탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리
14. Trusted Extensions에서 파일 관리 및 마운트
마운트된 파일 시스템에 대한 Trusted Extensions 정책
단일 레벨 데이터 세트에 대한 Trusted Extensions 정책
다중 레벨 데이터 세트에 대한 Trusted Extensions 정책
Trusted Extensions에서 파일 시스템 공유 및 마운트의 결과
mlslabel 등록 정보 및 단일 레벨 파일 시스템 마운트
Trusted Extensions에서 NFS 서버 및 클라이언트 구성
Trusted Extensions에서 홈 디렉토리 만들기
Trusted Extensions의 자동 마운트 변경 사항
Trusted Extensions 소프트웨어 및 NFS 프로토콜 버전
Trusted Extensions에서 파일을 백업하는 방법
Trusted Extensions에서 파일을 복원하는 방법
Trusted Extensions에서 마운트 실패 문제를 해결하는 방법
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 점검 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
다중 레벨 ZFS 데이터 세트는 파일과 디렉토리를 서로 다른 레이블에 포함하기 위한 것입니다. 각 파일과 디렉토리의 레이블을 개별적으로 지정하며 파일을 이동 또는 복사하지 않고도 레이블을 변경할 수 있습니다. 데이터 세트의 레이블 범위 내에서 파일의 레이블을 다시 지정할 수 있습니다. 다중 데이터 세트를 만들고 공유하려면 다중 레벨 데이터 세트를 만들고 공유하는 방법을 참조하십시오.
일반적으로 데이터 세트의 모든 파일 및 디렉토리는 데이터 세트가 마운트되는 영역과 동일한 레이블을 갖습니다. 이 레이블은 데이터 세트가 처음 영역으로 마운트될 때 mlslabel이라는 ZFS 등록 정보에 자동으로 기록됩니다. 이러한 데이터 세트는 단일 레벨 레이블 지정 데이터 시트입니다. 데이터 세트가 마운트된 동안에는 mlslabel 등록 정보를 변경할 수 없습니다. 즉, 마운트 영역에서는 mlslabel 등록 정보를 변경할 수 없습니다.
mlslabel 등록 정보를 설정한 후에는 영역의 레이블이 데이터 세트의 mlslabel 등록 정보와 일치하지 않으면 데이터 세트를 영역에 읽기/쓰기로 마운트할 수 없습니다. 또한 데이터 세트가 현재 전역 영역을 비롯한 다른 영역에 마운트된 경우 데이터 세트를 어떠한 영역에도 마운트할 수 없습니다. 단일 레벨 레이블 지정 데이터 세트의 파일 레이블은 고정되어 있으므로 setlabel 명령으로 파일의 레이블을 다시 지정하면 실제로 파일이 대상 레이블에 해당하는 기본 영역의 동일한 경로 이름으로 이동됩니다. 이러한 영역 간 이동은 비효율적이고 혼동될 수 있습니다. 다중 레벨 데이터 세트는 데이터의 레이블을 다시 지정하기 위한 효율적인 컨테이너를 제공합니다.
전역 영역에 마운트된 다중 레벨 데이터 세트의 경우 mlslabel 등록 정보의 기본값은 ADMIN_HIGH입니다. 이 값은 데이터 세트 레이블 범위의 상한을 지정합니다. 하위 레이블을 지정하는 경우 mlslabel 등록 정보에 의해 레이블이 지배되는 영역에서만 데이터 세트에 쓸 수 있습니다.
Object Label Management 권한 프로파일이 있는 사용자 또는 역할은 DAC 액세스 권한이 있는 파일이나 디렉토리를 업그레이드 또는 다운그레이드할 수 있는 적합한 권한이 있습니다. 절차는 사용자가 데이터의 보안 레벨을 변경할 수 있게 하는 방법을 참조하십시오.
사용자 프로세스에는 추가 정책 제약 조건이 적용됩니다.
기본적으로 레이블이 있는 영역의 프로세스에서는 파일이나 디렉토리의 레이블을 다시 지정할 수 없습니다. 다시 레이블 지정을 사용으로 설정하려면 레이블이 있는 영역에서 파일의 레이블을 재지정할 수 있게 설정하는 방법을 참조하십시오. 파일의 다운그레이드는 허용하지만 업그레이드는 허용하지 않는 등의 더 세분화된 제어를 지정하려면 예 13-5를 참조하십시오.
디렉토리는 비어 있지 않은 경우 레이블을 다시 지정할 수 없습니다.
파일 및 디렉토리를 이들이 포함된 디렉토리의 레이블 아래로 다운그레이드할 수 없습니다.
레이블을 다시 지정하려면 먼저 파일을 하위 레벨 디렉토리로 이동한 다음 레이블을 다시 지정합니다.
데이터 세트를 마운트하는 영역에서는 파일이나 디렉토리를 영역 레이블 위로 업그레이드할 수 없습니다.
영역의 프로세스에서 파일이 현재 열려 있는 경우 파일의 레이블을 다시 지정할 수 없습니다.
파일과 디렉토리를 데이터 세트의 mlslabel 값 위로 업그레이드할 수 없습니다.
전역 영역에서는 Trusted Extensions 시스템 및 레이블 없는 시스템과 NFS를 통해 다중 레벨 데이터 세트를 공유할 수 있습니다. 데이터 세트는 전역 영역과 레이블 있는 영역 및 레이블 없는 영역의 지정된 레이블에 마운트될 수 있습니다. ADMIN_LOW 레이블 없는 시스템은 예외입니다. 이 시스템은 다중 레벨 데이터 세트를 마운트할 수 없습니다.
다중 레벨 데이터 세트가 ADMIN_HIGH보다 낮은 레이블에서 생성된 경우 데이터 세트를 다른 Trusted Extensions 시스템의 전역 영역에 마운트할 수 있지만 전역 영역에서 파일을 볼 수만 있고 수정할 수는 없습니다. 레이블이 있는 영역에서 다른 시스템 전역 영역의 다중 레벨 데이터 세트를 NFS 마운트하는 경우 몇 가지 제한 사항이 적용됩니다.
NFS 마운트된 다중 레벨 데이터 세트에는 몇 가지 제한 사항이 적용됩니다.
Trusted Extensions NFS 클라이언트는 쓰기 가능한 파일에 대해서만 올바른 레이블을 볼 수 있습니다. getlabel 명령은 하위 레벨 파일의 레이블을 클라이언트의 레이블인 것으로 잘못 보고합니다. MAC 정책이 적용되므로 파일이 읽기 전용으로 유지되고 상위 레벨 파일이 표시되지 않습니다.
NFS 서버는 클라이언트에 있을 수 있는 모든 권한을 무시합니다.
이러한 제한 사항 때문에 자체의 전역 영역에서 제공되는 레이블 있는 영역 클라이언트에는 LOFS를 사용하는 것이 좋습니다. NFS는 이러한 클라이언트에 대해 작동하기는 하지만 위의 제한 사항이 적용됩니다. LOFS 마운트 절차는 다중 레벨 데이터 세트를 만들고 공유하는 방법을 참조하십시오.