Oracle Solaris Trusted Extensions 사용자 설명서

1장 Solaris Trusted Extensions 소프트웨어 소개

이 장에서는 Trusted Extensions 소프트웨어가 Solaris 운영 체제(Solaris OS)에 추가하는 레이블 및 다른 보안 기능을 소개합니다.

Trusted Extensions 소프트웨어란?

이름과 다음 로고가 나타내는 바와 같이 Trusted Extensions는 Solaris OS의 기능을 확장합니다.

그림 1–1 CDE의 Trusted Extensions 로고

Trusted Extensions는 시스템에 특수 보안 기능을 제공합니다. 이 기능으로 조직은 Solaris 시스템에서 보안 정책을 정의하고 구현할 수 있습니다. 보안 정책은 사용자의 사이트에서 정보 및 기타 자원(예: 컴퓨터 하드웨어)을 보호하는 일련의 규칙이나 방침입니다. 일반적으로 보안 규칙은 어떤 사용자가 어떤 정보에 액세스했는지 또는 어떤 사용자가 이동식 매체에 데이터를 쓸 수 있도록 허용되었는지와 같은 문제를 처리합니다. 보안 실행은 작업을 수행하기 위해 권장되는 절차입니다.

다음 절에서는 Trusted Extensions에서 제공하는 일부 주요 보안 기능에 대해 설명합니다. 텍스트는 어떤 보안 기능을 구성할 수 있는지 나타냅니다.

Trusted Extensions 침입자로부터 시스템 보호

Trusted Extensions 소프트웨어는 침입자로부터 시스템을 보호하는 기능을 Solaris OS에 추가합니다. 또한 Trusted Extensions는 암호 보호와 같은 일부 Solaris 기능을 사용합니다. Trusted Extensions는 역할에 대한 암호 변경 GUI를 추가합니다. 감사 기능은 기본적으로 활성화됩니다.

신뢰할 수 있는 컴퓨팅 기반에 대한 액세스 제한됨

신뢰할 수 있는 컴퓨팅 기반(TCB)은 보안과 관련이 있는 이벤트를 처리하는 Trusted Extensions 소프트웨어의 일부를 말합니다. TCB에는 소프트웨어, 하드웨어, 펌웨어, 설명서 및 관리 절차가 포함됩니다. 보안 관련 파일에 액세스할 수 있는 유틸리티 및 응용 프로그램은 모두 TCB의 일부입니다. 관리자는 TCB와 함께 가질 수 있는 모든 잠재적 상호 작용에 대해 한도를 설정합니다. 이러한 상호 작용에는 작업을 수행해야 하는 프로그램, 액세스할 수 있는 파일 및 보안에 영향을 줄 수 있는 유틸리티가 포함됩니다.

필수 액세스 제어(MAC) 정보 보호

침입자가 시스템에 성공적으로 로그인할 경우 추가 장애물이 정보에 대한 액세스를 방지합니다. 파일과 기타 자원은 액세스 제어로 보호됩니다. Solaris OS에서와 같이 액세스 제어는 정보 소유자가 설정할 수 있습니다. Trusted Extensions에서 액세스는 시스템으로도 제어됩니다. 자세한 내용은 Trusted Extensions에서 제공하는 임의의 액세스 제어 및 필수 액세스 제어를 참조하십시오.

주변 장치 보호됨

Trusted Extensions에서 관리자는 테이프 드라이브, CD-ROM 드라이브, 프린터 및 마이크로폰과 같은 로컬 주변 장치에 대한 액세스를 제어합니다. 액세스는 사용자별로 부여할 수 있습니다. 소프트웨어는 다음과 같이 주변 장치에 대한 액세스를 제한합니다.

장치는 기본적으로 사용하도록 할당해야 합니다.
사용자는 이동식 매체를 제어하는 장치에 대한 액세스 권한이 있어야 합니다.
원격 사용자는 마이크로폰 또는 CD-ROM 드라이브와 같은 로컬 장치를 사용할 수 없습니다. 로컬 사용자만 장치를 할당할 수 있습니다.

사용자를 속이는 프로그램으로부터 보호됨

"스푸핑"은 위조하는 것을 의미합니다. 침입자는 가끔 로그인이나 기타 정품 프로그램을 속여 암호 또는 기타 중요한 데이터를 가로챌 수 있습니다. Trusted Extensions에서는 화면 하단에 다음과 같은 신뢰할 수 있는 기호(명확히 인식할 수 있으며 무단으로 변경할 수 없는 아이콘)를 표시하여 적대적인 스푸핑 프로그램으로부터 시스템을 보호합니다.

그림 1–2 신뢰할 수 있는 기호

이 기호는 신뢰할 수 있는 컴퓨팅 기반(TCB)과 상호 작용할 때마다 표시됩니다. 이것은 보안 관련 트랜잭션을 안전하게 수행하도록 합니다. 잠재적인 보안 유출을 나타내는 기호는 볼 수 없습니다. 다음 그림은 신뢰할 수 있는 기호를 보여 줍니다.

Trusted Extensions에서 제공하는 임의의 액세스 제어 및 필수 액세스 제어

Trusted Extensions는 임의의 액세스 제어와 필수 액세스 제어를 모두 제공하여 어떤 사용자가 어떤 정보에 액세스할 수 있는지를 제어합니다.

임의 액세스 제어

임의의 액세스 제어(DAC)는 파일 및 디렉토리에 대한 사용자의 액세스를 제어하는 소프트웨어 메커니즘입니다. DAC는 파일 및 디렉토리의 설정 보호를 소유자 임의로 남겨둡니다. DAC의 두 가지 형식은 UNIX 권한 비트와 액세스 제어 목록(ACL)입니다.

소유자는 사용 권한 비트를 사용하여 소유자, 그룹 및 기타 사용자 별로 읽기, 쓰기 및 실행 보호를 설정할 수 있습니다. 일반 UNIX 시스템에서 수퍼유저 또는 root 사용자는 DAC 보호를 대체할 수 있습니다. Trusted Extensions 소프트웨어에서 DAC 대체 기능은 관리자와 권한이 있는 사용자에게만 허용됩니다. ACL은 액세스 제어에 대해 더 상세한 정보를 제공합니다. ACL을 사용하여 소유자는 특정 사용자와 특정 그룹에 대한 권한을 별도로 지정할 수 있습니다. 자세한 내용은 System Administration Guide: Security Services의 6 장, Controlling Access to Files (Tasks)를 참조하십시오.

필수 액세스 제어

필수 액세스 제어(MAC)는 레이블 관계에 기반을 둔 시스템 강제 시행 액세스 제어 메커니즘입니다. 시스템은 프로그램을 실행하기 위해 만들어진 모든 프로세스에 민감도 레이블을 연결합니다. MAC 정책은 이 레이블을 사용하여 액세스 제어를 결정합니다. 일반적으로 프로세스는 대상 레이블이 프로세스 레이블과 같지 않는 한, 정보를 저장하거나 다른 프로세스와 통신할 수 없습니다. MAC 정책은 동일한 레이블의 객체 또는 하위 레이블의 객체에서 데이터를 읽을 수 있도록 프로세스를 허용합니다. 그러나 관리자는 하위 수준 객체가 거의 없거나 사용 가능한 하위 수준 객체가 없는 레이블이 지정된 환경을 만들 수 있습니다.

기본적으로 MAC 정책은 사용자가 볼 수 없습니다. 해당 객체에 대한 MAC 액세스 권한이 없는 한, 일반 사용자는 객체를 볼 수 없습니다. 모든 경우에 사용자는 MAC 정책과는 반대로 어떠한 작업도 수행할 수 없습니다.

민감도 레이블 및 클리어런스

레이블에는 다음과 같은 두 개의 구성 요소가 있습니다.

분류, 수준이라고도 함

이 구성 요소는 보안의 계층적 수준을 나타냅니다. 사람에게 적용될 때 분류는 신뢰도를 나타냅니다. 데이터에 적용될 때 분류는 필요한 보호 수준을 나타냅니다.

미국 정부에서 정의한 분류는 TOP SECRET, SECRET, CONFIDENTIAL 및 UNCLASSIFIED입니다. 산업 분류는 표준화되어 있지 않습니다. 고유한 분류는 회사에서 설정할 수 있습니다. 예는 그림 1–3을 참조하십시오. 왼쪽에 있는 용어는 분류입니다. 오른쪽에 있는 용어는 구획입니다.
구획, 범주라고도 함

구획은 작업 그룹, 부서, 프로젝트, 주제 등과 같은 그룹화를 나타냅니다. 분류에는 구획이 없어도 됩니다. 그림 1–3을 보면 Confidential 분류에는 세 개의 배타적 구획이 있습니다. Public 및 Max Label에는 구획이 없습니다. 그림에서와 같이, 이 조직에는 다섯 개의 레이블이 정의됩니다.

그림 1–3 일반적인 업계 민감도 레이블

Trusted Extensions는 민감도 레이블 및 클리어런스라는 두 개의 레이블 유형을 유지관리합니다. 사용자는 하나 이상의 민감도 레이블에서 작업을 지울 수 있습니다. 사용자 클리어런스라고 하는 특수 레이블은 사용자가 작업을 수행할 수 있도록 허용되는 최대 레이블을 결정합니다. 또한 각 사용자에게는 최소 민감도 레이블이 있습니다. 이 레이블은 기본적으로 다중 레벨 데스크탑 세션에 로그인하는 동안 사용됩니다. 로그인한 후 사용자는 이 범위 내의 다른 레이블에서 작업을 수행하도록 선택할 수 있습니다. 사용자는 최소 민감도 레이블로 Public을, 클리어런스로 Confidential: Need to Know를 할당할 수 있습니다. 첫 번째 로그인 시 데스크탑 작업 공간은 Public 레이블에 있습니다. 세션 중에 사용자는 Confidential: Internal Use Only 및 Confidential: Need to Know에서 작업 공간을 만들 수 있습니다.

모든 주체 및 객체는 Trusted Extensions로 구성된 시스템에 레이블이 있습니다. 주체는 일반적으로 프로세스인 활성 엔티티입니다. 이 프로세스로 정보가 객체 간에 흐르거나, 시스템 상태가 변경될 수 있습니다. 객체는 데이터 파일, 디렉토리, 프린터, 또는 기타 장치 등의 데이터가 들어있거나 수신되는 수동적인 엔티티입니다. 경우에 따라 프로세스는 한 프로세스에서 kill 명령을 사용할 때와 같이 객체일 수 있습니다.

레이블은 화면에서 창 제목 표시줄과 특수 스트라이프인 신뢰할 수 있는 스트라이프에 표시될 수 있습니다. 그림 1–4에서는 Trusted CDE에서의 일반적인 다중 레벨 Trusted Extensions 세션을 보여 줍니다. 레이블과 신뢰할 수 있는 스트라이프가 지정됩니다.

그림 1–4 일반적인 Trusted CDE 세션

화면에는 창과 아이콘에 레이블이 표시되며, 신뢰할 수 있는 기호와 작업 공간 레이블이 있는 신뢰할 수 있는 스트라이프 및 Trusted Path(신뢰할 수 있는 경로) 메뉴가 표시됩니다.

그림 1–5에서는 Trusted JDS 시스템에서의 일반적인 다중 레벨 Trusted Extensions 세션을 보여 줍니다 . 신뢰할 수 있는 스트라이프가 맨 위에 표시됩니다. 신뢰할 수 있는 스트라이프에서 Trusted Path(신뢰할 수 있는 경로) 메뉴가 호출됩니다. 역할을 수락하려면 사용자 이름을 눌러 역할 메뉴를 호출합니다. 맨 아래 패널의 작업 공간 스위치에는 작업 공간 레이블의 색상이 표시됩니다. 맨 아래 패널의 창 목록에는 창 레이블의 색상이 표시됩니다.

그림 1–5 일반적인 Trusted JDS 세션

화면에는 창의 레이블, 신뢰할 수 있는 스트라이프, 신뢰할 수 있는 기호, Trusted Path(신뢰할 수 있는 경로) 메뉴, 현재 사용자, 작업 공간과 창 레이블 및 맨 아래쪽 스트라이프가 표시됩니다.

컨테이너 및 레이블

Trusted Extensions는 레이블을 지정하기 위해 컨테이너를 사용합니다. 컨테이너는 영역이라고도 합니다. 전역 영역은 관리 영역이므로 사용자가 사용할 수 없습니다. 비전역 영역을 레이블이 있는 영역이라고도 합니다. 사용자는 레이블이 지정된 영역을 사용합니다. 전역 영역은 일부 시스템 파일을 사용자와 공유합니다. 레이블이 지정된 영역에서 해당 파일을 볼 수 있는 경우, 이 파일의 레이블은 ADMIN_LOW입니다.

네트워크 통신은 레이블로 제한됩니다. 기본적으로 영역은 해당 레이블이 다르기 때문에 서로 통신할 수 없습니다. 따라서 한 영역은 다른 영역으로 쓸 수 없습니다.

그러나 관리자는 다른 영역에서 특정 디렉토리를 읽을 수 있도록 특정 영역을 구성할 수 있습니다. 다른 영역은 동일한 호스트 또는 원격 시스템에 있을 수 있습니다. 예를 들어 하위 수준 영역의 사용자 홈 디렉토리는 자동 마운트 서비스를 사용하여 마운트할 수 있습니다. 이러한 하위 수준의 홈 마운트에 대한 경로 이름 규약에는 다음과 같이 영역 이름이 포함됩니다.

/zone/name-of-lower-level-zone/home/username

다음 털미널 창에서는 하위 수준의 홈 디렉토리 표시를 보여 줍니다. 로그인 레이블이 Confidential: Internal Use Only인 사용자는 하위 수준의 영역을 읽을 수 있도록 자동 마운트 서비스를 구성할 때 Public 영역의 내용을 볼 수 있습니다. textfileInfo.txt 파일에는 두 개의 버전이 있습니다. Public 영역 버전에는 공개적으로 공유할 수 있는 정보가 포함되어 있습니다. Confidential: Internal Use Only 버전에는 회사 내에서만 공유할 수 있는 정보가 포함되어 있습니다.

그림 1–6 상위 레이블 영역에서 공개 정보 보기

그림은 내부용으로만 사용하는 영역에서 볼 수 있는 공개 영역의 내용을 보여 줍니다.

레이블 및 트랜잭션

Trusted Extensions 소프트웨어는 시도된 모든 보안 관련 트랜잭션을 관리합니다. 소프트웨어는 주체의 레이블을 객체의 레이블과 비교한 다음 지배하는 레이블에 따라 트랜잭션을 허용하거나 허용하지 않습니다. 엔티티의 레이블이 다음과 같은 두 조건을 충족하는 경우 다른 엔티티의 레이블을 지배한다고 합니다.

첫 번째 엔티티 레이블의 분류 구성 요소는 객체의 분류와 같거나 객체의 분류보다 우위에 있습니다.
두 번째 엔티티 레이블의 모든 구획은 첫 번째 엔티티 레이블에 포함됩니다.

두 개의 레이블은 레이블에 동일한 분류와 구획 집합이 있을 경우 동일하다고 말합니다. 레이블이 같을 경우 레이블은 서로 지배합니다. 따라서 액세스가 허용됩니다.

다음 조건 중 하나가 충족되는 경우 첫 번째 레이블은 두 번째 레이블을 엄격하게 지배한다고 합니다.

첫 번째 레이블의 분류는 두 번째 레이블의 분류보다 우위에 있습니다.
첫 번째 레이블의 분류는 두 번째 레이블의 분류와 같고 첫 번째 레이블은 두 번째 레이블의 구획을 포함하며 첫 번째 레이블에는 추가 구획이 있습니다.

두 번째 레이블을 엄격하게 지배하는 레이블은 두 번째 레이블에 대한 액세스가 허용됩니다.

어떤 레이블도 다른 레이블을 지배하지 않는 경우 두 레이블은 분리되었다고 합니다. 분리된 레이블 간의 액세스는 허용되지 않습니다.

예를 들어 다음과 같은 그림을 생각할 수 있습니다.

그림은 가능한 구획 2개(A와 B)가 있는 일급 비밀 분류를 보여 줍니다.

네 개의 레이블은 다음 구성 요소에서 만들 수 있습니다.

TOP SECRET
TOP SECRET A
TOP SECRET B
TOP SECRET AB

TOP SECRET AB는 자체를 지배하며 다른 레이블을 엄격하게 지배합니다. TOP SECRET A는 자체를 지배하며 TOP SECRET를 엄격하게 지배합니다. TOP SECRET B는 자체를 지배하며 TOP SECRET를 엄격하게 지배합니다. TOP SECRET A와 TOP SECRET B는 분리됩니다.

읽기 트랜잭션에서 주체의 레이블은 객체의 레이블을 지배해야 합니다. 이 규칙은 주체의 신뢰 수준이 객체에 대한 액세스 요구 사항을 충족시킵니다. 즉, 주체의 레이블에는 객체에 대한 액세스를 허용하는 모든 구획이 포함되어 있습니다. TOP SECRET A는 TOP SECRET A와 TOP SECRET 데이터를 읽을 수 있습니다. 마찬가지로 TOP SECRET B는 TOP SECRET B와 TOP SECRET 데이터를 읽을 수 있습니다. TOP SECRET A는 TOP SECRET B 데이터를 읽을 수 없습니다. 또한 TOP SECRET B는 TOP SECRET A 데이터를 읽을 수 없습니다. TOP SECRET AB는 모든 레이블에서 데이터를 읽을 수 있습니다.

즉, 쓰기 트랜잭션에서 주체가 객체를 만들거나 수정하면 그 결과 나타나는 객체의 레이블이 있는 영역은 주체의 레이블이 있는 영역과 같아야 합니다. 한 영역에서 다른 영역으로의 쓰기 트랜잭션은 허용되지 않습니다.

실제로, 읽기 및 쓰기 트랜잭션의 주체와 객체는 보통 동일한 레이블을 가지며 엄격하게 지배할 필요가 없습니다. 예를 들어 TOP SECRET A 주체는 TOP SECRET A 객체를 만들거나 수정할 수 있습니다. Trusted Extensions에서 TOP SECRET A 객체는 TOP SECRET A라는 레이블이 있는 영역에 있습니다.

다음 표는 미국 정부 레이블과 업계 레이블 집합 간의 지배 관계를 보여 줍니다.

표 1–1 Trusted Extensions의 레이블 관계 예


	레이블 1	관계	레이블 2
미국 정부 레이블	`TOP SECRET AB`	(엄격한) 지배	`SECRET A`
미국 정부 레이블	`TOP SECRET AB`	(엄격한) 지배	`SECRET A B`
	`TOP SECRET AB`	(엄격한) 지배	`TOP SECRET A`
	`TOP SECRET AB`	지배(동등)	`TOP SECRET AB`
	`TOP SECRET AB`	분리	`TOP SECRET C`
	`TOP SECRET AB`	분리	`SECRET C`
	`TOP SECRET AB`	분리	`SECRET A B C`
업계 레이블	`Confidential: Restricted`	지배	`Confidential: Need to Know`
	`Confidential: Restricted`	지배	`Confidential: Internal Use Only`
	`Confidential: Restricted`	지배	`Public`
	`Confidential: Need to Know`	지배	`Confidential: Internal Use Only`
	`Confidential: Need to Know`	지배	`Public`
	`Confidential: Internal`	지배	`Public`
	`Sandbox`	분리	모든 기타 레이블

다른 레이블과 파일 간에 정보를 전송할 때 Trusted Extensions는 파일의 레이블을 변경할 권한이 있는지 여부를 확인 대화 상자에 표시합니다. 변경할 권한이 없는 경우 Trusted Extensions는 트랜잭션을 허용하지 않습니다. 보안 관리자는 사용자에게 정보를 업그레이드하거나 다운그레이드할 수 있는 권한을 부여할 수 있습니다. 자세한 내용은 신뢰할 수 있는 작업 수행을 참조하십시오.

데이터 보호에 대한 사용자의 책임

사용자는 파일과 디렉토리에 대한 보호 권한 설정을 담당합니다. 사용 권한을 설정하기 위해 수행할 수 있는 작업에서는 임의의 액세스 제어(DAC)라는 메커니즘을 사용합니다. 3 장Trusted Extensions에서 작업(작업)에 설명된 대로 ls -l 명령이나 파일 관리자를 사용하여 파일과 디렉토리에 대한 사용 권한을 확인할 수 있습니다.

필수 액세스 제어(MAC)는 시스템에서 자동으로 실행됩니다. 레이블이 있는 정보를 업그레이드하거나 다운그레이드할 권한이 있는 경우 정보 수준을 변경해야 할 필요가 있는지 확인해야 합니다.

데이터를 보호하는 또 다른 측면은 전자 메일과 관련되어 있습니다. 관리자로부터 전자 메일로 받은 지침을 따라서는 안 됩니다. 예를 들어, 사용자가 전자 메일의 지침에 따라 사용자의 암호를 특정 값으로 변경할 경우 사용자는 보낸 사람이 자신의 계정으로 로그인하도록 할 수 있습니다. 제한된 경우, 지침을 따르기 전에 별도로 지침을 확인할 수 있습니다.

Trusted Extensions 레이블별로 정보 구분

Trusted Extensions는 다음과 같은 방법으로 다른 레이블의 정보를 구분합니다.

사용자는 단일 레벨 또는 다중 레벨 세션을 선택할 수 있습니다.
데스크탑은 레이블이 지정된 작업 공간을 제공합니다.
파일은 레이블에 따라 별도의 영역에 저장됩니다.
MAC는 전자 메일을 포함한 모든 트랜잭션에 강제 시행됩니다.
객체의 데이터는 객체를 다시 사용하기 전에 지워집니다.

단일 레벨 또는 다중 레벨 세션

Trusted Extensions 세션에 처음 로그인하는 경우 단일 레이블 또는 다중 레이블에서 작동할지 여부를 지정합니다. 그런 다음 세션 클리어런스 또는 세션 레이블을 설정합니다. 이 설정은 작동하려는 보안 수준입니다.

단일 레이블 세션에서는 세션 레이블과 동일한 객체에만 액세스할 수 있으며, 레이블에 의해 지배됩니다.

다중 레벨 세션에서는 세션 클리어런스와 동일하거나 낮은 레이블의 정보에 액세스할 수 있습니다. 작업 공간마다 다른 레이블을 지정할 수 있습니다. 또한 동일한 레이블에 다른 작업 공간이 있을 수 있습니다.

세션 선택 예제

표 1–2에서는 단일 레벨 및 다중 레벨 세션 간의 차이를 보여 주는 예를 제공합니다. 이 예는 CONFIDENTIAL: NEED TO KNOW(CNF: NTK)의 단일 레벨 세션에서 작동하도록 선택한 사용자를 CNF: NTK에서도 다중 레벨 세션을 선택한 사용자와 대조합니다.

왼쪽에 있는 세 개의 열은 로그인 시 각 사용자의 세션 선택을 보여 줍니다. 사용자는 단일 레벨 세션에 대해 세션 레이블을 설정하고 다중 레벨 세션에 대해 세션 클리어런스를 설정합니다. 시스템은 선택한 내용에 따라 올바른 레이블 구축기를 표시합니다. 다중 레벨 세션에 대한 레이블 구축기를 보려면 그림 2–2를 참조하십시오.

오른쪽에 있는 두 개의 열은 세션에서 사용할 수 있는 레이블 값을 표시합니다. 초기 작업 공간 레이블 열은 사용자가 시스템에 처음 액세스할 때의 레이블을 나타냅니다. 사용 가능한 레이블 열에는 세션 동안 전환하도록 허용된 레이블이 나열됩니다.

표 1–2 사용 가능한 세션 레이블의 초기 레이블 선택 효과


사용자 선택			세션 레이블 값
세션 유형	세션 레이블	세션 클리어런스	초기 작업 공간 레이블	사용 가능한 레이블
단일 레벨	`CNF: NTK`	-	`CNF: NTK`	`CNF: NTK`
다중 레벨	-	`CNF: NTK`	`Public`	`Public` `CNF: Internal Use Only` `CNF: NTK`

테이블의 첫 번째 행에 표시된 대로 사용자는 CNF: NTK의 세션 레이블로 단일 레벨 세션을 선택했습니다. 사용자는 유일하게 작동할 수 있는 레이블이기도 한 CNF: NTK의 초기 작업 공간 레이블을 가지고 있습니다.

테이블의 두 번째 행에 표시된 대로 사용자는 CNF: NTK의 세션 클리어런스로 다중 레벨 세션을 선택했습니다. 사용자의 초기 작업 공간 레이블은 Public이 사용자의 계정 레이블 범위에서 가장 낮은 레이블이기 때문에 Public으로 설정됩니다. 사용자는 Public 및 CNF: NTK 간에 모든 레이블을 전환할 수 있습니다. Public은 최소 레이블이고 CNF: NTK는 세션 클리어런스입니다.

레이블이 지정된 작업 공간

Solaris Trusted Extensions(CDE) 또는 Trusted CDE에서 Trusted Extensions의 작업 공간은 Solaris OS에서와 같이 Front Panel(전면 패널)의 가운데에 있는 버튼으로 액세스합니다. 그러나 Trusted Extensions를 사용하면 작업 공간을 단일 레이블로 완전히 할당할 수 있습니다. 이 설정은 사용자가 다중 레벨 세션에 있고 다른 레이블의 정보를 혼동하지 않도록 하려는 경우 매우 편리합니다. 다음 그림은 네 개의 스위치가 있는 작업 공간 전환 영역을 보여 줍니다. 각 스위치는 다른 레이블의 작업 공간을 엽니다. 또한 여러 작업 공간을 동일한 레이블로 할당할 수 있습니다.

그림 1–7 작업 공간 전환 영역

그림은 네 개의 레이블이 지정됨 스위치와 함께 전면 패널의 작업 공간 전환 영역을 보여 줍니다.

Solaris Trusted Extensions(JDS) 또는 Trusted JDS에서 작업 공간은 아래 그림과 같이 맨 아래 패널의 오른쪽에 있는 버튼을 눌러 액세스합니다. 각 작업 공간에는 레이블이 있습니다.

그림 1–8 레이블이 있는 패널

이 그림에서는 레이블이 있는 네 개의 작업 공간이 포함된 패널을 보여 줍니다.

동일한 레이블을 여러 작업 공간에 할당할 수 있고, 여러 작업 공간에 각각 다른 레이블을 할당할 수도 있습니다. 작업 공간에서 시작된 창에는 해당 작업 공간의 레이블이 지정됩니다. 다른 레이블의 작업 공간으로 창이 이동되어도 창의 레이블은 원래대로 유지됩니다. 이런 식으로 한 작업 공간에 레이블이 서로 다른 여러 창을 배열할 수 있습니다.

전자 메일 트랜잭션용 MAC 실행

Trusted Extensions는 전자 메일에 MAC를 적용합니다. 현재 레이블에서 전자 메일을 보내고 읽을 수 있습니다. 계정 범위 내의 레이블에서 전자 메일을 받을 수 있습니다. 다중 레벨 세션에서는 해당 레이블에서 전자 메일을 읽을 수 있도록 다른 레이블에서 작업 공간을 전환할 수 있습니다. 동일한 메일 읽기 프로그램 및 동일한 로그인을 사용합니다. 시스템은 사용자의 현재 레이블에서만 메일을 읽을 수 있도록 허용합니다.

객체를 다시 사용하기 전에 객체의 데이터 지우기

Trusted Extensions는 다시 사용하기 전에 사용자가 액세스할 수 있는 객체에서 기존 정보를 자동으로 지워 민감한 정보가 실수로 노출되지 않도록 방지합니다. 예를 들어 메모리 및 디스크 공간은 다시 사용하기 전에 지워집니다. 객체를 다시 사용하기 전에 민감도 데이터를 제거하지 못하면 부적절한 사용자에게 데이터가 노출될 위험이 있습니다. 장치 할당 해제를 통해 Trusted Extensions는 드라이버를 프로세스에 할당하기 전에 사용자가 액세스할 수 있는 모든 객체를 지웁니다. 그러나 다른 사용자가 드라이버에 액세스하도록 허용하기 전에는 DVD 및 JAZ 드라이버와 같은 모든 이동식 저장 매체를 지워야 합니다.

Trusted Extensions 보안 관리 사용

기존의 UNIX 시스템과 달리 수퍼유저(root 사용자)는 Trusted Extensions를 관리하는 데 사용되지 않습니다. 오히려, 고유한 기능이 있는 관리자 역할은 시스템을 관리합니다. 이러한 방법을 사용할 경우 어떠한 사용자도 시스템의 보안을 손상시킬 수 없습니다. 역할은 특수 작업을 수행하는 데 필요한 권한이 있는 특정 응용 프로그램에 액세스하는 특수 사용자 계정입니다. 권한에는 권한 부여, 특권 및 유효 UID/GID가 포함됩니다.

다음 보안 실행은 Trusted Extensions로 구성된 시스템에서 적용됩니다.

사용할 필요성(need-to-use)을 기반으로 응용 프로그램에 액세스할 수 있는 권한을 부여받습니다.
관리자로부터 특수한 권한 부여 또는 특권을 부여받은 사용자만 보안 정책을 대체하는 기능을 수행할 수 있습니다.
시스템 관리 의무는 여러 역할로 구분됩니다.

Trusted Extensions의 응용 프로그램에 액세스

Trusted Extensions에서는 작업을 수행하는 데 필요한 프로그램에만 액세스할 수 있습니다. Solaris OS에서와 같이 관리자는 계정에 하나 이상의 권한 프로필을 할당하여 액세스를 제공합니다. 권한 프로필은 프로그램 및 보안 속성의 특수 모음입니다. 이러한 보안 속성을 사용하면 권한 프로필에 있는 프로그램을 제대로 사용할 수 있습니다.

Solaris OS는 특권 및 권한 부여와 같은 보안 속성을 제공합니다. Trusted Extensions는 레이블을 제공합니다. 이러한 속성이 누락되면 프로그램이나 프로그램의 일부를 사용할 수 없게 됩니다. 예를 들어 권한 프로필에는 데이터베이스를 읽을 수 있는 권한이 포함될 수 있습니다. 특정 보안 속성이 있는 권한 프로필은 사용자가 데이터베이스를 수정하거나 Confidential로 분류된 정보를 읽는 데 필요할 수 있습니다.

연결된 보안 속성이 있는 프로그램이 포함된 권한 프로필을 사용하면 사용자가 프로그램을 잘못 사용하거나 시스템에서 데이터를 손상시키지 못하도록 방지할 수 있습니다. 보안 정책을 대체하는 작업을 수행해야 할 경우, 관리자는 사용자에게 필요한 보안 속성이 포함된 권한 프로필을 할당할 수 있습니다. 특정 작업을 실행하지 못하도록 방지할 경우 관리자에게 문의하십시오. 필요한 보안 속성이 누락되었을 수 있습니다.

또한 관리자는 로그인 쉘과 마찬가지로 프로필 쉘을 할당할 수 있습니다. 프로필 쉘은 특정 응용 프로그램과 일련의 기능에 대한 액세스를 제공하는 Bourne 쉘의 특수 버전입니다. 프로필 쉘은 Solaris OS의 기능입니다. 자세한 내용은 pfsh(1) 매뉴얼 페이지를 참조하십시오.

주 –

프로그램을 실행하고 찾을 수 없음 오류 메시지를 받거나 명령을 실행하고 프로필에 없음 오류 메시지를 받으면 이 프로그램을 사용하도록 허용되지 않을 수 있습니다. 보안 관리자에게 문의하십시오.

Trusted Extensions의 역할에 따른 관리

Trusted Extensions 소프트웨어는 관리 역할을 사용합니다. 사용자의 사이트에서 어떤 사용자가 어떤 업무 세트를 수행하는지 알아야 합니다. 공통 역할은 다음과 같습니다.

루트 역할 – 주로 수퍼유저가 직접 로그인하지 못하도록 하는 데 사용됩니다.
주 관리자 역할 – 다른 역할의 기능 외에 특권이 필요한 모든 작업을 수행합니다.
보안 관리자 역할 – 암호 설정, 장치 할당 승인, 권한 프로필 할당 및 소프트웨어 프로그램 평가와 같은 보안 관련 작업을 수행합니다.
시스템 관리자 역할 – 홈 디렉토리 설정, 백업 복원 및 소프트웨어 프로그램 설치와 같은 표준 시스템 관리 작업을 수행합니다.
운영자 역할 – 시스템 백업을 수행하고 프린터를 관리하며 이동식 매체를 마운트합니다.