처리 권한 관리

이 기능은 Software Express 파일럿 프로그램의 새로운 기능입니다. 이 기능은 Solaris 10 3/05 릴리스에 포함되어 있습니다.

Solaris 소프트웨어에서 이전에 수퍼유저 권한이 필요했던 관리 작업은 이제 처리 권한 관리에 의하여 보호됩니다. 처리 권한 관리는 권한을 사용하여 명령, 사용자, 역할 또는 시스템 수준에서 프로세스를 제한합니다. 권한은 프로세스가 작업을 수행할 때 필요한 고유한 권한입니다. 시스템은 현재 작업을 수행하는 데 필요한 권한으로 프로세스를 제한합니다. 따라서 남용의 위험이 있는 root 프로세스의 수가 감소됩니다. setuid 프로그램의 수가 많이 감소되었습니다.

Software Express 릴리스 및 Solaris 10 3/05 릴리스가 설치되면 권한 향상의 면에서 이전 릴리스의 Solaris 운영 체제와 완전히 호환됩니다. root로 실행되는 수정되지 않은 프로그램에는 모든 권한이 부여됩니다.

장치 보호 – 장치는 보안 정책으로 보호됩니다. 정책은 권한으로 강화합니다. 따라서 장치 파일에 대한 권한만으로 장치의 가용도가 전적으로 결정되지는 않습니다. 장치를 작동하려면 또한 권한이 필요할 수 있습니다.

UNIX 사용 권한으로 보호되었던 시스템 인터페이스는 이제 권한으로 보호됩니다. 예를 들어 sys 그룹의 구성원은 더 이상 자동으로 /dev/ip 장치를 열도록 허용되지 않습니다. net_rawaccess 권한으로 실행되는 프로세스는 /dev/ip 장치에 액세스할 수 있습니다. 시스템이 부트되면 모든 장치로의 액세스는 부트 시퀀스 동안 devfsadm 명령이 실행될 때까지 제한됩니다. 첫 정책은 가능한 한 엄격히 적용됩니다. 정책은 수퍼유저를 제외한 모든 사용자가 연결을 시작할 수 없도록 방지합니다.

자세한 내용은 다음의 매뉴얼 페이지를 참조하십시오.

• getdevpolicy(1M)

• ppriv(1)

• add_drv(1M)

• update_drv(1M)

• rem_drv(1M)

• devfsadm(1M)

Solaris IP MIB 정보를 검색해야 하는 프로세스는 /dev/arp를 열고 "tcp" 및 "udp" 모듈을 푸시해야 합니다. 필요한 권한은 없습니다. 이 방법은 /dev/ip를 열고 “arp”, “tcp” 및 “udp” 모듈을 푸시하는 것과 같습니다. 이제 /dev/ip을 열려면 권한이 필요하므로 /dev/arp 메소드를 사용하는 것이 좋습니다.

자세한 내용은 System Administration Guide: Security Services의 다음 내용을 참조하십시오.

• “Using Roles and Privileges (Overview)”

• “Privileges (Overview)”

• “Privileges (Tasks)”