| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
Advanced Encryption Standard입니다. 대칭 128비트 블록 데이터 암호화 기술입니다. 미국 정부는 2000년 10월 알고리즘의 Rijndael 변형을 암호화 표준으로 채택했습니다. AES가 정부 표준으로 사용자 주체 암호화를 대체합니다.
32비트에서 448비트까지 가변 길이 키를 사용하는 대칭 블록 암호 알고리즘입니다. 작성자인 Bruce Schneier에 따르면 Blowfish는 키가 자주 변경되지 않는 응용 프로그램에 최적화되었다고 합니다.
Data Encryption Standard입니다. 1975년에 개발되고 1981년에 ANSI에 의해 ANSI X.3.92로 표준화된 대칭 키 암호화 방법입니다. DES에서는 56비트 키를 사용합니다.
공개 키 암호화라고도 합니다. 1976년 Diffie와 Hellman이 개발한 비대칭 암호화 키 계약 프로토콜입니다. 이 프로토콜을 사용하면 두 사용자가 사전 보안 없이 비보안 매체를 통해 보안 키를 교환할 수 있습니다. Diffie-Hellman은 Kerberos에서 사용됩니다.
Digital Signature Algorithm입니다. 512비트에서 4096비트 사이의 가변 키 크기를 사용하는 공개 키 알고리즘입니다. 미국 정부 표준인 DSS는 최대 1024비트까지 지정합니다. DSA는 입력에 SHA1을 사용합니다.
정규화된 도메인 이름입니다. 예를 들어, central.example.com이 있습니다(대조적으로 간단히 denver).
Generic Security Service Application Programming Interface의 약자. Kerberos 서비스를 포함하여 다양한 모듈형 보안 서비스를 지원하는 네트워크 계층입니다. GSS-API는 보안 인증, 무결성, 프라이버시 서비스를 제공합니다. 인증, 무결성, 프라이버시도 참조하십시오.
Key Distribution Center(키 배포 센터)의 약자. 세 가지 Kerberos V5 구성 요소가 있는 시스템입니다.
주체 및 키 데이터베이스
인증 서비스
TGS(티켓 부여 서비스)
각 영역에는 마스터 KDC가 있고 하나 이상의 슬레이브 KDC가 있어야 합니다.
인증 서비스, 서비스에서 사용되는 프로토콜 또는 서비스 구현에 사용되는 코드입니다.
Oracle Solaris Kerberos 구현은 Kerberos V5 구현에 가장 근접합니다.
"Kerberos"와 "Kerberos V5"는 기술적으로 서로 다르지만 Kerberos 문서에서 종종 바꿔서 사용하기도 합니다.
Kerberos(Cerberus라고도 씀)는 그리스 신화에서 지옥의 문을 지키는 머리가 셋 달린 사나운 개입니다.
Kerberos 서비스에서 암호 사용을 통제하는 규칙 세트입니다. 정책을 통해 주체의 액세스나 티켓 수명 매개변수를 규제할 수 있습니다.
1. 일반적으로, 두 가지의 주요 키 유형 중 하나입니다.
대칭 키 – 암호 해독 키와 똑같은 암호화 키입니다. 대칭 키는 파일을 암호화하는 데 사용됩니다.
비대칭 키 또는 공개 키 – Diffie-Hellman 또는 RSA와 같은 공개 키 알고리즘에 사용되는 키입니다. 공개 키에는 한 사용자에만 알려진 개인 키, 서버나 일반 리소스에서 사용되는 공개 키, 그리고 둘을 조합한 개인-공개 키 쌍이 포함됩니다. 개인 키는 보안 키라고도 합니다. 공개 키는 공유 키 또는 공통 키라고도 합니다.
하나 이상의 키(주체)를 포함하는 키 테이블 파일입니다. 사용자가 암호를 사용하는 것처럼 호스트나 서비스는 keytab 파일을 사용합니다.
키 버전 번호. 생성 순서대로 특정 키를 추적하는 시퀀스 번호입니다. 가장 높은 kvno가 최신의 가장 현재 키입니다.
1. MAC(메시지 인증 코드)를 참조하십시오.
2. 레이블 지정이라고도 합니다. 정부 보안 기술에서 MAC은 필수 액세스 제어입니다. MAC의 예로 Top Secret 및 Confidential과 같은 레이블이 있습니다. MAC은 DAC(임의 액세스 제어)과 대조를 이룹니다. DAC의 예로 UNIX 사용 권한이 있습니다.
3. 하드웨어에서 LAN의 고유한 시스템 주소입니다. 시스템이 이더넷에 있는 경우 MAC은 이더넷 주소입니다.
MAC는 데이터 무결성을 보장하고 데이터 출처를 인증합니다. MAC는 도청에 대한 보호 기능을 제공하지 않습니다.
디지털 서명을 포함하여 메시지 인증에 사용되는 반복적인 암호화 해시 기능입니다. 이 기능은 1991년 Rivest가 개발했습니다.
Network Time Protocol의 약자. 네트워크 환경에서 정밀한 시간이나 네트워크 클럭 동기화(또는 둘 다)를 관리할 수 있는 델라웨어 대학교에서 설계한 소프트웨어입니다. NTP를 사용하여 Kerberos 환경에서 클럭 불균형을 유지 관리할 수 있습니다. 클럭 불균형도 참조하십시오.
Pluggable Authentication Module의 약자. 여러 인증 방식에서 서비스를 재컴파일할 필요 없이 사용할 수 있는 프레임워크입니다. PAM에서는 로그인 시 Kerberos 세션 초기화가 가능합니다.
1. 네트워크 통신에 참여하는 고유한 이름이 지정된 클라이언트/사용자 또는 서버/서비스입니다. Kerberos 트랜잭션에는 주체들(서비스 주체 및 사용자 주체) 간의 상호 작용 또는 주체와 KDC 간의 상호 작용이 관여합니다. 다신 말해서, 주체는 Kerberos가 티켓을 지정할 수 있는 고유한 개체입니다. 주체 이름, 서비스 주체, 사용자 주체도 참조하십시오.
Quality of Protection의 약자. 무결성 서비스나 프라이버시 서비스와 함께 사용되는 암호화 알고리즘을 선택할 수 있는 매개변수입니다.
Oracle Solaris 기능의 일종인 역할 기반 액세스 제어입니다. all-or-nothing 수퍼유저 모델의 대안입니다. RBAC를 사용하여 조직은 수퍼유저의 능력을 분리하여 역할이라는 특수한 사용자 계정에 지정할 수 있습니다. 특정 개인에게 그 책임에 따라 역할을 지정할 수 있습니다.
명령과 연관된 보안 정책입니다. 현재 유효한 정책은 solaris입니다. solaris 정책은 권한, 인증 및 setuid 보안 속성을 인식합니다.
디지털 서명 및 공개 키 암호 방식을 가져오는 방법입니다. 이 방법은 1978년 개발자 Rivest, Shamir 및 Adleman에 의해 처음 설명되었습니다.
Sun Enterprise Authentication Mechanism의 약자. 매사추세츠 공과대학에서 개발한 Kerberos V5 기술을 기반으로, 네트워크를 통해 사용자를 인증하기 위한 시스템의 초기 버전에 대한 제품이름입니다. 이제 제품을 Kerberos 서비스라고 부릅니다. SEAM은 다양한 Solaris 릴리스에 포함되지 않은 Kerberos 서비스의 일부를 참조합니다.
Secure Hashing Algorithm입니다. 이 알고리즘은 264 미만의 입력 길이에서 작동하여 메시지 다이제스트를 생성합니다. SHA1 알고리즘은 DSA에 입력됩니다.
stash 파일은 KDC용 마스터 키의 암호화된 복사본을 포함합니다. kadmind 및 krb5kdc 프로세스를 시작하기 전에 KDC를 자동으로 인증하도록 서버를 재부트할 때 이 마스터 키가 사용됩니다. stash 파일에 마스터 키가 포함되므로 stash 파일과 그 백업을 안전하게 보관해야 합니다. 암호화가 훼손되면 키를 사용하여 KDC 데이터베이스를 액세스하거나 수정해야 합니다.
Ticket-Granting Service(티켓 부여 서비스)의 약자. 티켓 발행을 담당하는 KDC의 부분입니다.
Ticket-Granting Ticket(티켓 부여 티켓)의 약자. 클라이언트가 다른 서비스에 대한 티켓을 요청할 수 있는 KDC에서 발행한 티켓입니다.
암호화를 사용하고 공용 네트워크를 통한 사용자 연결을 터널링하여 보안 통신을 제공하는 네트워크입니다.
어떤 감사 이벤트를 기록할지 결정하는 전역 사용자별 설정입니다. 감사 서비스에 적용되는 전역 설정은 일반적으로 감사 증적에 포함할 선택적 정보 조각에 영향을 미칩니다. 두 설정 cnt 및 ahlt는 감사 대기열을 채울 때 시스템의 작업에 영향을 미칩니다. 예를 들어, 감사 정책에서 시퀀스 번호가 모든 감사 레코드에 속하도록 요구할 수 있습니다.
모든 호스트의 모든 감사 파일 모음입니다.
이진 감사 로그. 감사 파일은 감사 파일 시스템에 별도로 저장됩니다.
호스트에 내재된 보안 취약성을 제거하도록 운영 체제의 기본 구성을 수정한 것입니다.
각 사용자 주체에 제공되며 주체의 사용자와 KDC에만 알려진 키입니다. 사용자 주체의 경우 키는 사용자 암호를 기반으로 합니다. key도 참조하십시오.
개인 키 암호화에서 발신자와 수신자는 암호화에 동일한 키를 사용합니다. 공개 키 암호화도 참조하십시오.
장시간 존재하는 티켓은 보안 위험이 있으므로 티켓을 renewable로 지정할 수 있습니다. 갱신 가능 티켓에는 두 개의 만료 시간 a) 티켓의 현재 인스턴스가 만료되는 시간 b) 티켓의 최대 수명이 있습니다. 클라이언트가 티켓을 계속 사용하려면 첫번째 만료가 발생하기 전에 티켓을 갱신합니다. 예를 들어, 1시간 동안 유효한 티켓이 있고 모든 티켓은 최대 10시간의 수명을 가질 수 있습니다. 티켓을 보유하는 클라이언트가 1시간보다 더 오래 티켓을 보관하려면 티켓을 갱신해야 합니다. 티켓이 최대 티켓 수명에 도달하면 자동으로 만료되어 갱신할 수 없습니다.
파일에 알려진 바이러스가 있는지 조사하는, 외부 호스트에 상주하는 타사 응용 프로그램입니다.
키 관리 프레임워크(KMF)에서 정책은 인증서 사용을 관리합니다. KMF 정책 데이터베이스는 KMF 라이브러리에서 관리되는 키 및 인증서 사용을 제약할 수 있습니다.
각 사용자가 두 개의 키, 즉 하나의 공개 키와 하나의 개인 키를 사용하는 암호화 체계입니다. 공개 키 암호화에서 발신자는 수신자의 공개 키를 사용하여 메시지를 암호화하고, 수신자는 개인 키를 사용하여 암호를 해독합니다. Kerberos 서비스는 개인 키 시스템입니다. 개인 키 암호화도 참조하십시오.
Oracle Solaris의 암호화 프레임워크 기능에서 소비자에게 제공된 암호화 서비스입니다. 공급자의 예로 PKCS #11 라이브러리, 커널 암호화 모듈, 하드웨어 가속기가 있습니다. 공급자는 암호화 프레임워크에 플러그인되므로 플러그인이라고도 합니다. 소비자의 예는 소비자를 참조하십시오.
root 사용자가 소유하고 어디서든 읽을 수 있는 파일입니다(예: /etc 디렉토리의 파일).
kdc.conf 또는 krb5.conf 파일에 정의된 구성 변수 또는 관계입니다.
username /admin(예: jdoe/admin) 형식의 이름을 가진 사용자 주체입니다. 관리자 주체는 일반 사용자 주체보다 더 많은 권한(예: 정책 변경)을 가질 수 있습니다. 주체 이름, 사용자 주체도 참조하십시오.
Oracle Solaris 시스템에서 프로세스에 대한 별개의 권한입니다. 권한은 root인 프로세스를 좀 더 세부적으로 제어합니다. 권한은 커널에서 정의되고 시행됩니다. 권한에 대한 자세한 설명은 privileges(5) 매뉴얼 페이지를 참조하십시오.
수퍼유저 모델보다 더 엄격한 컴퓨터 시스템의 보안 모델입니다. 권한 모델에서 프로세스를 실행하려면 권한이 필요합니다. 시스템 운영은 관리자가 해당 프로세스에 보유한 권한으로 기반으로 별개의 부분으로 나눌 수 있습니다. 관리자의 로그인 프로세스에 권한을 지정할 수 있습니다. 또는 특정 명령에만 효력을 발휘하도록 권한을 지정할 수 있습니다.
1. Kerberos에서는 주체가 서비스를 사용할 수 있는지, 어떤 객체에 주체가 액세스할 수 있는지, 각 객체에 대해 허용된 액세스 유형 등을 결정하는 프로세스입니다.
2. RBAC(역할 기반 액세스 제어)에서는 보안 정책에 의해 금지된 일련의 작업을 수행하기 위해 역할/사용자에 지정할 수 있는(또는 권한 프로파일에 포함할 수 있는) 사용 권한입니다.
권한 모음입니다. 각 프로세스에는 프로세스가 특정 권한을 사용할 수 있는지 여부를 결정하는 4개의 권한 세트가 있습니다. 제한 세트, 유효 세트, 허가된 세트, 상속 가능한 세트를 참조하십시오.
또한 권한의 기본 세트는 로그인 시 사용자의 프로세스에 지정된 권한 모음입니다.
지정된 보안 속성(대체 포함)이 허용하는 리소스 범위 밖에 있는 리소스에 액세스를 얻는 것입니다. 그 결과, 프로세스가 권한이 없는 작업을 수행할 수 있습니다.
코드를 통해 권한 사용을 켜고 끄는 프로그램, 스크립트, 명령입니다. 운용 환경에서 켜져 있는 권한을 프로세스에 제공해야 합니다. 프로그램의 사용자가 권한을 프로그램에 추가한 권한 프로파일을 사용하도록 하면 됩니다. 권한에 대한 자세한 설명은 privileges(5) 매뉴얼 페이지를 참조하십시오.
시스템 컨트롤을 대체할 수 있는 응용 프로그램입니다. 응용 프로그램이 특정 UID, GID, 인증 또는 권한과 같은 보안 속성을 검사합니다.
권한 또는 프로파일이라고도 합니다. 역할 또는 사용자에 지정할 수 있는 RBAC에 사용된 대체 모음입니다. 권한 프로파일은 인증, 권한, 보안 속성 포함 명령 및 기타 권한 프로파일로 구성됩니다.
프라이버시를 참조하십시오.
로그인 시 사용자 프로세스에 지정되는 권한 세트입니다. 수정되지 않은 시스템에서 각 사용자의 초기 상속 가능한 세트는 로그인 시 기본 세트와 같습니다.
ftp와 같은 네트워크 응용 프로그램을 제공하는 서버입니다. 영역에 여러 네트워크 애플리케이션 서버를 포함할 수 있습니다.
메시지 다이제스트를 참조하십시오.
단일 시스템 이미지는 Oracle Solaris 감사에 사용되어 동일한 이름 지정 서비스를 사용하는 감사 시스템 그룹을 설명합니다. 이러한 시스템은 해당 감사 레코드를 중앙 감사 서버로 보내고, 여기서 레코드가 한 시스템에서 나온 것처럼 레코드를 비교할 수 있습니다.
감사 이벤트의 다수를 차지합니다. 이러한 이벤트는 시스템의 프로세스와 연관됩니다. 프로세스와 연관된 출처를 알 수 없는 이벤트는 실패한 로그인과 같은 동기 이벤트입니다.
각 영역의 주 KDC로, Kerberos 관리 서버인 kadmind와 인증 및 티켓 부여 데몬인 krb5kdc를 포함합니다. 각 영역에는 적어도 하나의 마스터 KDC가 있어야 하고, 클라이언트에 인증 서비스를 제공하는 많은 중복된 슬레이브 KDC를 포함할 수 있습니다.
메시지 다이제스트는 메시지에서 계산된 해시 값입니다. 해시 값은 메시지를 거의 고유하게 식별합니다. 다이제스트는 파일 무결성 확인에 유용합니다.
사용자 인증과 더불어, 암호화 체크섬을 통해 전송된 데이터의 유효성을 제공하는 보안 서비스입니다. 인증, 프라이버시도 참조하십시오.
1. 데이터 인증 또는 기밀성을 이루기 위한 암호화 기법을 지정하는 소프트웨어 패키지입니다. 예: Kerberos V5, Diffie-Hellman 공개 키.
2. Oracle Solaris의 암호화 프레임워크 기능에서 특정 목적을 위한 알고리즘의 구현입니다. 예를 들어, 인증에 적용된 DES 방식(예: CKM_DES_MAC)은 암호화에 적용된 DES 방식(예: CKM_DES_CBC_PAD)과 별도의 방식입니다.
방식을 참조하십시오.
서비스를 참조하십시오.
비보안 네트워크를 통해 보안 원격 로그인 및 기타 보안 네트워크 서비스를 제공하기 위한 특수한 프로토콜입니다.
RBAC에서 수퍼유저가 아닌 일반 사용자가 관리 명령을 실행할 때 명령을 성공하게 해주는 보안 정책의 대체입니다. 수퍼유저 모델에서 setuid 및 setgid 프로그램이 보안 속성입니다. 이러한 속성을 명령에 적용할 때 누가 명령을 실행하든지 관계없이 명령을 성공합니다. 권한 모델에서 보안 속성은 권한입니다. 명령에 권한을 부여할 때 명령을 성공합니다. 권한 모델에서도 setuid 및 setgid 프로그램을 보안 속성으로 인식하므로 수퍼유저 모델과 호환됩니다.
정책을 참조하십시오.
종류를 참조하십시오.
개인 키를 참조하십시오.
비동기 이벤트는 시스템 이벤트의 소수를 차지합니다. 이러한 이벤트는 어떤 프로세스와 연관되지 않으므로 프로세스를 차단했다가 나중에 깨울 수 없습니다. 비동기 이벤트의 예로, 초기 시스템 부트 및 PROM 진입/종료 이벤트가 있습니다.
특정 사용자에 기인한 주체입니다. 사용자 주체의 기본 이름은 사용자 이름이고, 선택적 인스턴스는 의도한 해당 자격 증명 용도를 설명하는 데 사용되는 이름입니다(예: jdoe 또는 jdoe/admin). 사용자 인스턴스라고도 합니다. 서비스 주체도 참조하십시오.
exec의 호출에서 프로세스가 상속할 수 있는 권한 세트입니다.
네트워크 클라이언트에 리소스를 제공하는 주체입니다. 예를 들어, central.example.com 시스템에 ssh를 제공하면 해당 시스템은 ssh 서비스를 제공하는 서버입니다. 서비스 주체도 참조하십시오.
(RPCSEC_GSS API) 서비스를 제공하는 주체입니다. 서버 주체는 service @host 형식으로 ASCII 문자열로 저장됩니다. 클라이언트 주체도 참조하십시오.
1. 종종 여러 대의 서버에 의해 네트워크 클라이언트에 제공된 리소스입니다. 예를 들어, central.example.com 시스템에 rlogin을 제공하는 경우 해당 시스템은 rlogin 서비스를 제공하는 서버입니다.
2. 인증 외의 보호 레벨을 제공하는 보안 서비스(무결성 또는 프라이버시)입니다. 무결성 및 프라이버시도 참조하십시오.
서비스에 Kerberos 인증을 제공하는 주체입니다. 서비스 주체의 경우 기본 이름은 ftp와 같은 서비스 이름이고, 해당 인스턴스는 서비스를 제공하는 시스템의 정규화된 호스트 이름입니다. 호스트 주체, 사용자 주체도 참조하십시오.
서비스 주체 및 KDC에서 공유되고 시스템 한도 밖에서 배포되는 암호화 키입니다. key도 참조하십시오.
인증 서비스 또는 TGS(티켓 부여 서비스)에서 생성된 키입니다. 세션 키는 클라이언트와 서비스 간에 보안 트랜잭션을 제공하기 위해 생성됩니다. 세션 키의 수명은 단일 로그인 세션으로 제한됩니다. key도 참조하십시오.
Oracle Solaris의 암호화 프레임워크 기능에서 소비자는 공급자로부터 전달된 암호화 서비스의 사용자입니다. 소비자는 응용 프로그램, 최종 사용자 또는 커널 작업일 수 있습니다. 소비자의 예로 Kerberos, IKE, IPsec 등이 있습니다. 공급자의 예는 공급자를 참조하십시오.
Oracle Solaris의 암호화 프레임워크 기능에서 암호화 서비스를 제공하는 커널 소프트웨어 모듈 또는 PKCS #11 라이브러리입니다. 공급자도 참조하십시오.
컴퓨터 시스템의 전형적인 UNIX 보안 모델입니다. 수퍼유저 모델에서 관리자는 all-or-nothing 방식으로 시스템을 제어합니다. 일반적으로, 시스템을 관리하려면 사용자가 수퍼유저(root)를 맡고 모든 관리 작업을 수행할 수 있습니다.
마스터 KDC의 복사본으로, 대부분의 마스터 기능을 수행할 수 있습니다. 각 영역에는 대개 여러 개의 슬레이브 KDC(마스터 KDC는 하나만)가 있습니다. KDC, 마스터 KDC도 참조하십시오.
무작위 수를 생성하기 위한 숫자 스타터입니다. 스타터가 무작위 소스에서 기원할 때 씨드를 무작위 씨드라고 합니다.
암호화 알고리즘. 입력을 암호화하거나 해시하는 확립된 순환적 계산 프로시저입니다.
암호를 생성하는 데 사용할 수 있는 암호화 알고리즘입니다. 암호 변경 주기, 잘못된 입력 허용 개수, 기타 보안 고려 사항 등 암호와 관련한 일반적인 사안이라고 할 수 있습니다. 보안 정책에 암호가 필요합니다. 암호 정책에서는 암호를 MD5 알고리즘으로 암호화해야 하고, 추가로 암호 강도와 관련된 요구 사항이 필요할 수 있습니다.
개인 키를 암호문 사용자가 만들었는지 확인하는 데 사용되는 문구입니다. 좋은 암호문은 10-30자 길이로, 영문자와 숫자를 섞어서 만들고 단순한 문구와 단순한 이름을 피합니다. 통신을 암호화 및 해독하기 위해 개인 키 사용을 인증하려면 암호문을 묻는 메시지가 나타납니다.
알고리즘을 참조하십시오.
Oracle Solaris의 암호화 프레임워크 기능에서 정책은 기존 암호화 방식을 사용 안함으로 설정합니다. 그러면 방식을 사용할 수 없습니다. 암호화 프레임워크의 정책은 DES와 같은 공급자가 CKM_DES_CBC와 같은 특정 방식을 사용하는 것을 금지할 수 있습니다.
네트워크 애플리케이션 서버를 참조하십시오.
액세스 제어 목록(ACL)은 전통적인 UNIX 파일 보호보다 좀 더 세부적인 파일 보안을 제공합니다. 예를 들어, ACL을 사용하여 파일에 그룹 읽기 액세스를 허용하면서 해당 그룹의 한 멤버만 파일 쓰기를 허용할 수 있습니다.
지정된 사용자만 맡을 수 있는 권한 있는 응용 프로그램을 실행하기 위한 특수한 신원입니다.
1. 단일 Kerberos 데이터베이스와 일련의 KDC(키 배포 센터)에 의해 제공된 논리적 네트워크입니다.
2. 주체 이름의 세번째 부분입니다. 주체 이름 jdoe/admin@ENG.EXAMPLE.COM의 경우 영역은 ENG.EXAMPLE.COM입니다. 주체 이름도 참조하십시오.
현재 프로세스에 발효 중인 권한 세트입니다.
역할이 작동하도록 허가된 범위입니다. 즉, NIS 또는 LDAP과 같은 지정된 이름 지정 서비스에서 제공하는 개별 호스트 또는 모든 호스트를 말합니다.
주체 이름의 두번째 부분으로, 인스턴스는 주체의 기본 부분을 한정합니다. 서비스 주체의 경우 인스턴스는 필수 사항입니다. 인스턴스는 host/central.example.com과 같이 호스트의 정규화된 도메인 이름입니다. 사용자 주체의 경우 인스턴스는 선택 사항입니다. 그러나 jdoe 및 jdoe/admin은 고유한 주체입니다. primary, 주체 이름, 서비스 주체, 사용자 주체도 참조하십시오.
주체의 제시된 신원을 확인하는 프로세스입니다.
인증자는 티켓(KDC에서) 및 서비스(서버에서)를 요청할 때 클라이언트에 의해 전달됩니다. 최근 시점에서 확인할 수 있는 클라이언트 및 서버에만 알려진 세션 키를 사용하여 생성된 정보를 포함하므로 트랜잭션이 안전한 것으로 나타납니다. 티켓과 함께 사용할 경우 인증자는 사용자 주체를 인증할 수 있습니다. 인증자에는 사용자의 주체 이름, 사용자 호스트의 IP 주소, 시간 기록이 포함됩니다. 티켓과 달리, 인증자는 대개 서비스 액세스를 요청할 때 한번만 사용할 수 있습니다. 인증자는 클라이언트 및 서버에 대한 세션 키를 사용하여 암호화됩니다.
티켓 및 일치하는 세션 키를 포함하는 정보 패키지입니다. 주체의 신원을 인증하는 데 사용됩니다. 티켓, 세션 키도 참조하십시오.
KDC로부터 받은 자격 증명을 포함하는 저장 공간(대개 파일)입니다.
아직 사용할 수 없는 후일자 티켓입니다. 잘못된 티켓은 유효해질 때까지 애플리케이션 서버에서 거부합니다. 유효화하려면 시작 시간이 지난 후에 VALIDATE 플래그 세트를 사용하여 TGS 요청의 클라이언트가 KDC에 잘못된 티켓을 제시해야 합니다. 후일자 티켓도 참조하십시오.
커널 레벨의 장치 보호입니다. 장치 정책은 장치에 두 개의 권한 세트로 구현됩니다. 첫번째 권한 세트는 장치의 읽기 액세스를 제어합니다. 두번째 권한 세트는 장치의 쓰기 액세스를 제어합니다. 정책도 참조하십시오.
사용자 레벨의 장치 보호입니다. 장치 할당은 하나의 장치를 한번에 한 사용자만 배타적으로 사용하도록 합니다. 장치 재사용 전에 장치 데이터를 비웁니다. 인증을 사용하여 장치 할당이 허가된 사용자를 제한할 수 있습니다.
클라이언트가 원격 호스트에서 티켓을 요청하기 위해 전체 인증 프로세스를 거치지 않고도 사용할 수 있는 티켓입니다. 예를 들어, 사용자 jennifer의 시스템에 있는 동안 사용자 david가 전달 가능 티켓을 얻은 경우 david는 새 티켓을 얻지 않고도(다시 인증받을 필요 없이) 자신의 시스템에 로그인할 수 있습니다. 프록시 가능 티켓도 참조하십시오.
일반적으로, 의사결정 및 조치를 반영하거나 결정하는 계획이나 행동 방침입니다. 컴퓨터 시스템의 경우 정책은 대개 보안 정책을 의미합니다. 사이트의 보안 정책은 처리 중인 정보의 민감도를 정의하는 규칙 세트이자, 허용되지 않은 액세스로부터 정보를 보호하는 데 사용되는 측정치입니다. 예를 들어, 시스템을 감사하고 장치를 권한으로 보호하고 암호를 6주마다 변경하도록 보안 정책을 수립할 수 있습니다.
Oracle Solaris OS의 특정 영역에서 정책을 구현하는 방법은 감사 정책, 암호화 프레임워크의 정책, 장치 정책, Kerberos 정책, 암호 정책, RBAC 정책을 참조하십시오.
프로세스와 그 자식에 사용 가능한 권한에 대한 외부 제한입니다.
전통적으로, 보안 종류 및 인증 종류는 인증 유형(AUTH_UNIX, AUTH_DES, AUTH_KERB)을 지칭한 종류로서, 동일한 의미입니다. RPCSEC_GSS는 인증과 더불어 무결성과 프라이버시 서비스를 제공하지만 역시 보안 종류입니다.
1. primary/instance@REALM 형식의 주체 이름입니다. 인스턴스, primary, 영역도 참조하십시오.
최소한의 특권 개념의 일부입니다. 책임 구분 하에서는, 한 사용자가 트랜잭션을 완성하는 모든 작업을 수행하거나 승인할 수 없습니다. 예를 들어, RBAC에서 보안 대체 지정으로부터 로그인 사용자 생성을 분리할 수 있습니다. 한 역할이 사용자를 만듭니다. 별도의 역할이 권한 프로파일, 역할, 기존 사용자의 권한과 같은 보안 속성을 지정할 수 있습니다.
(기존 TGT(티켓 부여 티켓)에 기반하지 않고) 직접 발행된 티켓입니다. 암호를 변경하는 응용 프로그램과 같은 일부 서비스는 initial로 표시된 티켓이 필요할 수 있으므로 클라이언트가 보안 키를 알고 있다는 것을 스스로 보증해야 합니다. 초기 티켓은 클라이언트가 (오랫동안 존재해 왔던 TGT(티켓 부여 티켓)에 의존하는 대신) 최근에 자체 인증되었음을 나타내므로 이 보증은 매우 중요합니다.
지정된 프로세스를 수퍼유저 권력의 일부에만 제공하는 보안 모델입니다. 최소 권한 모델은 일반 사용자가 파일 시스템 마운트 및 파일 소유권 변경과 같은 개인적인 관리 작업을 수행할 수 있도록 충분한 권한을 지정합니다. 반면에 프로세스는 완전한 수퍼유저 권력(즉 모든 권한)이 아닌, 작업 완료에 필요한 권한으로만 실행됩니다. 버퍼 오버플로우 같은 프로그래밍 오류로 인한 손해는, 보호된 시스템 파일 읽기/쓰기 또는 시스템 정지 같은 중요한 능력에 액세스할 수 없는 비루트 사용자에 국한될 수 있습니다.
서버 실행에 필요한 최소 운영 체제를 설치합니다. 서버 작동에 직접적인 관련이 없는 소프트웨어는 설치되지 않거나 설치 후 삭제됩니다.
AUE_BOOT 이벤트와 같이 개시자가 결정할 수 없는 감사 이벤트입니다.
좁은 의미로, 사용자 대신 네트워크 서비스를 이용하는 프로세스입니다. 예를 들어, rlogin을 사용하는 응용 프로그램이 있습니다. 어떤 경우 서버 자체가 다른 서버나 서비스의 클라이언트가 될 수 있습니다.
더 넓은 의미로, a) Kerberos 자격 증명을 수신하고 b) 서버에서 제공한 서비스를 이용하는 호스트입니다.
간단히 말하면, 서비스를 이용하는 주체입니다.
(RPCSEC_GSS API) RPCSEC_GSS로 보안된 네트워크 서비스를 사용하는 클라이언트(사용자 또는 응용 프로그램)입니다. 클라이언트 주체 이름은 rpc_gss_principal_t 구조 형태로 저장됩니다.
Kerberos 인증 시스템에 참여하는 모든 호스트의 내부 시스템 클럭에 차이가 날 수 있는 최대 시간입니다. 참여하는 호스트 사이에 클럭 불균형을 초과할 경우 요청이 거부됩니다. 클럭 불균형은 krb5.conf 파일에 지정할 수 있습니다.
사용자의 신원을 서버나 서비스로 안전하게 전달하는 데 사용되는 정보 패킷입니다. 티켓은 단일 클라이언트에만, 그리고 특정 서버의 특정 서비스에만 유효합니다. 티켓에는 서비스의 주체 이름, 사용자의 주체 이름, 사용자 호스트의 IP 주소, 시간 기록, 티켓의 수명을 정의하는 값이 포함됩니다. 클라이언트 및 서비스에서 사용할 무작위 세션 키로 티켓이 생성됩니다. 일단 티켓이 만들어지면 만료될 때까지 재사용할 수 있습니다. 티켓은 새로운 인증자와 함께 제시될 때 클라이언트 인증에만 사용됩니다. 인증자, 자격 증명, 서비스, 세션 키도 참조하십시오.
자격 증명 캐시를 참조하십시오.
전송된 데이터를 보내기 전에 암호화하는 보안 서비스입니다. 프라이버시에는 데이터 무결성과 사용자 인증도 포함됩니다. 인증, 무결성, 서비스도 참조하십시오.
RBAC에서 역할(또는 사용자)이 권한 프로파일에 지정된 권한 있는 응용 프로그램을 명령줄에서 실행할 수 있는 셸입니다. 프로파일 셸은 pfsh, pfcsh, pfksh입니다. 각각 Bourne 셸(sh), C 셸(csh), Korn 셸(ksh)에 해당합니다.
클라이언트에 작업을 수행하는 대신, 서비스에서 사용할 수 있는 티켓입니다. 따라서 서비스가 클라이언트의 프록시 역할을 한다고 말할 수 있습니다. 티켓을 사용하여 서비스는 클라이언트의 신원을 차용할 수 있습니다. 프록시 가능 티켓을 사용하여 다른 서비스에 대한 서비스 티켓을 얻을 수 있지만, TGT(티켓 부여 티켓)는 얻을 수 없습니다. 프록시 가능 티켓과 전달 가능 티켓의 차이점은, 프록시 가능 티켓은 단일 작업에만 유효하다는 것입니다. 전달 가능 티켓도 참조하십시오.
Oracle Solaris의 암호화 프레임워크 기능에서 장치 드라이버 및 해당 하드웨어 가속기입니다. 하드웨어 공급자는 컴퓨터 시스템에서 값비싼 암호화 작업 부담을 덜어주므로 CPU 리소스를 확보하여 다른 용도로 사용할 수 있습니다. 공급자도 참조하십시오.
프로세스에서 사용할 수 있는 권한 세트입니다.
네트워크를 통해 액세스 가능한 시스템입니다.
ftp, rcp, rlogin과 같은 네트워크 서비스 범위를 제공하기 위해 (기본 이름 host로 서명된) 주체가 설정되는 특정 인스턴스의 서비스 주체입니다. 호스트 주체의 예는 host/central.example.com@EXAMPLE.COM입니다. 서버 주체도 참조하십시오.
후일자 티켓은 생성 후 지정된 시간까지 유효해지지 않습니다. 예를 들어, 이러한 티켓은 밤 늦게 실행하려는 일괄 처리 작업에 유용합니다. 티켓을 훔친 경우 일괄 처리 작업이 실행될 때까지 티켓을 사용할 수 없기 때문입니다. 후일자 티켓을 발행할 때 invalid로 발행되고 a) 시작 시간이 지날 때까지 b) 클라이언트가 KDC에서 검증으로 요청할 때까지 해당 방법을 유지합니다. 후일자 티켓은 보통 TGT(티켓 부여 티켓)의 만료 시간까지 유효합니다. 그러나 후일자 티켓이 renewable로 표시된 경우 티켓의 수명이 보통 TGT(티켓 부여 티켓)의 전체 수명 기간과 똑같이 설정됩니다. 잘못된 티켓, 갱신 가능 티켓도 참조하십시오.
|