탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
Oracle Solaris는 다중 사용자 환경입니다. 다중 사용자 환경에서는 시스템에 로그인한 모든 사용자가 다른 사용자에게 속한 파일을 읽을 수 있습니다. 적절한 파일 권한을 가진 사용자는 다른 사용자에게 속한 파일을 사용할 수도 있습니다. 자세한 내용은 7 장파일에 대한 액세스 제어(작업)를 참조하십시오. 적절한 파일 권한 설정에 대한 단계별 지침은 파일 보호(작업)를 참조하십시오.
다른 사용자가 파일에 액세스하지 못하도록 하여 파일을 안전하게 유지할 수 있습니다. 예를 들어, 600 권한의 파일은 소유자 및 수퍼유저를 제외하고 읽을 수 없습니다. 700 권한의 디렉토리도 마찬가지로 액세스할 수 없습니다. 하지만 암호를 알아내거나 root 암호를 알게 된 사람은 해당 파일에 액세스할 수 있습니다. 또한 다르게 액세스할 수 없는 파일은 시스템 파일이 오프라인 매체로 백업될 때마다 백업 테이프에 보존됩니다.
암호화 프레임워크는 파일을 보호하기 위한 digest, mac 및 encrypt 명령을 제공합니다. 자세한 내용은 11 장암호화 프레임워크(개요)를 참조하십시오.
ACL는 파일 권한에 비해 뛰어난 제어 기능을 제공할 수 있습니다. 전통적인 UNIX 파일 보호로는 충분하지 않을 때 ACL을 추가합니다. 전통적인 UNIX 파일 보호는 소유자, 그룹 및 기타의 세 사용자 클래스에 대해 읽기, 쓰기 및 실행 권한을 제공합니다. ACL은 더욱 세밀한 파일 보안을 제공합니다.
ACL을 사용하면 다음을 포함하여 세밀한 파일 권한을 정의할 수 있습니다.
소유자 파일 권한
소유자 그룹에 대한 파일 권한
소유자 그룹 외부의 다른 사용자에 대한 파일 권한
특정 사용자에 대한 파일 권한
특정 그룹에 대한 파일 권한
이전의 각 범주에 대한 기본 권한
ACL 사용에 대한 자세한 내용은 액세스 제어 목록을 사용하여 UFS 파일 보호를 참조하십시오. 액세스 제어 목록(ACL)을 사용하여 ZFS 파일을 보호하려면 Oracle Solaris 관리: ZFS 파일 시스템의 8 장, ACL 및 속성을 사용하여 Oracle Solaris ZFS 파일 보호을 참조하십시오.
네트워크 파일 서버는 공유 가능한 파일을 제어할 수 있습니다. 또한 네트워크 파일 서버는 어떤 클라이언트가 파일에 대한 액세스 권한을 가지고 이러한 클라이언트에 대해 어떤 유형의 액세스가 허용되는지 제어할 수 있습니다. 일반적으로 파일 서버는 모든 클라이언트나 특정 클라이언트에게 읽기-쓰기 액세스 권한 또는 읽기 전용 액세스 권한을 부여할 수 있습니다. 액세스 제어는 share 명령을 사용하여 리소스를 사용할 수 있게 되었을 때 지정됩니다.
ZFS 파일 시스템의 NFS 공유를 만들 경우 파일 시스템은 공유를 제거할 때까지 영구적으로 공유됩니다. 시스템이 재부트되면 SMF에서 공유를 자동으로 관리합니다. 자세한 내용은 Oracle Solaris 관리: ZFS 파일 시스템의 3 장, Oracle Solaris ZFS와 전통적인 파일 시스템의 차이를 참조하십시오.
일반적으로 수퍼유저는 네트워크에서 공유된 파일 시스템에 대한 root 액세스가 허용되지 않습니다. NFS 시스템은 수퍼유저 사용자를 사용자 ID 60001의 사용자 nobody로 변경하여 마운트된 파일 시스템에 대한 root 액세스를 막습니다. 사용자 nobody의 액세스 권한은 공용에 부여된 액세스 권한과 동일합니다. 사용자 nobody는 자격 증명이 없는 사용자의 액세스 권한을 가집니다. 예를 들어, 공용이 파일에 대한 실행 권한만 가지는 경우 사용자 nobody는 해당 파일을 실행할 수만 있습니다.
NFS 서버는 호스트별로 공유 파일 시스템에 대한 root 액세스 권한을 부여할 수 있습니다. 이러한 권한을 부여하려면 share 명령에 root= hostname 옵션을 사용합니다. 이 옵션은 신중하게 사용해야 합니다. NFS에서 보안 옵션에 대한 자세한 내용은 Oracle Solaris 관리: 네트워크 서비스의 6 장, 네트워크 파일 시스템 액세스(참조)를 참조하십시오.