는 관리자 역할은 시스템을 관리합니다. 이러한 방법을 사용할 경우 어떠한 사용자도 시스템의 보안을 손상시킬 수 없습니다. 역할은 특수 작업을 수행하는 데 필요한 권한이 있는 특정 응용 프로그램에 액세스하는 특수 사용자 계정입니다. 권한에는 레이블, 권한 부여, 권한 및 유효한 UID/GID가 포함됩니다.

다음 보안 실행은 Trusted Extensions로 구성된 시스템에서 적용됩니다.

• 사용할 필요성(need-to-use)을 기반으로 응용 프로그램에 액세스할 수 있는 권한을 부여받습니다.

• 관리자로부터 특수한 권한 부여 또는 특권을 부여받은 사용자만 보안 정책을 대체하는 기능을 수행할 수 있습니다.

• 시스템 관리 의무는 여러 역할로 구분됩니다.

Trusted Extensions의 응용 프로그램에 액세스

Trusted Extensions에서는 작업을 수행하는 데 필요한 프로그램에만 액세스할 수 있습니다. Oracle Solaris OS에서와 같이 관리자는 하나 이상의 권한 프로파일을 사용자의 계정에 지정하여 액세스 권한을 제공합니다. 권한 프로파일은 프로그램 및 보안 속성의 특수 모음입니다. 이러한 보안 속성을 사용하면 권한 프로파일에 있는 프로그램을 제대로 사용할 수 있습니다.

Oracle Solaris OS는 권한 및 권한 부여와 같은 보안 속성을 제공합니다. Trusted Extensions는 레이블을 제공합니다. 이러한 속성이 누락되면 프로그램이나 프로그램의 일부를 사용할 수 없게 됩니다. 예를 들어 권한 프로파일에는 데이터베이스를 읽을 수 있는 권한이 포함될 수 있습니다. 데이터베이스를 수정하거나 Confidential로 분류된 정보를 읽으려면 다른 보안 속성이 포함된 권한 프로파일이 필요할 수 있습니다.

연결된 보안 속성이 있는 프로그램이 포함된 권한 프로파일을 사용하면 사용자가 프로그램을 잘못 사용하거나 시스템에서 데이터를 손상시키지 못하도록 방지할 수 있습니다. 보안 정책을 대체하는 작업을 수행해야 할 경우, 관리자는 사용자에게 필요한 보안 속성이 포함된 권한 프로파일을 지정할 수 있습니다. 특정 작업을 실행하지 못하도록 방지할 경우 관리자에게 문의하십시오. 필요한 보안 속성이 누락되었을 수 있습니다.

또한 관리자는 로그인 셸과 마찬가지로 프로파일 셸을 지정할 수 있습니다. 프로파일 셸은 특정 응용 프로그램 및 기능 세트에 대한 액세스를 제공하는 공통 셸의 특별 버전입니다. 프로파일 셸은 Oracle Solaris OS의 기능입니다. 자세한 내용은 pfexec(1) 매뉴얼 페이지를 참조하십시오.

Trusted Extensions의 역할에 따른 관리

Trusted Extensions에서는 관리용 역할 사용을 권장합니다. 사용자의 사이트에서 어떤 사용자가 어떤 업무 세트를 수행하는지 알아야 합니다. 공통 역할은 다음과 같습니다.

• 루트 역할 – 주로 수퍼유저가 직접 로그인하지 못하도록 하는 데 사용됩니다.

• 보안 관리자 역할 – 장치 할당 권한 부여, 권한 프로파일 지정 및 소프트웨어 프로그램 평가 등의 보안 관련 작업을 수행합니다.

• 시스템 관리자 역할 – 사용자 만들기, 홈 디렉토리 설정 및 소프트웨어 프로그램 설치 등의 표준 시스템 관리 작업을 수행합니다.

• 운영자 역할 – 시스템 백업을 수행하고 프린터를 관리하며 이동식 매체를 마운트합니다.