1장 시스템 관리 개요
이 장에서는 Trusted Solaris의 시스템 관리에 대해 소개합니다. 먼저 Trusted Solaris 사용 설명서에 설명된 Trusted Solaris의 개념에 대해 간략하게 소개한 다음 Trusted Solaris 관리자에게 필요한 고급 개념을 설명합니다.
기본 개념 검토
Trusted Solaris는 시스템에 구성 가능한 보안 정책을 통합한 향상된 Solaris 버전입니다. 이 절에서는 사용자나 관리자가 Trusted Solaris 환경을 이해하는 데 기본이 되는 개념만을 간략하게 소개합니다. 자세한 내용은 Trusted Solaris 사용 설명서를 참고하십시오.
Trusted Solaris의 무단 액세스 방지 기능
Trusted Solaris는 사용자에게 사용자 이름과 암호가 있는 계정을 제공함으로써 시스템에 대한 무단 액세스를 방지합니다. 암호는 사이트 정책에 따라 사용자 또는 시스템에서 작성하게 되며, 작성된 암호를 정기적으로 변경할 수도 있습니다. 또한 로그인할 때 시스템에 대한 액세스 허용 여부를 결정하는 민감도 정보(있는 경우)를 입력해야 합니다.
Trusted Solaris는 사용자가 시스템의 보안 관련 부분을 사용할 때 사용자에게 이를 알려 주는 엠블렘을 화면 아래쪽에 표시합니다.
관리자는 지시를 직접 확인하지 않고 작업을 수행하는 사용자에게 전자 우편을 통해 지시를 전송하지 않는다는 정책을 채택해야 하며, 확인을 거치지 않고 지시를 따라서는 안된다는 사실을 사용자들에게 알려야 합니다. 이 정책은 관리자로 위장하여 전자 우편을 보내서 계정 암호나 기타 민감도 정보를 입수하는 등의 보안 노출을 방지하기 위한 것입니다.
Trusted Solaris의 액세스 제어 정책 시행 방법
Trusted Solaris는 임의 액세스 제어 -소유자가 설정하는 UNIX의 일반적 사용 권한 비트 및 액세스 제어 목록 집합-와 강제 액세스 제어-트랙잭션의 과정과 파일의 민감도 레이블을 확인하여 시스템이 모든 트랜잭션을 자동으로 제어하는 메커니즘-를 통해 정보와 기타 자원을 보호합니다.
민감도 레이블(Sensitivity Label-SL)은 사용자에게 허용된 민감도 수준을 나타냅니다. 이 레이블은 사용자가 액세스할 수 있는 정보를 결정합니다. 강제 액세스 제어와 임의 액세스 제어는 프로그램에 주어지는 특권이라는 특수 사용 권한에 의해 무시될 수 있습니다. 사용자(및 역할 단위)는 관리자가 허가하는 인증이 필요할 경우도 있습니다.
관리자는 파일 및 디렉토리 보안을 위해 사이트 보안 정책에 의거하여 사용자들에게 정확한 절차를 교육해야 합니다. 또한 특권 사용이 적합할 때 레이블을 업그레이드하거나 다운그레이드하도록 허가된 사용자를 교육해야 합니다.
Trusted Solaris의 정보 민감도 표시 방법
Trusted Solaris는 정보 레이블(Information Label-IL) 옵션을 제공합니다. 정보 레이블은 사용자에게 데이터, 프로세스 및 장치의 민감도와 처리 방법을 알려 줍니다. 정보 레이블은 민감도 레이블과는 달리 액세스 제어에는 관여하지 않으며, 사용자에게 프로세스와 파일의 보안 수준을 알려주는 정보 제공의 역할만 수행합니다. Trusted Solaris는 서로 다른 정보 레이블을 가진 데이터나 프로세스가 관련된 트랜잭션이 발생할 때마다 결과 데이터 파일에 적절한 정보 레이블이 있는지 확인합니다.
Trusted Solaris의 관리 방식
Trusted Solaris는 시스템 관리 책임을 분할하여 단일 사용자가 시스템 보안에 침입하는 것을 방지합니다. Trusted Solaris에는 관리 작업이 기본적으로 네 개의 역할로 구분되어 있습니다.
-
보안 관리자(secadmin) - 민감도 레이블을 설정하고 할당하며 사용자 동작을 감사하는 등 보안에 관련된 작업이나 의사 결정을 담당합니다. 보안 관리자는 모든 사용자 및 역할 계정의 보안 관련 사항을 할당합니다(단, 보안 관리자 자신의 계정은 제외). 또한 보안에 영향을 줄 수 있는 새로운 소프트웨어를 평가 및 설치하고 해당 소프트웨어에 필요한 특권을 할당하는 역할도 수행합니다.
-
시스템 관리자(admin) - 사용자 계정에서 비보안성 부분을 설정하는 등의 표준 UNIX 시스템 관리 업무를 수행합니다.
-
루트 - 주로 실제 UID 0이 필요할 때 상용 소프트웨어 설치에 사용됩니다. Trusted Solaris의 루트 역할은 다른 UNIX 시스템의 루트 사용자에 비해 제한적입니다.
사이트에서 사전 정의된 관리 역할을 재구성하는 경우, 모든 사용자가 각각의 작업을 수행하는 사람을 알고 있는지 확인합니다.
레이블 이해
Trusted Solaris의 강제 액세스 제어에 있어 가장 핵심적인 사항은 바로 민감도 레이블(SL)과 클리어런스입니다. 이들 기능을 사용하면 어떤 사용자가 어떤 파일과 디렉토리에 액세스할 수 있는지를 결정할 수 있습니다. 또한 선택 기능인 정보 레이블(IL)을 활용하여 문서에 포함된 정보의 민감도를 추적할 수도 있습니다.
주 -
민감도 레이블과 정보 레이블은 프로그래머들에게는 매우 중요한 CMW 레이블이라는 구조에 통합되어 있습니다. 그러나 일반적으로 민감도 레이블과 정보 레이블은 독립된 엔티티로 간주할 수 있습니다.
이 절에서는 레이블, label_encodings 파일(모든 시스템 레이블의 원본) 및 사용자가 사용할 수 있는 레이블을 결정하는 여러 가지 요소와의 관계를 설명합니다.
레이블 간의 지배 관계
Trusted Solaris는 보안 관련 트랜잭션이 시도될 때마다 개입합니다. Trusted Solaris는 액세스하는 엔티티와 액세스되는 엔티티의 민감도 레이블을 비교한 다음 두 레이블 사이의 지배 관계에 따라 트랜잭션을 허용하거나 허용하지 않습니다(아래 설명 참조). 그런 다음 두 엔티티의 정보 레이블을 비교하여 필요한 경우 이에 따른 문서의 정보 레이블을 부동(상승)시킵니다. (Trusted Solaris 사용 설명서의 제1장, "Trusted Solaris 소개 "에서 "정보 트랜잭션 감시" 참조)
엔티티의 레이블(민감도 또는 정보)은 다음 두 가지 조건이 충족되는 경우 상대 엔티티의 레이블에 대해 지배 관계에 있다라고 합니다.
-
첫 번째 엔티티의 민감도 레이블 분류 등급 구성 요소가 두 번째 엔티티의 분류 등급 구성 요소와 같거나 높다. (보안 관리자가 label_encodings 파일의 분류 등급에 번호를 할당하며, 지배 관계를 결정할 때 이들 번호가 비교됩니다.)
-
첫 번째 엔티티의 구획 집합(정보 레이블의 경우 표시도 포함)이 두 번째 엔티티의 구획(표시 포함)을 모두 포함한다.
이 두 레이블이 동일한 분류 등급과 동일한 구획 집합(정보 레이블의 경우 표시 포함)을 갖는 경우, 이들 레이블은 동등한 관계에 있다라고 합니다. 이런 경우에는 서로에 대해 대등한 지배 관계를 이루므로 액세스가 허용됩니다. 한 레이블의 분류 등급이 더 높거나, 이 레이블이 다른 레이블의 구획을 모두 포함하거나, 또는 두 가지 조건이 모두 충족되는 경우 첫 번째 레이블이 두 번째 레이블에 대해 완전한 지배 관계에 있다라고 합니다. 두 레이블 중 어느 것도 다른 레이블에 대한 지배 관계가 성립되지 않는 경우, 이 두 레이블은 분리되어 있다 또는 비교 불가능하다라고 합니다.
다음 표는 레이블 간의 지배 관계를 비교한 예제입니다.
표 1-1 레이블 관계 예제|
레이블 1 |
관계 |
레이블 2 |
|---|---|---|
|
TOP SECRET A B |
(엄격히) 지배 |
SECRET A |
|
TOP SECRET A B |
(엄격히) 지배 |
SECRET A B |
|
TOP SECRET A B Eye's Only |
(엄격히) 지배 |
SECRET A B Eye's Only |
|
TOP SECRET A B |
(엄격히) 지배 |
TOP SECRET A |
|
TOP SECRET A B |
지배 관계(동등) |
TOP SECRET A B |
|
TOP SECRET A B |
분리되어 있음 |
TOP SECRET C |
|
TOP SECRET A B |
분리되어 있음 |
SECRET C |
|
TOP SECRET A B |
분리되어 있음 |
SECRET A B C |
레이블 인코딩 파일
분류 등급, 구획, 표시 및 관련 규칙과 같은 시스템의 모든 레이블 구성 요소는 label_encodings라는 파일(/etc/security/tsol/에 위치)에 저장됩니다. 해당 사이트에 대한 label_encodings 파일 설정은 보안 관리자가 담당하며, 레이블 인코딩 파일에는 다음과 같은 내용이 수록됩니다.
-
구성 요소 정의 - 필요한 조합 및 제약 조건에 대한 규칙을 포함한 분류 등급, 민감도 레이블, 클리어런스 및 정보 레이블의 정의
-
인쇄 사양 - 인쇄 배너, 트레일러, 머리글, 바닥글 및 기타 출력물의 보안 기능에 대한 식별 및 취급 정보
-
사용자 정의 - 레이블 색상 코드, 분류 등급의 대체 이름, 구획, 그래픽 인터페이스 표시 및 기타 항목 등에 대한 로컬 정의
label_encodings 파일에 대한 자세한 내용은 label_encodings(4) 온라인 참조 페이지와 Trusted Solaris Label Administration 및 Compartmented Mode Workstation Labeling: Encodings Format을 참조하십시오.
레이블 범위
시스템에는 여러 개의 레이블이 존재하므로 레이블은 최소, 최대 및 기타 제약 조건에 의해 정의되는 레이블 범위의 측면에서 이해하는 것이 좋습니다. 레이블 범위는 사용자 또는 사용자 클래스가 사용할 수 있는, 잠재적으로 사용 가능한 민감도 레이블 집합입니다. 레이블 범위는 최대 레이블과 최소 레이블 사이에 있는 레이블의 모든 조합처럼 단순하지는 않으며, 레이블 인코딩 파일에는 특정 조합에 대해 자격을 부여하지 않는 규칙이 포함되어 있을 수 있습니다. 레이블은 범주에 포함될 수 있도록 형식이 잘 구성되어 있어야 합니다. 즉 레이블 인코딩 파일에 있는 모든 적용 가능한 규칙에 따라 허용되어야 합니다. 반면 클리어런스의 형식은 레이블처럼 잘 구성될 필요는 없습니다. 예를 들어, 레이블 인코딩 파일이 민감도 레이블에 구획 A, B 및 C의 조합을 허용하지 않는다고 가정하면, TS A B C는 유효 클리어런스일 수는 있지만 유효 민감도 레이블은 될 수 없습니다. 클리어런스는 TS A, TS B 및 TS C로 레이블된 파일에 대해 액세스를 허용합니다.
관리 레이블
Trusted Solaris는 ADMIN_HIGH 및 ADMIN_LOW라는 두 개의 특수 관리 레이블을 제공하는데, 이들 레이블은 민감도 레이블, 정보 레이블 및 클리어런스로 사용됩니다. 필요한 경우 label_encodings 파일에서 이 두 레이블의 이름을 변경할 수 있습니다. 이들 레이블은 일반 사용자가 아닌 관리자를 위한 것입니다.
ADMIN_HIGH는 시스템에서 민감도가 가장 높은 레이블이며, 관리 데이터베이스나 감사 내역과 같은 시스템 데이터가 노출되는 것을 방지합니다. 일반적으로 관리 역할을 수행하는 경우에는 ADMIN_HIGH에서 작업하거나 또는 현재 민감도 레이블에서 읽을 수 있는 특권으로 ADMIN_HIGH로 레이블 표시된 데이터를 읽을 수 있어야 합니다.
ADMIN_LOW는 시스템에서 가장 낮은 민감도 레이블입니다. 강제 액세스 제어는 해당 사용자가 민감도 레이블보다 낮은 민감도 레이블로 파일에 데이터 쓰기를 허용하지 않습니다. 따라서 파일에 가장 낮은 민감도 레이블인 ADMIN_LOW를 적용시키면 일반 사용자들은 파일을 읽을 수는 있지만 쓸 수는 없습니다. ADMIN_LOW는 일반적으로 공용 실행 파일과 구성 파일을 보호하는 것으로서, 파일이 수정되는 것을 방지합니다. ADMIN_LOW에서 작업하는 사용자나 또는 쓰기 특권을 가진 사용자만이 파일에 쓸 수 있기 때문입니다.
인가 범위
인가 범위는 사용자 클래스에 대한 레이블 범위입니다. 이 범위는 조직의 보안 정책의 일부로서 보안 관리자가 승인합니다. label_encodings 파일에서 정의된 인가 범위에는 다음의 두 가지가 있습니다.
-
시스템 인가 범위
-
사용자 인가 범위
시스템 인가 범위
시스템 인가 범위는 관리자를 위한, 잠재적으로 사용할 수 있는 민감도 레이블 및 정보 레이블의 완전한 집합입니다. 시스템 인가 범위에는 ADMIN_HIGH 및 ADMIN_LOW가 포함되며 label_encodings 파일의 규칙에 의해 제한됩니다. 시스템 인가 범위의 규칙에 따라 시스템에 허가될 가능성이 전혀 없는 레이블 조합에는 자격이 부여되지 않습니다.
다음 그림은 시스템 인가 범위에서 허용된 레이블에 대해 규칙이 어떻게 적용되는지 보여주는 예제입니다.
그림 1-1 (a)는 분류 등급 TS(TOP SECRET), S(SECRET) 및 C(CONFIDENTIAL)와 구획 A 및 B로 만들 수 있는 모든 조합을 나타냅니다.
그림 1-1 (b)는 label_encodings 파일의 REQUIRED COMBINATIONS 섹션의 일반적 규칙 및 효과를 나타냅니다. 화살표는 규칙에 의해 자격이 부여되지 않은 레이블을 가리키고 있으며 이들 레이블에는 선이 그어져 있습니다. 구문 B A는 B를 구획으로 가진 레이블은 모두 A를 포함해야 함을 의미합니다. 반대의 경우는 적용되지 않습니다. 구획 A는 다른 구획과 조합할 필요가 없기 때문입니다. 구획 B는 A와 조합할 수 있으므로 TS B, S B 및 C B 레이블은 형식이 잘 구성되지 않습니다. 따라서 이들은 시스템 인가 범위를 벗어납니다.
그림 1-1 시스템 인가 범위가 규칙에 의해 제약을 받는 방식
사용자 인가 범위
사용자 인가 범위는 단일 사용자가 액세스 가능한 최대 레이블 집합(시스템 인가 범위에서)입니다. 이 범위는 시스템 인가 범위의 일부로서 ADMIN_HIGH 및 ADMIN_LOW가 제외되며 label_encodings 파일의 ACCREDITAION RANGE 부분에 있는 규칙 집합의 제약을 받습니다. 사용자 인가 범위에 대한 규칙에 따라 관리자에게만 허가된 레이블 조합에 대한 자격이 부여되지 않습니다. 다음 그림의 사용자 인가 범위는 ACCREDITATION RANGE 섹션에 설명된 3개의 규칙 유형과 이들 유형이 사용자 인가 범위에 가진 효과를 나타내는 예제의 연장입니다. 화살표는 특정 규칙에 의해 허용된 양호한 형식 구성 상태의 레이블을 가리킵니다.
그림 1-2 label_encodings 파일의 ACCREDITATION RANGE 부분
위의 그림과 같이 사용자 인가 범위에는 ADMIN_HIGH 및 ADMIN_LOW가 제외됩니다. 여기에는 TS B를 제외한 위에서 언급한 REQUIRED COMBINATION 규칙 B A에 의해 배제된(같은 이유로 인해 S B 및 C B는 허용되지 않음) 모든 TS 조합이 포함됩니다. S A B가 S 분류 등급을 위한 유일한 유효 조합입니다. C A를 제외한 모든 C 조합이 유효합니다(C B는 이미 배제되었음을 상기하십시오).
label_encodings 파일의 다른 제약 조건
label_encodings 파일은 사용자가 사용할 수 있는 레이블에 대해 제약 조건을 추가로 부과합니다. 최소 클리어런스는 관리자가 사용자에게 할당할 수 있는 최저의 기본 클리어런스를 정의합니다. (인가) 최소 민감도 레이블은 Trusted Solaris 세션 동안 관리자가 사용자에게 할당하여 작동하도록 할 수 있는 양호한 형식의 최저 민감도 레이블입니다(이 최소 민감도 레이블은 시스템 전체에 적용되므로 개별 계정에 할당되는 최소 민감도 레이블과 혼동하면 안됩니다). 항상 그런 것은 아니지만 최소 클리어런스와 최소 민감도 레이블은 대개 동일한 값으로 설정됩니다. 또한 label_encodings 파일에는 다른 필요한 레이블 조합 및 제약 조건에 관련된 규칙이 수록됩니다.
계정 레이블 범위
계정 레이블 범위는 개별 사용자 또는 역할이 사용할 수 있는 효과적 범위의 민감도 레벨이며, 사용자가 처음 로그인할 때 세션 민감도 레이블 및 클리어런스 대화 상자에서의 레이블 선택을 결정합니다(Trusted Solaris 사용 설명서의 제2장, "Trusted Solaris 환경 액세스 및 종료"에서 "세션 레벨 설정" 참조). 계정 레이블 범위에서 사용할 수 있는 레이블은 다음을 나타내는 함수입니다.
-
사용자 인가 범위의 정의 - 사용자는 사용자 인가 범위에서 자격이 부여되지 않은 민감도 레이블을 사용할 수 없습니다.
-
label_encodings 파일의 (인가) 최소 민감도 레이블 - 사용자에게 할당할 수 있는 민감도 레이블의 절대 최소값을 정의합니다.
-
tsoluser 데이터베이스의 사용자 클리어런스 - 계정 레이블 범위의 상한을 정의합니다.
주 -tsoluser 데이터베이스에는 사용자 및 역할의 보안 속성이 수록되며 관리자가 사용자 관리자(User Manager)를 사용하여 편집합니다.
-
tsoluser 데이터베이스의 (계정) 최소 민감도 레이블 - 계정 범위의 하한을 설정합니다. 단, label_encodings 파일의 (인가) 최소 민감도 레이블에 의해 무시되는 경우는 예외로 합니다.
계정 레이블 범위는 사용자 인가 범위의 일부로서 label_encodings 파일의 최소 민감도 레이블에 의한 제약을 받습니다. 다음 그림에 이전 절의 인가 예제에 기초한 계정 레이블 범위가 예시됩니다.
그림 1-3 계정 레이블 범위에 대한 제약 조건
이 예제의 사용자에게는 상한에서는 사용자 클리어런스인 TS A B의 제약을 받으며 하한에서는 (계정) 최소 민감도 레이블인 C의 제약을 받는 계정 범위가 있습니다. 이렇게 정의된 결과로서 사용자는 TS A B, TS A, TS 또는 S A B에서 로그인하도록 제약됩니다. 사용자 (계정) 최소 민감도 레이블은 C로서 C는 label_encoding 파일의 최소 민감도 레이블과 일치합니다. 이들 최소값이 다른 경우, 두 최소값 중 높은 것이 계정 범위의 하한을 설정합니다.
주 -
사용자 클리어런스를 사용자 (계정) 최소 민감도 레이블과 동일하게 설정하면 관리자는 효과적으로 사용자가 이 민감도 레이블에서 단일 레이블 세션을 하도록 할 수 있습니다.
세션 범위
세션 범위는 Trusted Solaris 세션 중 사용자가 사용할 수 있는 민감도 레이블 집합입니다. 이 범위는 다음과 같은 내용의 함수입니다.
-
사용자 계정 레이블 범위
-
사용자의 세션 모드 선택(단일 레이블 또는 다중 레이블)
-
세션 민감도 레이블 대화 상자(단일 레이블 세션의 경우) 또는 클리어런스 대화 상자(다중 레이블 세션의 경우)에 사용자가 입력하는 값
-
사용자 워크스테이션에 대한 레이블 범위
클리어런스 대화 상자에 나타나는 세션 클리어런스는 사용자 클리어런스로부터 (인가) 최소 클리어런스 및 (계정) 최소 보안 레이블 중 높은 레이블에 이르기까지 다양하며 이는 label_encodings 파일의 클리어런스 규칙 정의의 추가 조합이나 제약 조건에 따라 결정됩니다. 단일 레이블 세션을 선택하는 경우 사용자는 동일한 범위의 레이블로부터 선택이 가능하지만 이 역시 label_encodings 파일의 민감도 규칙 정의의 필요한 조합이나 제약 조건의 적용에 따라 결정됩니다.
주 -
로그인 장치에 범위를 부여할 수도 있습니다. device_allocate 파일에서 최소 민감도 레이블 및 최소 민감도 레이블을 지정하면 됩니다. 자세한 설명은 "Trusted Solaris에서 장치 액세스를 제어하는 방법"을 참조하십시오.
한 예제로서, 사용자는 그림 1-3의 S A B와 TS A B 사이에서 양호한 형식의 레이블을 사용하여 세션 클리어런스를 지정할 수 있습니다. 사용자 클리어런스가 최소 클리어런스를 지배하지 않는 경우 사용자는 로그인할 수 없습니다. 사용자의 (계정) 최소 민감도 레이블이 (인가) 최소 민감도 레이블보다 낮을 경우 (인가) 최소 민감도 레이블이 세션 범위의 하한을 정의합니다.
그림 1-4 (a)는 사용자가 S A B 세션 클리어런스로 다중 레이블 세션을 선택한 경우, 사용할 수 있는 민감도 레이블 범위를 나타내고 있는 예제의 연장입니다. S A B 및 C 사이에 다른 잠재 레이블이 허용되지 않았기 때문에 사용자는 효과적으로 S A B, C A B 또는 C에서만 작업할 수 있습니다.
그림 1-4 (b)는 사용자가 C A B 세션 민감도 레이블로 단일 레이블 세션을 선택한 경우의 레이블 범위를 보여줍니다. C A B는 최소 클리어런스 미만이지만 사용자가 클러어런스가 아닌 세션 민감도 레이블을 선택하기 때문에 C A B에 액세스할 수 있습니다. 이 세션은 단일 레이블 세션이므로 사용자는 한 레이블에서만 작업할 수 있습니다. 이 예제에서 S A B 또는 C가 선택할 수 있었지만 사용자는 C A B를 지정했습니다.
그림 1-4 세션 범위 비교
다음 그림은 이 예제에서 사용 가능한 민감도 레이블을 점진적으로 제거하는 것을 요약하여 보여줍니다. 레이블이 필터링되어 후속 범위에서는 나타나지 않는 범위에서 제거된 민감도 레이블에는 선이 그어져 있습니다.
그림 1-5 제약 조건이 세션 범위에 미치는 누적 효과
Trusted Solaris 세션에서의 레이블 가용성
표 1-2는 사용자가 선택한 세션에 기초한 세션 레이블의 한계 및 가용성을 나타내며 앞의 예제의 연장입니다. 왼쪽 열은 세션에서 사용되는 레이블 설정 유형입니다. 중간의 두 개 열은 다중 레벨 세션에, 그리고 오른쪽의 두 개 열은 단일 레벨 세션에 적용됩니다. General Case라는 레이블이 표시된 열은 레이블 유형의 결정 방식을 나타냅니다. Example이라고 표시된 열은 로그인할 때 사용자의 일반적인 세션 선택을 나타냅니다.
표 1-2 Trusted Solaris 세션의 레이블|
|
다중 레벨 세션 |
단일 레벨 세션 |
||
|---|---|---|---|---|
|
|
일반 사례 |
1번 예제: [SECRET A B] 클리어런스를 가진 다중 레벨 |
일반 사례 |
2번 예제: [SECRET A B] 세션 민감도 레이블을 가진 단일 레벨 |
|
초기 작업 공간 SL |
계정 레이블 범위의 최저 민감도 레이블 |
[CONFIDENTIAL] |
사용자가 지정한 세션 민감도 레이블 |
[SECRET A B] |
|
가용 작업 공간 SL |
세션 클리어런스까지 계정 레이블 범위의 모든 민감도 레이블 |
[CONFIDENTIAL] [CONFIDENTIAL A B] [SECRET A B] |
사용자가 지정한 세션 민감도 레이블 |
[SECRET A B] |
1번 예제에서 초기 작업 공간은 [CONFIDENTIAL]이며, 민감도 레이블은 사용자 계정 레이블 범위의 하한으로 설정됩니다. 사용자는 [CONFIDENTIAL], [CONFIDENTIAL A B] 또는 [SECRET A B]의 민감도 레이블에서 작업할 수 있습니다.(사용자는 작업 공간의 민감도 레이블을 변경하고 버튼을 눌러 민감도 레이블을 전환합니다).
2번 예제에서 사용자의 초기 작업 공간 SL은 [SECRET A B]입니다. 이것은 단일 레벨 세션이기 때문에 [SECRET A B]만을 유일한 작업 공간 SL로 사용할 수 있습니다.
인쇄 출력에 레이블 적용
관리자는 자동으로 민감도 레이블, 정보 레이블 및 취급 정보를 프린터로 출력할 뿐 아니라 기타 보안 기능을 인쇄할 수 있도록 구성할 수 있습니다. 다음 그림은 전형적인 배너 페이지를 보여줍니다. Trusted Solaris의 인쇄 구성에 대한 자세한 설명은 Trusted Solaris Administrator's Procedures의 "Managing Printing" 및 Trusted Solaris Label Administration을 참조하십시오.
그림 1-6 전형적인 인쇄 배너 페이지
단일 레벨 디렉토리 및 다중 레벨 디렉토리 이해
파일이 여러 가지 레이블과 부주의하게 혼합되는 것을 방지하기 위하여 Trusted Solaris 환경은 다중 레벨 디렉토리 및 단일 레벨 디렉토리라는 두 개의 특수 디렉토리 유형을 제공합니다.
다중 레벨 디렉토리(MLD)
다중 레벨 디렉토리(MLD)는 파일 및 디렉토리를 다른 민감도 레이블과 함께 투명하게 저장하는 기능을 가진 디렉토리입니다.
다중 레벨 디렉토리는 디렉토리 이름의 시작에 첨부되어 있는 숨겨진 문자열인 ".MLD." (장식이라 함)를 가지고 있습니다. 장식은 표준 UNIX 명령으로는 볼 수 없으며 특수 장식 명령(표 1-3 참조)으로 볼 수 있습니다.
단일 레벨 디렉토리(SLD)
단일 레벨 디렉토리(SLD)는 숨겨져 있는 디렉토리로서 동일한 민감도 레이블만을 가진 파일과 디렉토리를 저장합니다. 파일이나 디렉토리를 다중 레벨 디렉토리로 생성하거나 이동하면 새로운 파일이나 디렉토리는 민감도 레이블에 해당하는 단일 레벨 디렉토리에 자동으로 저장됩니다. 민감도 레이블에 해당하는 단일 레벨 디렉토리가 존재하지 않는 경우, 환경이 자동으로 단일 레벨 디렉토리를 생성합니다.
단일 레벨 디렉토리의 장식은 ".SLD."라는 문자열입니다. 단일 레벨 디렉토리는 .SLD.0, SLD.1 등으로 생성 순서에 의해 이름이 지정됩니다. 이 디렉토리를 보려면 일반적으로 표 1-3에 설명된 특수 명령을 사용해야 합니다.
단일 레벨 디렉토리의 내용 보기
사용자는 경로에 장식을 명시적으로 지정하면 숨겨진 디렉토리의 내용을 볼 수 있습니다. 예를 들어, 사용자는 TOP SECRET A B 민감도 레이블에서 작업하는 동안 ls를 입력하여 TS A B 파일과 디렉토리에 대한 단일 레벨 디렉토리 내용을 볼 수 있습니다(그림 1-7 참조). ls /.MLD.myHomeDir/.SLD.*라고 입력하면(물론 적절한 특권이 있어야 함) 사용자는 다중 레벨 디렉토리 안에 숨겨진 모든 디렉토리를 볼 수 있습니다(그림 1-8 참조). 그림의 왼쪽에는 사용자가 입력하는 명령이 있습니다. 오른쪽은 디렉토리 구조이며, 디렉토리는 타원형으로, 파일은 직사각형으로, 볼 수 있는 항목은 굵은 선으로, 그리고 숨겨진 항목은 점선 및 보통 글꼴로 나타냅니다.
그림 1-7 디렉토리를 정상적으로 보기
그림 1-8 다중 SLD의 내용 보기
단일 및 다중 레벨 디렉토리 작업을 위한 명령
Trusted Solaris 환경은 단일 레벨 및 다중 레벨 디렉토리의 장식을 보기 위한 특수 명령을 제공합니다. 다음 페이지의 테이블은 이 명령들을 설명합니다.
표 1-3 장식 명령|
명령 이름 |
설명 |
|---|---|
|
adornfc(1) 명령을 사용하면 디렉토리가 여러 단계인지 아니면 한 단계인지 식별하는 데 사용되는 문자열(.MLD. 또는 .SLD.)을 마지막 구성 요소로 사용해서 특정 디렉토리 경로 이름을 표시할 수 있습니다. |
|
|
getmldadorn(1) 명령을 사용하면 지정된 경로 이름이 어느 파일 시스템에 있는지 MLD를 덧붙여 표시할 수 있습니다. |
|
|
getsldname(1) 명령을 사용하면 경로 이름에 따른 여러 단계의 디렉토리에서 현재 프로세스의 민감도 레이블과 관계있는 한 단계 디렉토리 이름을 표시할 수 있습니다. |
|
|
mldpwd(1) 명령을 사용하면 덧붙인 모든 MLD와 SLD 이름을 포함하여 현재 작업 중인 디렉토리의 경로 이름을 표시할 수 있습니다. |
|
|
mldrealpath(1) 명령을 사용하면 덧붙인 모든 MLD과 SLD 이름을 포함하여 표준 절대 경로 이름을 표시할 수 있습니다. 이 명령은 모든 기호 연결을 확장하고 특수 문자(/.와 /..)에 대한 참조와 경로 이름을 해석하여 특수 문자, 덧붙인 이름이 없이 여러 단계로 구성된 디렉토리, 숨겨진 SLD 이름 등이 없는 경로를 표시합니다. |
Trusted Software 관리 이해
표준 UNIX 시스템에서는 루트(수퍼유저)에게 모든 권한이 있으므로 모든 파일을 읽고 쓰고 모든 프로그램을 실행하며 모든 프로세스에 종료 신호를 보낼 수 있습니다. Trusted Solaris 환경에서는 루트의 시스템 보호 무시 권한이 별개의 사용 권한- 즉, 사용자에게 할당되는 인증 및 응용프로그램에게 할당되는 특권으로 분리되어 있습니다. 특권, 인증 또는 유효 UID/GID를 사용하는 응용프로그램을 트러스트 응용프로그램이라고 합니다. 다른 응용프로그램에서와 같이 트러스트 응용프로그램은 실행 프로파일이라는 번들형 체계를 통해 사용자 및 역할에 할당됩니다. 실행 프로파일에는 응용프로그램, 인증, 특권 및 유효 UID/GID가 포함될 수 있습니다. 특정 트러스트 응용프로그램을 실행하려면 인증과 특권의 권한 조합이 필요합니다.
그림 1-9 다음 그림은 사용자와 역할이 Trusted Solaris 환경에서 실행 프로파일을 사용하여 트러스트 응용프로그램에 액세스하는 방식을 나타내고 있습니다. 사용자는 직접 또는 역할을 통해 프로파일에 액세스할 수 있습니다. 프로파일에는 이름이 있으며 CDE 동작, 명령, 인증, 특권 및 유효 UID/GID 등의 조합이 일부 포함되어 있습니다. 이들 개념은 다음 절에서 더 자세히 설명합니다.
그림 1-9 Trusted Solaris에서 트러스트 응용프로그램이 할당되는 방식
실행 프로파일 이해
실행 프로파일은 개별 사용자나 역할에게 트러스트 응용프로그램과 기능을 할당하기 위한 기초 구실을 하는 번들형 체계입니다. 실행 프로파일은 다음과 같은 내용을 포함할 수 있습니다.
-
다음을 사용한 명령
-
지정된 상속 가능 특권
-
최대 및 최소 민감도 레이블에 의해 정의된 레이블 범위
-
유효 UID 및 GID
실행 프로파일의 주 목적은 특권, 유효 UID/GID 또는 두 가지 모두를 행사하는 인증 및 응용프로그램을 확인하여 필요로 하는 사용자만이 액세스할 수 있도록 하는 데 있습니다. 프로파일 관리자라는 도구를 사용하여 프로파일을 편집합니다("프로파일 관리자 사용" 참조).
-
Trusted Solaris에서 사용할 수 있는 프로파일
Trusted Solaris는 아래 표에 수록된 실행 프로파일을 제공합니다. 이 표에는 네 가지 기본값 역할에 대한 할당도 수록됩니다.
표 1-4 기본 역할에 대한 할당이 있는 실행 프로파일|
프로파일 이름 |
목적 |
보안 관리 |
시스템 관리 |
시스템 운영 |
루트 |
|---|---|---|---|---|---|
|
모든 실행 가능 항목에 액세스할 수 있지만 특권은 없습니다. |
|
|
|
Y |
|
|
All Actions |
모든 실행 항목에 액세스할 수 있지만 특권은 없습니다. |
|
|
|
|
|
모든 인증을 제공합니다. 시험용 |
|
|
|
|
|
|
All Commands |
모든 명령에 액세스할 수 있지만 특권은 없습니다. |
|
|
|
|
|
감사 하위 시스템 관리용이지만 파일을 읽을 수는 없습니다. |
Y |
|
|
|
|
|
감사 내역 읽기 |
|
Y |
|
|
|
|
필요한 특권을 사용하여 프론트 패널의 응용프로그램에 액세스할 수 있습니다. |
Y |
Y |
Y |
Y |
|
|
모든 역할에 필요한 기본 명령에 액세스할 수 있습니다. |
Y |
Y |
Y |
Y |
|
|
boot |
시스템 시작 및 종료 |
|
|
|
|
|
일반 사용자에게 인증을 제공합니다. |
|
|
|
|
|
|
크론 작업에 필요한 명령을 제공합니다. |
|
|
|
Y |
|
|
크론 및 작업 관리 |
|
Y |
|
|
|
|
관리 역할을 위한 크론 및 작업 관리 |
Y |
|
|
|
|
|
비어 있는 프로파일이며, 기본 Admin 역할에 보안 속성을 추가합니다. |
|
Y |
|
|
|
|
비어 있는 프로파일이며, 기본 Oper 역할에 보안 속성을 추가합니다. |
|
|
Y |
|
|
|
비어 있는 프로파일이며, 기본 Root 역할에 보안 속성을 추가합니다. |
|
|
|
Y |
|
|
비어 있는 프로파일이며, 기본 Secadmin 역할에 보안 속성을 추가합니다. |
Y |
|
|
|
|
|
Device Management |
장치를 할당 및 해제하고 오류 조건을 수정합니다. |
|
Y |
|
Y |
|
장치의 관리 및 구성 |
Y |
|
|
|
|
|
dtwm |
윈도우 관리자 사용 |
|
|
|
|
|
부팅 후 관리자와 다른 사용자가 로그인할 수 있는 인증을 제공합니다. |
|
Y |
|
|
|
|
파일 시스템 관리 |
|
Y |
|
Y |
|
|
파일 시스템 레이블 및 기타 보안 속성 관리 |
Y |
|
|
|
|
|
inetd |
inetd 대몬에 의해 실행되는 프로그램 |
|
|
|
|
|
우편 전송의 구성, 별명의 구성 및 우편 대기열 점검 |
|
Y |
|
|
|
|
시스템의 유지보수 또는 수리에 필요한 명령을 제공합니다. |
|
Y |
|
|
|
|
파일을 백업합니다. |
|
|
Y |
|
|
|
백업된 파일을 복원합니다. |
|
Y |
|
|
|
|
호스트 및 네트워크 구성 관리 |
|
Y |
|
Y |
|
|
Network Security |
트러스트 네트워크 데이터베이스 수정을 위한 인증으로 네트워크 및 호스트 보안 관리 |
Y |
|
|
Y |
|
보안에 관련하지 않은 NIS+ 스크립트/명령에 액세스할 수 있습니다. |
|
Y |
|
|
|
|
NIS+ 보안 관련 스크립트/명령에 액세스할 수 있습니다. |
Y |
|
|
Y |
|
|
파일에 대한 소유권 및 허용 변경 |
Y |
|
|
|
|
|
파일의 레이블 변경 및 전체 시스템에 있는 레이블 설정 |
Y |
|
|
|
|
|
실행 파일에 대한 특권 변경 |
Y |
|
|
|
|
|
외부 시스템 인가 범위를 운영합니다. |
Y |
Y |
Y |
Y |
|
|
프린터 장치의 관리 |
Y |
|
|
Y |
|
|
개발자들이 모든 특권을 사용하여 Bourne 쉘, Korn 쉘 및 C 쉘을 실행하게 합니다. 보안 환경용이 아닙니다. |
|
|
|
|
|
|
크론 및 작업을 포함한 현재 프로세스 관리 |
Y |
Y |
|
|
|
|
Software Installation |
응용프로그램 소프트웨어을 시스템에 추가 |
|
Y |
|
Y |
|
사용자 생성 및 수정. (보안 조치로서) 자체적으로 수정할 수는 없습니다. |
|
Y |
|
Y |
|
|
사용자 보안 속성 생성 및 수정. (보안 조치로서) 자체적으로 수정할 수는 없습니다. |
Y |
|
|
Y |
실행 프로파일의 내용은 Trusted Solaris Administror's Procedure의 부록 A "Profile Summary table "을 참조하십시오.
보완 프로파일 쌍
표 1-4를 보면 다음의 실행 프로파일 쌍들이 상호 보완적임을 알 수 있습니다. 즉, 서로가 논리적으로 관련되어 있지만 보안 목적을 위해 Trusted Solaris 환경에서는 서로 분리되어 있습니다.
-
Audit Control 및 Audit Review
-
Media Backup 및 Media Restore
-
NIS+ Administration 및 NIS+ Security Administration
-
System Management 및 System Security
-
User Management 및 User Security
실행 프로파일 재구성
관리자의 작업 중 하나는 사용 가능한 트러스트 프로그램을 확인하여 그 프로그램의 민감도 레이블 범위, 작업을 수행하는 데 필요한 특권 및 그 프로그램이 수록된 프로파일을 파악하는 일입니다. 관리자는 이 정보를 사용하여 사용자 및 역할에게 프로파일을 할당하기 위한 전략을 수립할 수 있습니다. 기본 프로파일 및 프로파일 내용에 관한 전체 목록은 tsolprof(4)나 Trusted Solaris Administrator's Procedures의 부록 A "Profiles"를 참조하십시오.
역할 재구성
사이트에서 네 개의 기본 역할을 사용하지 않는 경우, 관리자는 사용자 관리자의 프로파일 대화 상자를 사용하여 다른 역할에 프로파일을 재할당할 수 있습니다(Trusted Solaris Administrator's Procedures의 제4장 "사용자의 실행 프로파일 지정" 참조).
사용자가 실행 프로파일에서 응용프로그램에 액세스하는 방법
사용자는 프론트 패널, 응용프로그램 관리자 및 파일 관리자를 통해 프로파일의 CDE 동작에 액세스할 수 있습니다. 사용자는 사용자 및 역할 각자에 대한 프로파일의 응용프로그램으로 제한하도록 수정된 프로파일 쉘이라는 Bourne 쉘 버전을 통해 프로파일의 명령에 액세스합니다. 관리자는 사용자 관리자를 통해 사용자 또는 역할에 프로파일 쉘을 할당합니다("사용자의 실행 프로파일 지정" 참조). 프로파일 쉘은 사용자 활성화를 위해, 즉 일반 사용자는 사용할 수 없는 명령, 특권 및 인증에 대한 액세스를 사용자에게 제공하기 위해 사용되거나 또는 사용자를 제한하기 위해, 즉 사용자의 특정 명령 집합에 대한 액세스를 제한하기 위해 사용됩니다. 프로파일 쉘은 관리자가 특권이나 인증을 포함한 프로파일을 가진 역할 계정 또는 사용자를 설정할 때 필요합니다.
사용자로서 운영하거나 또는 트러스트 역할을 가정함으로써 사용자는 해당 사용자 또는 역할의 프로파일을 통해 사용할 수 있는 응용프로그램 및 보안 속성에 액세스할 수 있습니다. 두 개의 프로파일이 하나의 응용프로그램에 액세스하지만 특권 및 인증에 따라 서로 다른 기능 레벨을 통해 액세스합니다. 예를 들어, Basic 실행 프로파일에서 파일 관리자로 액세스하는 사용자에게는 별도의 특권이나 인증이 없습니다. Object Label Management 프로파일에서 파일 관리자로 액세스하는 사용자는 파일에 쓸 때 file_mac_write 특권을 행사하여 MAC 보호를 무시하거나 또는 file_dac_read 특권을 행사하여 기본 UNIX 사용 권한 없이도 파일을 읽을 수 있습니다.
역할 이해
역할은 사용자가 특정 응용프로그램과 실행에 필요한 인증 및 특권에 액세스하기 위해 일반적으로 사용되는 특수 사용자 계정입니다. 동일한 역할을 담당할 수 있는 모든 사용자는 동일한 역할 홈 디렉토리를 가지며, 동일한 환경에서 운영하고 동일한 파일에 액세스합니다. 사용자는 역할로 직접 로그인하는 것이 불가능하며 역할을 담당하기 전에 자신의 사용자 계정으로 로그인해야 합니다(이 요구 사항은 감사를 위해 사용자의 실제 UID가 기록되도록 하기 위함입니다). 각각의 역할에는 프론트 패널에서 버튼을 누르면 액세스할 수 있는 각자의 작업 공간이 있습니다. 사용자는 역할을 담당하기 전에 역할 암호를 입력하여 허가를 받아야 합니다.
관리자에게는 세 개의 사전 정의된 관리 역할 이외에도 새로운 역할을 작성해야 할 경우가 있습니다(실제로 시스템 운영자는 비관리 역할입니다). 역할을 작성하는 주요 이유는 특수 명령, 동작 및 필요한 특권을 사용할 수 있고, 일반 사용자와 구분할 필요가 있으며, 공유 홈 디렉토리, 파일 및 환경을 사용하는 명확한 작업 책임을 정의하기 위함입니다.(명령과 특권을 다른 사용자의 홈 디렉토리와 파일로부터 분리해야 하는 경우, 역할이 아닌 특수 실행 프로파일을 작성해야 합니다. "실행 프로파일 이해" 참조)
역할에는 관리 및 비관리라는 두 가지 유형이 있습니다. 관리 역할은 보안 관련 작업에 사용됩니다. 관리 역할은 시스템 관리 그룹 14에 할당된 특권 NIS+ 원칙들로서, 대부분의 관리 응용프로그램의 실행에 모두 필요한 트러스트 경로 속성을 포함하고 있는 프로세스를 시작할 수 있습니다. 비관리 역할은 보안에 관련하지 않는 작업과 공유 파일 및 디렉토리의 장점을 활용하는 작업에 사용됩니다. 소유권 순환 작업은 비관리 역할을 응용한 좋은 예입니다.
인증 이해
인증은 사용자 또는 역할이 Trusted Solaris가 금지한 작업을 수행하도록 허가하는 별도의 권한입니다. 예를 들어, 정상적인 경우 사용자는 특정 윈도우로부터 민감도 레이블이 그 특정 윈도우의 민감도 레이블에 대해 지배 관계에 있는 다른 윈도우로 정보를 붙여 넣을 수 없습니다. 업그레이드된 윈도우에 붙여넣기를 승인하면 사용자는 이러한 상황에서도 정보를 붙여 넣을 수 있습니다.
Trusted Solaris에서는 관리자가 40번 이상의 인증을 할당할 수 있습니다. 이들 인증은 아래의 표에 수록된 범주 중 하나에 속합니다.
표 1-5 인증 범주|
인증 범주 |
범주에 속한 인증의 예제 |
|---|---|
|
로그인 활성화 - 재부팅 후 사용자가 로그인을 할 수 있습니다. 원격 로그인 - 사용자가 Telnet이나 FTP 등의 프로그램을 사용하여 원격으로 로그인할 수 있습니다. |
|
|
파일 민감도 레이블의 업그레이드 - 사용자가 파일의 민감도 레이블을 업그레이드할 수 있습니다. 파일 감사 플래그의 설정 - 사용자가 파일에 대해 감사 플래그를 설정할 수 있습니다. |
|
|
장치 할당 - 사용자가 장치, 장치의 민감도 레이블 및 정보 레이블을 할당할 수 있습니다. |
|
|
다운그레이드된 윈도우에 붙여넣기 - 사용자가 다운그레이드된 윈도우로 정보를 붙여 넣을 수 있습니다. 다른 SL 작업 공간 사용 - 사용자가 응용프로그램 윈도우를 다른 민감도 레이블을 가진 작업 공간으로 이동할 수 있습니다. |
|
|
정의된 모든 레이블의 사용 - 사용자가 시스템 인가 범위에서 모든 레이블을 사용할 수 있습니다. |
|
|
끌어 놓기로 파일 내용을 우회하여 보기 - 사용자가 끌어 놓기로 파일의 내용을 볼 수 있습니다. 응용프로그램 검색 경로 설정 - 사용자가 CDE 실행 가능 동작을 위한 응용프로그램의 읽어들이기 경로를 변경할 수 있습니다. |
|
|
사용자 ID 설정 - 사용자가 사용자 ID 정보를 설정할 수 있습니다. 사용자 프로파일 설정 - 사용자가 실행 프로파일을 설정할 수 있습니다. |
전체 인증 목록은 auth_desc(4)의 온라인 참조 페이지를 참고하십시오. 인증은 "프로파일 관리자 사용"에 설명된 프로파일 관리자를 통해 실행 프로파일에 할당됩니다.
특권 이해
특권은 Trusted Solaris가 금지한 작업을 프로세스가 수행하도록 허가하는 권한입니다. 예를 들어 정상적인 경우 프로세스는 적절한 파일 사용 권한이 없으면 데이터 파일을 열 수 없습니다. Trusted Solaris 환경에서, file_dac_read 특권은 파일을 읽기 위해 UNIX 파일 사용 권한에 우선하는 기능을 프로세스에 부여합니다.
Trusted Solaris는 응용프로그램의 실행 파일에 할당된 특권 및 응용프로그램 프로세스나 상위 프로세스에 관련된 특권에 기초하여 프로세스가 행사할 수 있는 특권을 결정합니다. 응용프로그램이 특권을 사용하게 만들려면 관리자는 사용자가 응용프로그램을 사용하는 방법에 따라 다음 특권 중 두 개 집합 이상을 할당해야 합니다.
-
허용 집합 - 응용프로그램의 실행 파일과 관련이 있습니다. 허용 특권은 다른 조건을 충족시킨다는 조건 하에서 응용프로그램과 함께 사용될 수 있는 특권입니다("프로세스는 특권을 획득하는 방법" 참조). 허용 집합은 가장 일반적인 인수로서, 프로세스의 특권 행사 여부를 결정합니다. 허용 특권 집합에서 특권을 제외한다는 것은 이 응용프로그램으로는 어떤 사용자도 이 특권을 행사할 수 없음을 의미합니다. 관리자는 파일 관리자 또는 setfpriv 명령 중 하나를 사용하여 허용 특권을 지정할 수 있습니다. getfpriv 명령을 사용하면 현재 허용 집합에 있는 특권을 볼 수 있습니다.
-
강제 집합 - 응용프로그램의 실행 파일과 관련이 있습니다. 강제 특권은 응용프로그램이 액세스가 허용된 사용자에 의해 실행될 때 조건 없이 활성화되는 특권입니다. 관리자는 파일 관리자 또는 setfpriv를 사용하여 강제 특권을 지정하며 그 방식은 허용 특권과 유사합니다. 허용 집합에 없는 경우 특권을 강제 집합에 추가할 수 없음을 유의하십시오.
-
상속 집합 - 응용프로그램 프로세스와 관련이 있으며, 상위 프로세스에서 상속된 실행 프로파일 및 특권에 있어 응용프로그램에 할당되는 특권들의 조합입니다. 상속 가능한 특권은 프로세스가 시작될 때 활성화되는 특권입니다(단, 그 특권이 응용프로그램의 허용 집합에도 있는 경우). 관리자는 프로파일 관리자를 통해 프로세스의 상속 집합에 특권을 직접 할당할 수 있습니다. 또한 프로세스는 상위 프로세스로부터 상속 가능한 특권을 획득할 수 있습니다. 상위 프로세스가 exec를 사용하여 하위 프로세스를 시작하는 경우, 하위 프로세스의 허용 집합은 상속받을 수 있는 특권을 제한합니다.
주 -하위 프로세스는 강제 특권을 상속하지 않습니다. 단, Trusted Solaris 환경으로 특정 기능을 가지도록 사용자가 특별히 정의한 응용프로그램은 예외입니다.
프로세스는 특권을 획득하는 방법
프로세스는 다음 조건을 충족하는 경우 특권을 행사할 수 있습니다.
-
특권은 실행 파일(또는 스크립트 해석기)의 허용 특권 집합에 포함되어야 합니다.
-
응용프로그램에 액세스하는 사용자가 이 특권을 행사해야 할 경우 실행 파일의 강제 특권 집합에 특권이 포함되어야 합니다.
-
특정 실행 프로파일을 가진 사용자나 역할만 이 특권을 행사할 경우 실행 프로파일의 상속 가능한 특권 집합 또는 응용프로그램을 시작할 수 있는 상위 프로세스의 상속 가능한 특권 집합에 특권이 포함되어야 합니다.
Trusted Solaris에서 제공하는 기본 특권
Trusted Solaris는 보안 정책에 우선하여 응용프로그램에 적용할 수 있는 80 가지 이상의 특권을 제공합니다. 전체 특권 목록은 priv_desc(4)온라인 참조 페이지를 참조하십시오. 각 특권들은 아래 표에 표시된 범주별로 분류됩니다.
표 1-6 특권 범주|
특권 범주 |
요약 |
범주에 속한 특권 예제 |
|---|---|---|
|
사용자와 그룹 ID에 대한 파일 시스템 제한, 액세스 권한, 레이블 설정, 소유권 및 파일 특권 집합을 무시합니다. |
file_dac_chown - 프로세스가 파일의 소유권 사용자를 변경합니다. |
|
|
메시지 대기열, 신호 장치 집합 또는 공유 메모리 영역에 대한 제한을 무시합니다. |
ipc_dac_read - 사용 권한 비트나 ACL로 인해 허용을 읽지 못하는 경우, 프로세스가 System V IPC 메시지 대기열, 신호 장치 집합 또는 공유 메모리 역역을 읽을 수 있습니다. |
|
|
예약된 포트 바인딩이나 다중 레벨 포트 바인딩, 브로드캐스트 메시지 전송 또는 보안 속성(레이블, 메시지의 특권 또는 네트워크 종단점 기본값 등의) 지정에 대한 제한을 무시합니다. |
net_broadcast - 프로세스가 지정된 네트워크에서 브로드캐스트 패킷을 전송합니다. |
|
|
감사, 레이블 설정, 위장 채널 지연, 소유권, 클리어런스, 사용자 ID 또는 그룹 ID에 대한 제한을 무시합니다. |
proc_mac_read - 프로세스의 민감도 레이블을 읽는 것이 다른 프로세스의 민감도 레이블에 의해 지배되는 경우 프로세스가 다른 프로세스를 읽습니다. |
|
|
감사, 워크스테이션 부팅, 워크스테이션 구성 관리, 콘솔 출력 방향 재조정, 장치 관리, 파일 시스템, 디렉토리에 하드 링크 생성, 메시지 대기열 크기 증가, 프로세스 수 증가, 워크스테이션 네트워크 구성, 제삼자의 읽어들일 수 있는 모듈 또는 레이블 변환 등에 대한 제한을 무시합니다. |
sys_boot - 프로세스가 Trusted Solaris 워크스테이션을 정지 또는 재부팅합니다. |
|
|
색상 맵, 윈도우에 읽기와 쓰기, 입력 장치, 레이블 설정, 글꼴 경로, 윈도우 이동, X 서버 자원 관리 또는 DGA(직접 그래픽 액세스) X 프로토콜 확장 등에 대한 제한을 무시합니다. |
win_selection - 선택 중재자의 개입 없이 프로세스가 윈도우 사이의 데이터 이동을 요청할 수 있습니다. |
허용 특권 및 강제 특권 할당
관리자는 파일 관리자를 통해 실행 파일에 허용 특권 및 강제 특권을 할당합니다. 대개의 경우, 관리자는 허용 집합에 모든 특권을 포함시키고 있습니다. 이 응용프로그램에 행사할 수 없는 특권이 있는 경우 그러한 특권을 허용 집합에서 제외하십시오. 일반적으로 관리자는 해당 응용프로그램에 필수적일 때만 강제 특권을 사용합니다. 허용되었지만 강제되지 않는 특권은 프로세스의 상속 집합에 동일한 특권이 있는 경우에만 사용할 수 있습니다.
파일 관리자(File Manager) 팝업 메뉴의 특권 변경(Change Privileges)을 선택하면 해당 응용프로그램 아이콘에 대한 파일 관리자 특권(File Manager Privileges) 대화 상자가 나타납니다(다음 그림 참조). 특권 대화 상자는 실행 파일의 경로, 소유자, 그룹 및 파일 유형(실행 파일 또는 스크립트)을 식별하고 관리자가 특권 집합의 유형(허용 특권 또는 강제 특권)을 선택하게 하며, 제외(Excluded) 집합으로 특권을 이동하고, 그 집합으로부터 특권을 이동하기 위해 사용되는 두 개의 목록 필드를 제공합니다. 설명(Description) 필드는 선택한 특권을 설명합니다. 관리자는 세 개의 선택 제어를 사용하여 전체 특권 그룹을 지정할 수 있습니다.
그림 1-10 파일에 특권 할당
상속 가능한 특권 할당
관리자는 프로파일 관리자를 사용하여 상속 가능한 특권을 실행 프로파일 내의 CDE 동작 및 명령에 할당합니다. 프로파일에 있는 응용프로그램의 상속 집합 특권은, 그 특권이 해당 실행 파일에 대한 허용 집합에서 허용된 경우에만 사용할 수 있습니다. 응용프로그램 프로세스는 다른 상속 가능한 특권과 함께 이 특권을, 응용프로그램이 분기하는 하위 프로세스에 상속할 수 있습니다.
주 -
다른 상속 가능한 특권 집합을 가진 다른 프로파일에 의해 동일한 응용프로그램이 포함될 수 있습니다.
특권 가용성의 예제
다음 표는 프로세스에 특권을 사용하는 방법을 나타냅니다. 이 표는 가정 응용프로그램에 대한 허용 특권 집합(A = 허용함, N = 허용하지 않음), 강제 특권 집합(F 표시) 및 상속 가능한 특권 집합(I 표시)을 나타냅니다.
표 1-7 응용프로그램 예제에 대한 특권 집합|
특권 |
허용 |
강제 |
상속 |
|---|---|---|---|
|
N |
|
I |
|
|
file_upgrade_sl |
N |
|
I |
|
A |
F |
I |
|
|
win_fontpath |
A |
F |
I |
|
win_colormap |
A |
F |
I |
|
A |
|
I |
|
|
file_dac_read |
A |
|
I |
|
A |
|
|
|
|
file_dac_execute |
A |
|
|
예제의 해석 방법은 다음과 같습니다.
-
허용 집합 - 허용 집합에 없는 특권은 사용할 수 없습니다(예: file_mac_write 및 file_upgrade_sl). 이렇게 하면 특권이 부주의하게 사용되는 것을 효과적으로 방지할 수 있습니다. 허용은 되지만 강제되지 않은 특권은 해당 응용프로그램에 대한 프로파일의 상속 가능한 특권 집합에 포함되어 있는 경우에만 사용할 수 있습니다(file_dac_search 및 file_dac_read). 허용되지만 강제 또는 상속되지 않은 특권은 사용할 수 없습니다(예: file_chown 및 file_dac_execute).
-
강제 집합 - 응용프로그램을 실행할 수 있는 사용자는 강제되는 특권을 조건 없이 사용할 수 있습니다. 특권은 허용되지 않은 상태에서 강제될 수 없기 때문입니다(win_dga, win_fontpath 및 win_colormap는 강제된 것입니다).
-
상속 집합 - 상속 가능한 특권은 할당을 통해 실행 프로파일에 포함됩니다. file_chown 및 file_dac_execute을 제외한 모든 특권이 상속으로서 나타남에 유의하십시오. 상속된다고 모두 사용할 수 있는 것은 아닙니다. 상속은 되지만 허용되지 않은 특권은 사용할 수 없습니다.(예: file_mac_write 및 file_upgrade_sl).
Trusted Solaris에서 장치 액세스를 제어하는 방법
장치는 Trusted Solaris 시스템으로 데이터를 가져오거나 내보내기 위한 수단이 되기 때문에 적절하게 제어하여 데이터를 보호할 수 있어야 합니다.(장치는 Trusted Solaris 시스템에 연결된 물리적 주변 기기일 수도 있고 또는 의사 장치라 불리는 소프트웨어 시뮬레이션 장치일 수도 있습니다.) Trusted Solaris를 사용하면 관리자는 장치 할당 및 장치 레이블 범위에서 장치를 통해 흐르는 데이터를 제어할 수 있습니다.
장치 할당에 관련한 도구 설명은 "장치와 드라이버"를 참조하십시오.
장치 할당
장치 할당은 가져오고 내보낼 때 데이터를 제어하는 수단이 되며 승인되지 않은 사용자가 정보에 액세스하는 것을 방지합니다. Trusted Solaris 시스템에서 관리자는 각각의 사용자가 데이터를 가져오거나 내보내기 위해 어떤 장치를 사용할 수 있는지 결정한 다음, 그러한 장치를 할당 가능하도록 설정합니다. 그런 다음 관리자는 장치 할당에 필요한 인증을 선택된 사용자에게 할당합니다. 장치를 사용할 수 있도록 허가된 사용자는 장치를 할당한 후 장치를 사용해야 하고 작업을 마치면 장치의 할당을 해제해야 합니다. 장치의 할당 및 할당 해제를 통해 사용자는 장치를 독점적으로 사용할 수 있습니다.
장치 레이블 범위
각 할당 장치에는 관리자가 할당하는 민감도 레이블 범위가 있습니다. 할당 장치를 사용하려면 사용자는 장치의 레이블 범위 안에 있는 프로세스 민감도 레이블에 현재 위치하고 있어야 합니다. 그렇지 않으면 할당이 거부됩니다. 장치가 사용자에게 할당된 동안 가져오거나 내보낸 데이터에 사용자의 프로세스 민감도 레이블이 적용됩니다. 장치가 할당 해제되면 내보낸 데이터의 민감도 레이블 및 정보 레이블이 표시되므로, 사용자는 내보낸 데이터를 포함하는 매체에 대해 물리적으로 레이블을 설정할 수 있습니다.
레이블 범위를 가진 장치로는 프레임 버퍼, 테이프 장치, 디스켓과 CD-ROM 드라이브 및 프린터 등이 있습니다.
장치 관리의 자세한 설명은 "장치와 드라이버"를 참조하십시오.
- © 2010, Oracle Corporation and/or its affiliates