| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
컴퓨터 시스템에 연결된 주변 장치는 보안 위험을 노출시킬 수 있습니다. 마이크는 대화를 가로채고 원격 시스템에 전송할 수 있습니다. CD-ROM은 CD-ROM 장치의 다음 사용자가 읽을 수 있는 정보를 남겨 둘 수 있습니다. 프린터는 원격으로 액세스할 수 있습니다. 시스템에 필수적인 장치도 보안 문제를 유발할 수 있습니다. 예를 들어, bge0과 같은 네트워크 인터페이스는 필수 장치로 간주됩니다.
Oracle Solaris 소프트웨어는 장치에 대한 액세스 제어를 위한 두 가지 방법을 제공합니다. 장치 정책은 시스템에 필수적인 장치에 대한 액세스를 제한하거나 막습니다. 장치 정책은 커널에서 적용됩니다. 장치 할당은 주변 장치에 대한 액세스를 제한하거나 막습니다. 장치 할당은 사용자 할당 시 적용됩니다.
장치 정책은 권한을 사용하여 커널에서 선택된 장치를 보호합니다. 예를 들어, bge와 같은 네트워크 인터페이스에 대한 장치 정책은 읽기 또는 쓰기에 대해 모든 권한을 요구합니다.
장치 할당은 권한 부여를 사용하여 프린터나 마이크와 같은 주변 장치를 보호합니다. 기본적으로 장치 할당은 사용으로 설정되지 않습니다. 사용으로 설정되면 장치 할당을 구성하여 장치 사용을 막거나 장치에 액세스하기 위한 권한 부여를 요구할 수 있습니다. 장치 사용이 할당되면 현재 사용자가 할당을 해제할 때까지 다른 사용자는 장치에 액세스할 수 없습니다.
Oracle Solaris 시스템은 여러 영역에서 장치에 대한 액세스를 제어하도록 구성할 수 있습니다.
장치 정책 설정 – Oracle Solaris에서 특정 장치에 액세스하는 프로세스가 권한 집합을 사용하여 실행되도록 요구할 수 있습니다. 이러한 권한이 없는 프로세스는 장치를 사용할 수 없습니다. 부트 시 Oracle Solaris 소프트웨어는 장치 정책을 구성합니다. 설치 중 장치 정책에서 타사 드라이버를 구성할 수 있습니다. 설치 후 관리자는 장치 정책을 장치에 추가할 수 있습니다.
장치 할당 설정 – 장치 할당을 사용으로 설정하면 장치 사용을 한 번에 한 사용자로 제한할 수 있습니다. 사용자가 몇 가지 보안 요구 사항을 충족하도록 추가로 요구할 수 있습니다. 예를 들어, 장치를 사용하려면 사용자가 권한을 부여받도록 요구할 수 있습니다.
장치 사용 금지 – 컴퓨터 시스템에서 어떤 사용자도 마이크와 같은 장치를 사용할 수 없도록 막을 수 있습니다. 컴퓨터 키오스크는 특정 장치를 사용하지 못하게 할 수 있는 좋은 예입니다.
장치를 특정 영역으로 제한 – 장치 사용을 비전역 영역에 지정할 수 있습니다. 자세한 내용은 Oracle Solaris 관리: Oracle Solaris Zones, Oracle Solaris 10 Zones 및 리소스 관리의 비전역 영역에서 장치 사용을 참조하십시오. 장치 및 영역에 대한 일반적인 설명은 Oracle Solaris 관리: Oracle Solaris Zones, Oracle Solaris 10 Zones 및 리소스 관리의 영역에 구성된 장치를 참조하십시오.
장치 정책 방식을 사용하여 장치를 여는 프로세스에 특정 권한이 필요하도록 지정할 수 있습니다. 장치 정책으로 보호된 장치는 장치 정책에서 지정하는 권한을 사용하여 실행되는 프로세스만 액세스할 수 있습니다. Oracle Solaris는 기본 장치 정책을 제공합니다. 예를 들어, bge0과 같은 네트워크 인터페이스의 경우 인터페이스에 액세스하는 프로세스가 net_rawaccess 권한을 사용하여 실행되도록 요구할 수 있습니다. 요구 사항은 커널에서 적용됩니다. 권한에 대한 자세한 내용은 권한(개요)을 참조하십시오.
이전 릴리스에서 장치 노드는 파일 권한만으로 보호되었습니다. 예를 들어, sys 그룹이 소유한 장치는 sys 그룹의 구성원만 열 수 있었습니다. 이제 파일 권한으로는 누가 장치를 열 수 있는지 예측할 수 없습니다. 대신 장치는 파일 권한과 장치 정책으로 보호됩니다. 예를 들어, /dev/ip 파일은 666 권한을 가집니다. 하지만 장치는 해당 권한을 가진 프로세스만 열 수 있습니다.
장치 정책의 구성은 감사할 수 있습니다. AUE_MODDEVPLCY 감사 이벤트는 장치 정책의 변경 사항을 기록합니다.
장치 정책에 대한 자세한 내용은 다음을 참조하십시오.
장치 할당 방식을 사용하여 CD-ROM과 같은 주변 장치에 대한 액세스를 제한할 수 있습니다. 방식은 수동으로 관리합니다. 장치 할당이 사용으로 설정되지 않은 경우 주변 장치는 파일 권한만으로 보호됩니다. 예를 들어, 기본적으로 주변 장치는 다음 용도로 사용할 수 있습니다.
모든 사용자가 디스켓이나 CD-ROM을 읽고 쓸 수 있습니다.
모든 사용자가 마이크를 연결할 수 있습니다.
모든 사용자가 연결된 프린터에 액세스할 수 있습니다.
장치 할당은 장치를 권한이 부여된 사용자로 제한합니다. 또한 장치 할당은 장치에 전혀 액세스하지 못하도록 막을 수 있습니다. 장치를 할당하는 사용자는 장치 할당을 해제할 때까지 해당 장치에 대한 배타적 사용 권한을 가집니다. 장치 할당이 해제되면 device-clean 스크립트가 남아 있는 데이터를 지웁니다. device-clean 스크립트를 작성하여 스크립트가 없는 장치에서 정보를 지울 수 있습니다. 예는 새 Device-Clean 스크립트 작성을 참조하십시오.
장치 할당, 장치 할당 해제 및 할당 가능 장치 나열 시도는 감사할 수 있습니다. 감사 이벤트는 other 감사 클래스의 일부입니다.
장치 할당에 대한 자세한 내용은 다음을 참조하십시오.
|