탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
Trusted Extensions에서 사용자의 시작 파일을 구성하는 방법
Trusted Extensions에서 비상 안전 세션에 로그인하는 방법
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리
14. Trusted Extensions에서 파일 관리 및 마운트
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 점검 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
Trusted Extensions에서 사용자, 권한 부여, 권한 및 역할을 관리하려면 보안 관리자 역할을 맡습니다. 다음 작업 맵에서는 레이블이 있는 환경에서 작업하는 사용자에 대해 수행하는 일반적인 작업을 설명합니다.
|
사용자에게 관리 응용 프로그램에 대한 읽기 액세스 권한을 부여하기 위해 사용자의 레이블 범위를 확장할 수 있습니다. 예를 들어, 전역 영역에 로그인할 수 있는 사용자는 특정 레이블에서 실행되는 시스템의 목록을 볼 수 있습니다. 사용자는 내용을 볼 수 있지만 변경할 수는 없습니다.
또는 사용자의 레이블 범위를 제한할 수도 있습니다. 예를 들어, guest 사용자는 하나의 레이블로 제한될 수 있습니다.
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
# usermod -K min_label=INTERNAL -K clearance=ADMIN_HIGH jdoe
최소 레이블을 낮추어 사용자의 레이블 범위를 확장할 수도 있습니다.
# usermod -K min_label=PUBLIC -K clearance=INTERNAL jdoe
자세한 내용은 usermod(1M) 및 user_attr(4) 매뉴얼 페이지를 참조하십시오.
# usermod -K min_label=INTERNAL -K clearance=INTERNAL jdoe
사이트 보안 정책에서 허용하는 경우 권한 부여가 필요한 작업을 수행할 수 있는 사용자에 대해 권한 부여가 포함된 권한 프로파일을 만들 수 있습니다. 특정 시스템의 모든 사용자가 권한 부여를 받도록 하려면 policy.conf 기본값을 수정하는 방법을 참조하십시오.
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
단계별 절차는 Oracle Solaris 11.1 관리: 보안 서비스의 권한 프로파일을 만드는 방법을 참조하십시오.
사용자에게 편리할 수 있는 권한 부여:
solaris.device.allocate – 사용자가 마이크나 CD-ROM과 같은 주변 장치를 할당할 수 있게 권한 부여합니다.
기본적으로 Oracle Solaris 사용자는 CD-ROM을 읽고 쓸 수 있습니다. 그러나 Trusted Extensions에서는 장치를 할당할 수 있는 사용자만 CD-ROM 드라이브에 액세스할 수 있습니다. 사용할 드라이브를 할당하려면 권한 부여가 필요합니다. 따라서 Trusted Extensions에서 CD-ROM을 읽고 쓰려면 사용자에게 Allocate Device(장치 할당) 권한 부여가 필요합니다.
solaris.label.file.downgrade – 사용자가 파일의 보안 레벨을 낮출 수 있게 권한 부여합니다.
solaris.label.file.upgrade – 사용자가 파일의 보안 레벨을 높일 수 있게 권한 부여합니다.
solaris.label.win.downgrade – 사용자가 상위 레벨 파일에서 정보를 선택하고 하위 레벨 파일에 해당 정보를 넣을 수 있게 권한 부여합니다.
solaris.label.win.noview – 사용자가 이동되는 정보를 보지 않고 정보를 이동할 수 있게 권한 부여합니다.
solaris.label.win.upgrade – 사용자가 하위 레벨 파일에서 정보를 선택하고 상위 레벨 파일에 해당 정보를 넣을 수 있게 권한 부여합니다.
solaris.login.remote – 사용자가 원격으로 로그인할 수 있게 권한 부여합니다.
solaris.print.nobanner - 사용자에게 배너 페이지 없이 복사본을 인쇄할 수 있는 권한을 부여합니다.
solaris.print.unlabeled – 사용자에게 레이블을 표시하지 않는 복사본을 인쇄할 수 있는 권한을 부여합니다.
solaris.system.shutdown – 사용자가 시스템과 영역을 종료할 수 있게 권한 부여합니다.
단계별 절차는 Oracle Solaris 11.1 관리: 보안 서비스의 사용자의 보안 속성을 변경하는 방법을 참조하십시오.
사이트 보안에 따라 사용자에게 기본적으로 지정되는 것보다 적은 수의 권한을 허용해야 할 수 있습니다. 예를 들어 Sun Ray 시스템에서 Trusted Extensions를 사용하는 사이트에서는 사용자가 Sun Ray 서버에서 다른 사용자의 프로세스를 보지 못하게 할 수 있습니다.
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
주의 - proc_fork 또는 proc_exec 권한은 제거하지 마십시오. 이러한 권한이 없으면 사용자는 시스템을 사용할 수 없습니다. |
# usermod -K defaultpriv=basic,!proc_info,!proc_session,!file_link_any
proc_info 권한을 제거하면 사용자가 자신이 실행하지 않는 프로세스를 검사할 수 없게 됩니다. proc_session 권한을 제거하면 사용자가 현재 세션 외부에 있는 프로세스를 볼 수 없게 됩니다. file_link_any 권한을 제거하면 사용자가 소유하고 있지 않은 파일에 대한 하드 링크를 만들 수 없게 됩니다.
참조
권한 프로파일에서 권한 제한 사항을 수집하는 예는 Oracle Solaris 11.1 관리: 보안 서비스의 권한 프로파일을 만드는 방법에 있는 예를 참조하십시오.
시스템에서 모든 사용자의 권한을 제한하려면 예 11-2를 참조하십시오.
역할을 맡을 수 있는 모든 사용자에 대해 이 절차를 수행합니다.
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
# usermod -K lock_after_retries=no jdoe
LDAP 사용자에 대한 계정 잠금을 해제하려면 LDAP 저장소를 지정합니다.
# usermod -S ldap -K lock_after_retries=no jdoe
파일 및 디렉토리나 선택한 텍스트의 보안 레벨 또는 레이블을 변경할 수 있게 일반 사용자나 역할을 권한 부여할 수 있습니다. 또한 두 개 이상의 레이블에서 작업할 수 있도록 사용자나 역할을 구성해야 합니다. 그리고 레이블 재지정을 허용하도록 레이블이 있는 영역을 구성해야 합니다. 절차는 레이블이 있는 영역에서 파일의 레이블을 재지정할 수 있게 설정하는 방법을 참조하십시오.
주의 - 데이터의 보안 레벨 변경은 권한이 필요한 작업입니다. 이 작업은 신뢰할 수 있는 사용자만 수행해야 합니다. |
시작하기 전에
전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
단계별 절차는 Oracle Solaris 11.1 관리: 보안 서비스의 사용자의 보안 속성을 변경하는 방법을 참조하십시오.
예 11-5 사용자가 파일의 레이블을 업그레이드할 수 있지만 다운그레이드할 수는 없도록 설정
Object Label Management 권한 프로파일을 사용하여 레이블을 업그레이드 및 다운그레이드할 수 있습니다. 이 예에서 관리자는 신뢰할 수 있는 사용자가 데이터를 업그레이드하는 것은 허용하지만 다운그레이드하는 것은 허용하지 않습니다.
관리자는 Object Label Management 프로파일을 기반으로 권한 프로파일을 만들고 새 프로파일에서 Downgrade File Label(파일 레이블 다운그레이드) 및 Downgrade DragNDrop or CutPaste Info(DragNDrop 또는 CutPaste 정보 다운그레이드) 권한 부여를 제거합니다.
# profiles -p "Object Label Management" profiles:Object Label Management> set name="Object Upgrade" profiles:Object Upgrade> info auths ... profiles:Object Upgrade> remove auths="solaris.label.file.downgrade, solaris.label.win.downgrade" profiles:Object Upgrade> commit profiles:Object Upgrade> end
그런 다음 관리자는 신뢰할 수 있는 사용자에게 프로파일을 지정합니다.
# usermod -P +"Object Upgrade" jdoe
사용자가 시스템에서 제거되면 해당 사용자의 홈 디렉토리 및 사용자가 소유한 모든 객체도 삭제되었는지 확인해야 합니다. 사용자가 소유한 객체를 삭제하는 대신 이러한 객체의 소유권을 유효한 사용자로 변경할 수도 있습니다.
또한 해당 사용자와 연결된 모든 배치 작업도 삭제되었는지 확인해야 합니다. 제거된 사용자에게 속하지 않은 객체나 프로세스는 시스템에 남겨 둘 수 있습니다.
시작하기 전에
전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.
# userdel -r jdoe
주 - /tmp 디렉토리의 파일을 비롯하여 모든 레이블에서 사용자의 임시 파일을 찾아 삭제해야 합니다.
추가 고려 사항은 사용자 삭제 방법을 참조하십시오.