JavaScript is required to for searching.
탐색 링크 건너뛰기
인쇄 보기 종료
Oracle Solaris 11.1 관리: 보안 서비스     Oracle Solaris 11.1 Information Library (한국어)
search filter icon
search icon

문서 정보

머리말

제1부보안 개요

1.  보안 서비스(개요)

제2부시스템, 파일 및 장치 보안

2.  시스템 보안 관리(개요)

3.  시스템에 대한 액세스 제어(작업)

4.  바이러스 검사 서비스(작업)

5.  장치에 대한 액세스 제어(작업)

6.  BART를 사용하여 파일 무결성 확인(작업)

7.  파일에 대한 액세스 제어(작업)

제3부역할, 권한 프로파일 및 권한

8.  역할 및 권한 사용(개요)

9.  역할 기반 액세스 제어 사용(작업)

10.  Oracle Solaris의 보안 속성(참조)

제4부암호화 서비스

11.  암호화 프레임워크(개요)

12.  암호화 프레임워크(작업)

13.  키 관리 프레임워크

제5부인증 서비스 및 보안 통신

14.  플러그 가능한 인증 모듈 사용

15.  Secure Shell 사용

16.  Secure Shell(참조)

17.  단순 인증 및 보안 계층 사용

18.  네트워크 서비스 인증(작업)

제6부Kerberos 서비스

19.  Kerberos 서비스 소개

20.  Kerberos 서비스 계획

21.  Kerberos 서비스 구성(작업)

22.  Kerberos 오류 메시지 및 문제 해결

23.  Kerberos 주체 및 정책 관리(작업)

24.  Kerberos 응용 프로그램 사용(작업)

25.  Kerberos 서비스(참조)

제7부Oracle Solaris에서 감사

26.  감사(개요)

27.  감사 계획

28.  감사 관리(작업)

29.  감사(참조)

감사 서비스

감사 서비스 매뉴얼 페이지

감사 관리를 위한 권한 프로파일

감사 및 Oracle Solaris 영역

감사 구성 파일 및 패키징

감사 클래스

감사 클래스 구문

감사 플러그인

감사 원격 서버

감사 정책

비동기 및 동기 이벤트에 대한 감사 정책

프로세스 감사 특성

감사 추적

이진 감사 파일 이름 지정 규칙

감사 레코드 구조

감사 레코드 분석

감사 토큰 형식

acl 토큰

argument 토큰

attribute 토큰

cmd 토큰

exec_args 토큰

exec_env 토큰

file 토큰

fmri 토큰

group 토큰

header 토큰

ip address 토큰

ip port 토큰

ipc 토큰

IPC_perm 토큰

path 토큰

path_attr 토큰

privilege 토큰

process 토큰

return 토큰

sequence 토큰

socket 토큰

subject 토큰

text 토큰

trailer 토큰

use of authorization 토큰

use of privilege 토큰

user 토큰

xclient 토큰

zonename 토큰

용어집

색인

감사 토큰 형식

각 감사 토큰은 토큰 유형 식별자와 토큰에 대한 데이터로 구성됩니다. 다음 표는 각 토큰의 간략한 설명과 함께 토큰 이름을 나타냅니다. 더 이상 사용되지 않는 토큰은 이전 Solaris 릴리스와 호환성을 위해 유지됩니다.

표 29-1 감사에 대한 감사 토큰

토큰 이름
설명
자세한 정보
acl
액세스 제어 항목(ACE) 및 액세스 제어 목록(ACL) 정보
arbitrary
형식 및 유형 정보가 있는 데이터
audit.log(4) 매뉴얼 페이지를 참조하십시오.
argument
시스템 호출 인수 값
속성
파일 vnode 정보
cmd
명령 인수 및 환경 변수
exec_args
Exec 시스템 호출 인수
exec_env
Exec 시스템 호출 환경 변수
exit
프로그램 종료 정보
audit.log(4) 매뉴얼 페이지를 참조하십시오.
file
감사 파일 정보
fmri
프레임워크 관리 리소스 표시기
group
프로세스 그룹 정보
헤더
감사 레코드의 시작을 나타냄
ip
IP 헤더 정보
audit.log(4) 매뉴얼 페이지를 참조하십시오.
ip address
인터넷 주소
ip port
인터넷 포트 주소
ipc
시스템 V IPC 정보
IPC_perm
시스템 V IPC 객체 액세스 정보
opaque
구조화되지 않은 데이터(지정되지 않은 형식)
audit.log(4) 매뉴얼 페이지를 참조하십시오.
path
경로 정보
path_attr
액세스 경로 정보
권한
권한 세트 정보
프로세스
프로세스 정보
return
시스템 호출의 상태
sequence
시퀀스 번호
socket
소켓 유형 및 주소
주체
주체 정보(process와 동일한 형식)
text
ASCII 문자열
trailer
감사 레코드의 끝을 나타냄
use of authorization
권한 부여 사용
use of privilege
권한 사용
user
사용자 ID 및 사용자 이름
xclient
X 클라이언트 식별
zonename
영역의 이름
Trusted Extensions 토큰
label 및 X 창 시스템 정보

다음 토큰은 더 이상 사용되지 않습니다.

더 이상 사용되지 않는 토큰에 대한 정보는 해당 토큰이 포함된 릴리스의 참조 자료를 참조하십시오.

감사 레코드는 항상 header 토큰으로 시작됩니다. header 토큰은 감사 레코드가 감사 추적에서 시작되는 위치를 나타냅니다. 지정 가능한 이벤트의 경우 subjectprocess 토큰이 이벤트를 일으킨 프로세스의 값을 가리킵니다. 지정 불가능한 이벤트의 경우 process 토큰이 시스템을 가리킵니다.

acl 토큰

acl 토큰에는 ZFS 파일 시스템의 경우 액세스 제어 항목(ACE) 및 UFS 파일 시스템의 경우 액세스 제어 목록(ACL)에 대한 정보를 기록하기 위한 두 가지 형식이 있습니다.

acl 토큰이 UFS 파일 시스템에 대해 기록되는 경우 praudit -x 명령은 다음과 같이 필드를 표시합니다.

<acl type="1" value="root" mode="6"/>

acl 토큰이 ZFS 데이터 세트에 대해 기록되는 경우 praudit -x 명령은 다음과 같이 필드를 표시합니다.

<acl who="root" access_mask="default" flags="-i,-R" type="2"/>

argument 토큰

argument 토큰에는 시스템 호출의 인수에 대한 정보(시스템 호출의 인수 수, 인수 값 및 선택적 설명)가 포함됩니다. 이 토큰은 감사 레코드에서 32비트 정수 시스템 호출 인수를 허용합니다.

praudit -x 명령은 argument 토큰의 필드를 다음과 같이 표시합니다.

<argument arg-num="2" value="0x5401" desc="cmd"/>

attribute 토큰

attribute 토큰에는 파일 vnode의 정보가 포함됩니다.

attribute 토큰은 대개 path 토큰과 함께 사용됩니다. attribute 토큰은 경로 검색 중 생성됩니다. 경로 검색 오류가 발생할 경우 필요한 파일 정보를 얻을 수 있는 vnode가 없습니다. 따라서 attribute 토큰이 감사 레코드의 일부로 포함되지 않습니다. praudit -x 명령은 attribute 토큰의 필드를 다음과 같이 표시합니다.

<attribute mode="20620" uid="root" gid="tty" fsid="0" nodeid="9267" device="108233"/>

cmd 토큰

cmd 토큰은 명령과 연결된 인수 목록 및 환경 변수 목록을 기록합니다.

praudit -x 명령은 cmd 토큰의 필드를 표시합니다. 다음은 잘린 cmd 토큰입니다. 행은 표시 목적으로 줄바꿈되었습니다.

<cmd><arge>WINDOWID=6823679</arge>
<arge>COLORTERM=gnome-terminal</arge>
<arge>...LANG=C</arge>...<arge>HOST=machine1</arge>
<arge>LPDEST=printer1</arge>...</cmd>

exec_args 토큰

exec_args 토큰은 exec() 시스템 호출의 인수를 기록합니다.

praudit -x 명령은 exec_args 토큰의 필드를 다음과 같이 표시합니다.

<exec_args><arg>/usr/bin/sh</arg><arg>/usr/bin/hostname</arg></exec_args>

주 - exec_args 토큰은 argv 감사 정책 옵션이 활성화된 경우에만 출력됩니다.


exec_env 토큰

exec_env 토큰은 exec() 시스템 호출의 현재 환경 변수를 기록합니다.

praudit -x 명령은 exec_env 토큰의 필드를 표시합니다. 행은 표시 목적으로 줄바꿈되었습니다.

<exec_env><env>_=/usr/bin/hostname</env>
<env>LANG=C</env><env>PATH=/usr/bin:/usr/ucb</env>
<env><env>LOGNAME=jdoe</env><env>USER=jdoe</env>
<env>DISPLAY=:0</env><env>SHELL=/bin/csh</env>
<env>HOME=/home/jdoe</env><env>PWD=/home/jdoe</env><env>TZ=US/Pacific</env>
</exec_env>

주 - exec_env 토큰은 arge 감사 정책 옵션이 활성화된 경우에만 출력됩니다.


file 토큰

file 토큰은 새 감사 파일의 시작과 이전 파일이 비활성화된 경우 이전 감사 파일의 끝을 표시하는 특수 토큰입니다. 처음 file 토큰은 감사 추적에서 이전 파일을 식별합니다. 최종 file 토큰은 감사 추적에서 다음 파일을 식별합니다. 이러한 토큰은 연속된 감사 파일을 하나의 감사 추적으로 “연결”합니다.

praudit -x 명령은 file 토큰의 필드를 표시합니다. 행은 표시 목적으로 줄바꿈되었습니다.

<file iso8601="2009-04-08 14:18:26.200 -07:00">
/var/audit/machine1/files/20090408211826.not_terminated.machine1</file>

fmri 토큰

fmri 토큰은 결함 관리 리소스 표시기(FMRI)의 사용을 기록합니다. 자세한 내용은 smf(5) 매뉴얼 페이지를 참조하십시오.

praudit -x 명령은 fmri 토큰의 내용을 표시합니다.

<fmri service_instance="svc:/system/cryptosvc"</fmri>

group 토큰

group 토큰은 프로세스 자격 증명의 그룹 항목을 기록합니다.

praudit -x 명령은 groups 토큰의 필드를 다음과 같이 표시합니다.

<group><gid>staff</gid><gid>other</gid></group>

주 - group 토큰은 group 감사 정책 옵션이 활성화된 경우에만 출력됩니다.


header 토큰

header 토큰은 감사 레코드의 시작을 표시하는 특수 토큰입니다. header 토큰은 trailer 토큰과 결합하여 레코드의 다른 모든 토큰을 괄호로 묶습니다.

드물게, header 토큰이 하나 이상의 이벤트 수정자를 포함할 수 있습니다.

praudit 명령은 header 토큰을 다음과 같이 표시합니다.

header,756,2,execve(2),,machine1,2010-10-10 12:11:10.209 -07:00

praudit -x 명령은 header 토큰의 필드를 감사 레코드의 시작에 표시합니다. 행은 표시 목적으로 줄바꿈되었습니다.

<record version="2" event="execve(2)" host="machine1" 
iso8601="2010-10-10 12:11:10.209 -07:00">

ip address 토큰

ip address 토큰에는 인터넷 프로토콜 주소(IP 주소)가 포함됩니다. IP 주소는 IPv4 또는 IPv6 형식으로 표시될 수 있습니다. IPv4 주소는 4바이트를 사용합니다. IPv6 주소는 1바이트를 사용하여 주소 유형을 설명하고, 16바이트를 사용하여 주소를 설명합니다.

praudit -x 명령은 ip address 토큰의 내용을 다음과 같이 표시합니다.

<ip_address>machine1</ip_address>

ip port 토큰

ip port 토큰에는 TCP 또는 UDP 포트 주소가 포함됩니다.

praudit 명령은 ip port 토큰을 다음과 같이 표시합니다.

ip port,0xf6d6

ipc 토큰

ipc 토큰에는 호출자가 특정 IPC 객체를 식별하는 데 사용되는 시스템 V IPC 메시지 핸들, 세마포어 핸들 또는 공유 메모리 핸들이 포함됩니다.


주 - IPC 객체 식별자는 감사 토큰의 컨텍스트 없는 성질에 위배됩니다. 전역 “이름”은 IPC 객체를 고유하게 식별하지 않습니다. 대신 IPC 객체가 핸들로 식별됩니다. 핸들은 IPC 객체가 활성화된 시간 동안에만 유효합니다. 하지만 IPC 객체의 식별이 문제가 되면 안됩니다. 시스템 V IPC 방식은 거의 사용되지 않으며, 방식은 모두 동일한 감사 클래스를 공유합니다.


다음 표는 IPC 객체 유형 필드에 가능한 값을 나타냅니다. 값은 /usr/include/bsm/audit.h 파일에 정의되어 있습니다.

표 29-2 IPC 객체 유형 필드에 대한 값

이름
설명
AU_IPC_MSG
1
IPC 메시지 객체
AU_IPC_SEM
2
IPC 세마포어 객체
AU_IPC_SHM
3
IPC 공유 메모리 객체

praudit -x 명령은 ipc 토큰의 필드를 다음과 같이 표시합니다.

<IPC ipc-type="shm" ipc-id="15"/>

IPC_perm 토큰

IPC_perm 토큰에는 시스템 V IPC 액세스 권한의 복사본이 포함됩니다. 이 토큰은 IPC 공유 메모리 이벤트, IPC 세마포어 이벤트 및 IPC 메시지 이벤트로 생성되는 감사 레코드에 추가됩니다.

praudit -x 명령은 IPC_perm 토큰의 필드를 표시합니다. 행은 표시 목적으로 줄바꿈되었습니다.

<IPC_perm uid="jdoe" gid="staff" creator-uid="jdoe" 
creator-gid="staff" mode="100600" seq="0" key="0x0"/>

값은 IPC 객체와 연결된 IPC_perm 구조에서 가져옵니다.

path 토큰

path 토큰에는 객체에 대한 액세스 경로 정보가 포함됩니다.

praudit -x 명령은 path 토큰의 내용을 표시합니다.

<path>/export/home/srv/.xsession-errors</path>

path_attr 토큰

path_attr 토큰에는 객체에 대한 액세스 경로 정보가 포함됩니다. 액세스 경로는 path 토큰 객체 아래에 있는 속성 파일 객체의 시퀀스를 지정합니다. openat()와 같은 시스템 호출이 속성 파일에 액세스합니다. 속성 파일 객체에 대한 자세한 내용은 fsattr(5) 매뉴얼 페이지를 참조하십시오.

praudit 명령은 다음과 같이 path_attr 토큰을 표시합니다.

path_attr,1,attr_file_name

privilege 토큰

privilege 토큰은 프로세스에 대한 권한 사용을 기록합니다. privilege 토큰은 기본 세트의 권한에 대해서는 기록되지 않습니다. 권한이 관리 작업으로 기본 세트에서 제거된 경우에는 해당 권한의 사용이 기록됩니다. 권한에 대한 자세한 내용은 권한(개요)을 참조하십시오.

praudit -x 명령은 privilege 토큰의 필드를 표시합니다.

<privilege set-type="Inheritable">ALL</privilege>

process 토큰

process 토큰에는 신호의 수신자와 같이 프로세스와 연결된 사용자에 대한 정보가 포함됩니다.

praudit -x 명령은 process 토큰의 필드를 표시합니다. 행은 표시 목적으로 줄바꿈되었습니다.

<process audit-uid="-2" uid="root" gid="root" ruid="root" 
rgid="root" pid="567" sid="0" tid="0 0 0.0.0.0"/>

return 토큰

return 토큰에는 시스템 호출의 반환 상태(u_error) 및 프로세스 반환 값(u_rval1)이 포함됩니다.

return 토큰은 항상 시스템 호출에 대해 커널에서 생성한 감사 레코드의 일부로 반환됩니다. 응용 프로그램 감사에서 이 토큰은 종료 상태 및 기타 반환 값을 나타냅니다.

praudit 명령은 시스템 호출에 대한 return 토큰을 다음과 같이 표시합니다.

return,failure: Operation now in progress,-1

praudit -x 명령은 return 토큰의 필드를 다음과 같이 표시합니다.

<return errval="failure: Operation now in progress" retval="-1/">

sequence 토큰

sequence 토큰에는 시퀀스 번호가 포함됩니다. 시퀀스 번호는 감사 레코드가 감사 추적에 추가될 때마다 증분됩니다. 이 토큰은 디버깅에 유용합니다.

praudit -x 명령은 sequence 토큰의 내용을 표시합니다.

<sequence seq-num="1292"/>

주 - sequence 토큰은 seq 감사 정책 옵션이 활성화된 경우에만 출력됩니다.


socket 토큰

socket 토큰에는 인터넷 소켓을 설명하는 정보가 포함됩니다. 일부 인스턴스에서 토큰에는 원격 포트 및 원격 IP 주소만 포함됩니다.

praudit 명령은 socket 토큰의 인스턴스를 다음과 같이 표시합니다.

socket,0x0002,0x83b1,localhost

확장된 토큰은 소켓 유형 및 로컬 포트 정보를 포함한 정보를 추가합니다.

praudit -x 명령은 socket 토큰의 인스턴스를 다음과 같이 표시합니다. 행은 표시 목적으로 줄바꿈되었습니다.

<socket sock_domain="0x0002" sock_type="0x0002" lport="0x83cf" 
laddr="example1" fport="0x2383" faddr="server1.Subdomain.Domain.COM"/>

subject 토큰

subject 토큰은 작업을 수행하거나 시도하는 사용자를 설명합니다. 형식은 process 토큰과 동일합니다.

subject 토큰은 항상 시스템 호출에 대해 커널에서 생성한 감사 레코드의 일부로 반환됩니다. praudit 명령은 subject 토큰을 다음과 같이 표시합니다.

subject,jdoe,root,root,root,root,1631,1421584480,8243 65558 machine1

praudit -x 명령은 subject 토큰의 필드를 표시합니다. 행은 표시 목적으로 줄바꿈되었습니다.

<subject audit-uid="jdoe" uid="root" gid="root" ruid="root" 
rgid="root" pid="1631" sid="1421584480" tid="8243 65558 machine1"/>

text 토큰

text 토큰에는 텍스트 문자열이 포함됩니다.

praudit -x 명령은 text 토큰의 내용을 표시합니다.

<text>booting kernel</text>

trailer 토큰

headertrailer의 두 토큰은 감사 레코드의 끝점을 구별하고 다른 모든 토큰을 괄호로 묶는 특수 토큰입니다. header 토큰은 감사 레코드를 시작합니다. trailer 토큰은 감사 레코드를 끝냅니다. trailer 토큰은 선택적 토큰입니다. trailer 토큰은 trail 감사 정책 옵션이 설정된 경우에만 각 레코드의 마지막 토큰으로 추가됩니다.

트레일러가 설정된 상태에서 감사 레코드가 생성된 경우 auditreduce 명령은 트레일러가 레코드 헤더를 올바르게 가리키는지 확인할 수 있습니다. trailer 토큰은 감사 추적의 역추적을 지원합니다.

praudit 명령은 trailer 토큰을 다음과 같이 표시합니다.

trailer,136

use of authorization 토큰

use of authorization 토큰은 권한 부여 사용을 기록합니다.

praudit 명령은 use of authorization 토큰을 다음과 같이 표시합니다.

use of authorization,solaris.role.delegate

use of privilege 토큰

use of privilege 토큰은 권한 사용을 기록합니다.

praudit -x 명령은 use of privilege 토큰의 필드를 다음과 같이 표시합니다.

<use_of_privilege result="successful use of priv">proc_setid</use_of_privilege>

user 토큰

user 토큰은 사용자 이름 및 사용자 ID를 기록합니다. 이 토큰은 사용자 이름이 호출자와 다른 경우에만 존재합니다.

praudit -x 명령은 user 토큰의 필드를 다음과 같이 표시합니다.

<user uid="123456" username="tester1"/>

xclient 토큰

xclient 토큰에는 X 서버에 대한 클라이언트 연결 수가 포함됩니다.

praudit -x 명령은 xlient 토큰의 내용을 다음과 같이 표시합니다.

<X_client>15</X_client>

zonename 토큰

zonename 토큰은 감사 이벤트가 발생한 영역을 기록합니다. 문자열 “global”은 전역 영역에서 발생한 감사 이벤트를 나타냅니다.

praudit -x 명령은 zonename 토큰의 내용을 표시합니다.

<zone name="graphzone"/>