JavaScript is required to for searching.
탐색 링크 건너뛰기
인쇄 보기 종료
Oracle Solaris 관리: 보안 서비스     Oracle Solaris 11 Information Library (한국어)
search filter icon
search icon

문서 정보

머리말

제1부보안 개요

1.  보안 서비스(개요)

제2부시스템, 파일 및 장치 보안

2.  시스템 보안 관리(개요)

3.  시스템에 대한 액세스 제어(작업)

4.  바이러스 검사 서비스(작업)

5.  장치에 대한 액세스 제어(작업)

6.  기본 감사 보고 도구 사용(작업)

7.  파일에 대한 액세스 제어(작업)

제3부역할, 권한 프로파일 및 권한

8.  역할 및 권한 사용(개요)

9.  역할 기반 액세스 제어 사용(작업)

RBAC 사용(작업)

RBAC 기본값 보기 및 사용(작업)

RBAC 기본값 보기 및 사용(작업 맵)

모든 정의된 보안 속성을 보는 방법

할당된 권한을 보는 방법

역할을 맡는 방법

관리 권한을 얻는 방법

사이트에 대해 RBAC 사용자 정의(작업)

RBAC 초기 구성(작업 맵)

RBAC 구현을 계획하는 방법

역할을 만드는 방법

역할을 할당하는 방법

역할을 감사하는 방법

감사 프로파일을 만들거나 변경하는 방법

RBAC 등록 정보를 레거시 응용 프로그램에 추가하는 방법

RBAC 및 권한 할당 문제를 해결하는 방법

RBAC 관리(작업)

RBAC 관리(작업 맵)

역할의 암호를 변경하는 방법

역할의 보안 속성을 변경하는 방법

사용자의 RBAC 등록 정보를 변경하는 방법

사용자를 데스크탑 응용 프로그램으로 제한하는 방법

관리자를 명시적으로 할당된 권한으로 제한하는 방법

사용자가 고유의 암호를 사용하여 역할을 맡도록 설정하는 방법

root 역할을 사용자로 변경하는 방법

권한 사용(작업)

권한 확인(작업 맵)

시스템의 권한을 나열하는 방법

직접 할당된 권한을 확인하는 방법

실행할 수 있는 권한 있는 명령을 확인하는 방법

권한 관리(작업 맵)

프로세스의 권한을 확인하는 방법

프로그램에 필요한 권한을 확인하는 방법

권한 있는 명령으로 셸 스크립트를 실행하는 방법

10.  Oracle Solaris의 보안 속성(참조)

제4부암호화 서비스

11.  암호화 프레임워크(개요)

12.  암호화 프레임워크(작업)

13.  키 관리 프레임워크

제5부인증 서비스 및 보안 통신

14.  네트워크 서비스 인증(작업)

15.  PAM 사용

16.  SASL 사용

17.  Secure Shell 사용(작업)

18.  Secure Shell(참조)

제6부Kerberos 서비스

19.  Kerberos 서비스 소개

20.  Kerberos 서비스 계획

21.  Kerberos 서비스 구성(작업)

22.  Kerberos 오류 메시지 및 문제 해결

23.  Kerberos 주체 및 정책 관리(작업)

24.  Kerberos 응용 프로그램 사용(작업)

25.  Kerberos 서비스(참조)

제7부Oracle Solaris에서 감사

26.  감사(개요)

27.  감사 계획

28.  감사 관리(작업)

29.  감사(참조)

용어집

색인

RBAC 기본값 보기 및 사용(작업)

사용자는 기본적으로 권한에 할당됩니다. 시스템의 모든 사용자에 대한 권한은 /etc/security/policy.conf 파일에서 할당됩니다.

RBAC 기본값 보기 및 사용(작업 맵)

Oracle Solaris 설치에서 시스템은 사용자 권한과 프로세스 권한으로 구성됩니다. 더 이상의 구성 없이 RBAC를 보고 사용하려면 다음 작업 맵을 사용하십시오.

작업
설명
수행 방법
보안 속성 데이터베이스의 내용을 봅니다.
시스템의 모든 권한 부여, 권한 프로파일 및 보안 속성 포함 명령을 나열합니다.
권한을 봅니다.
권한 프로파일, 권한 부여, 권한 및 할당된 역할을 나열합니다.
root 역할을 맡습니다.
초기 사용자는 관리 권한을 얻습니다.
관리자로 전환합니다.
관리 권한에 할당된 사용자에게 이러한 권한을 사용하기 위한 여러 방법을 제공할 수 있습니다.

모든 정의된 보안 속성을 보는 방법

다음 명령을 사용하여 시스템의 모든 권한 부여, 권한 프로파일 및 보안 속성 포함 명령을 나열합니다. 모든 정의된 권한을 나열하려면 시스템의 권한을 나열하는 방법을 참조하십시오.

  1. 모든 권한 부여를 나열합니다.
    % getent auth_attr | more
    solaris.:::All Solaris Authorizations::help=AllSolAuthsHeader.html
    solaris.account.:::Account Management::help=AccountHeader.html
    ...
    solaris.zone.login:::Zone Login::help=ZoneLogin.html
    solaris.zone.manage:::Zone Deployment::help=ZoneManage.html
  2. 모든 권한 프로파일을 나열합니다.
    % getent prof_attr | more
    All:::Execute any command as the user or role:help=RtAll.html
    Audit Configuration:::Configure Solaris Audit:auths=solaris.smf.value.audit;
    help=RtAuditCfg.html
    ...
    Zone Management:::Zones Virtual Application Environment Administration:
    help=RtZoneMngmnt.html
    Zone Security:::Zones Virtual Application Environment Security:auths=solaris.zone.*,
    solaris.auth.delegate;help=RtZoneSecurity.html ...
  3. 모든 보안 속성 포함 명령을 나열합니다.
    % getent exec_attr | more
    All:solaris:cmd:::*:
    Audit Configuration:solaris:cmd:::/usr/sbin/auditconfig:privs=sys_audit
    ...
    Zone Security:solaris:cmd:::/usr/sbin/txzonemgr:uid=0
    Zone Security:solaris:cmd:::/usr/sbin/zonecfg:uid=0 ...

할당된 권한을 보는 방법

다음 명령을 사용하여 RBAC 할당 사항을 봅니다. 모든 할당 가능한 권한을 보려면 모든 정의된 보안 속성을 보는 방법을 참조하십시오.

  1. 내 권한 부여를 나열합니다.
    % auths
    solaris.device.cdrw,solaris.device.mount.removable,solaris.mail.mailq

    이러한 권한 부여는 기본적으로 모든 사용자에 할당됩니다.

  2. 내 권한 프로파일을 나열합니다.
    % profiles
    Basic Solaris User
    All

    이러한 권한 프로파일은 기본적으로 모든 사용자에 할당됩니다.

  3. 내 할당된 역할을 나열합니다.
    % roles
    root

    이 역할은 기본적으로 초기 사용자에 할당됩니다. No roles는 역할이 할당되지 않음을 나타냅니다.

  4. 기본 셸의 권한을 나열합니다.
    % ppriv $$
    1234:    /bin/csh
    flags = <none>
        E: basic
        I: basic
        P: basic
        L: all

    모든 사용자는 기본적으로 기본 권한 세트에 할당됩니다. 제한 세트는 모든 권한입니다.

    % ppriv -vl basic
    file_link_any
            Allows a process to create hardlinks to files owned by a uid
            different from the process' effective uid.
    file_read
            Allows a process to read objects in the filesystem.
    file_write
            Allows a process to modify objects in the filesystem.
    net_access
            Allows a process to open a TCP, UDP, SDP or SCTP network endpoint.
    proc_exec
            Allows a process to call execve().
    proc_fork
            Allows a process to call fork1()/forkall()/vfork()
    proc_info
            Allows a process to examine the status of processes other
            than those it can send signals to.  Processes which cannot
            be examined cannot be seen in /proc and appear not to exist.
    proc_session
            Allows a process to send signals or trace processes outside its session.
  5. 권한 프로파일의 명령에 대한 권한을 나열합니다.
    % profiles -l
      Basic Solaris User
       /usr/bin/cdda2wav.bin   privs=file_dac_read,sys_devices,
         proc_priocntl,net_privaddr
       /usr/bin/cdrecord.bin   privs=file_dac_read,sys_devices,
         proc_lock_memory,proc_priocntl,net_privaddr
       /usr/bin/readcd.bin     privs=file_dac_read,sys_devices,net_privaddr
      All
       * 

    사용자의 권한 프로파일에는 특정 권한으로 실행되는 명령이 포함될 수 있습니다. Basic Solaris User 프로파일은 사용자가 CD-ROM을 읽고 쓸 수 있는 명령을 포함합니다.

예 9-1 사용자의 권한 부여 나열

% auths username
solaris.device.cdrw,solaris.device.mount.removable,solaris.mail.mailq

예 9-2 사용자 또는 역할의 권한 프로파일 나열

다음 명령은 특정 사용자의 권한 프로파일을 나열합니다.

% profiles jdoe
jdoe: 
          Basic Solaris User
          All

다음 명령은 cryptomgt 역할의 권한 프로파일을 나열합니다.

% profiles cryptomgt
cryptomgt:
          Crypto Management
          Basic Solaris User
          All

다음 명령은 root 역할의 권한 프로파일을 나열합니다.

% profiles root
root:
          All
          Console User
          Network Wifi Info
          Desktop Removable Media User
          Suspend To RAM
          Suspend To Disk
          Brightness
          CPU Power Management
          Network Autoconf User
          Basic Solaris User

예 9-3 사용자의 할당된 역할 나열

다음 명령은 특정 사용자의 할당된 역할을 나열합니다.

% roles jdoe
root

예 9-4 특정 명령에 대한 사용자의 권한 나열

다음 명령은 일반 사용자의 권한 프로파일에서 권한 있는 명령을 나열합니다.

% profiles -l jdoe
jdoe: 
  Basic Solaris User
   /usr/bin/cdda2wav.bin   privs=file_dac_read,sys_devices,
     proc_priocntl,net_privaddr
   /usr/bin/cdrecord.bin   privs=file_dac_read,sys_devices,
     proc_lock_memory,proc_priocntl,net_privaddr
   /usr/bin/readcd.bin     privs=file_dac_read,sys_devices,net_privaddr
  All
   * 

역할을 맡는 방법

시작하기 전에

역할에 이미 할당되어야 합니다. 이름 지정 서비스를 해당 정보로 업데이트해야 합니다.

  1. 터미널 창에서 맡을 수 있는 역할을 확인합니다.
    % roles
    Comma-separated list of role names is displayed
  2. su 명령을 사용하여 역할을 맡습니다.
    % su - rolename
    Password: <Type rolename password>
    $

    su - rolename 명령은 해당 셸을 역할의 프로파일 셸로 변경합니다. 프로파일 셸은 권한 부여, 권한, 세트 ID 비트와 같은 보안 속성을 인식합니다.

  3. (옵션) 지금 역할에 속해 있는지 확인합니다.
    $ /usr/bin/whoami
    rolename

    이제 이 터미널 창에서 역할 작업을 수행할 수 있습니다.

  4. (옵션) 역할 기능을 봅니다.

    절차는 할당된 권한을 보는 방법을 참조하십시오.

예 9-5 root 역할 맡기

다음 예에서 초기 사용자가 root 역할을 맡고 역할의 셸에 권한을 나열합니다.

% roles
root
% su - root
Password: <Type root password>
# Prompt changes to root prompt
# ppriv $$
1200:   pfksh
flags = <none>
        E: all
        I: basic
        P: all
        L: all

권한에 대한 내용은 권한(개요)을 참조하십시오.

관리 권한을 얻는 방법

관리 권한은 프로파일 셸을 실행 중일 때 적용됩니다. 기본적으로 역할 계정은 프로파일 셸에 할당됩니다. 역할은 특정 관리 작업에 할당된 특수한 계정으로, 일반적으로 감사 파일 검토와 같은 관리 활동에 관련됩니다.

root 역할에서 초기 사용자는 모든 관리 권한을 가진 수퍼유저입니다. root 역할로 다른 역할을 만들 수 있습니다.

시작하기 전에

시스템을 관리하려면 일반 사용자에 할당되지 않은 권한이 있어야 합니다. 수퍼유저가 아닌 경우 역할, 관리 권한 프로파일 또는 특정 권한이나 권한 부여에 할당되어야 합니다.

예 9-6 역할 사용의 편의성을 위해 인증 캐싱

이 예에서 관리자가 네트워크를 관리하는 역할을 구성하되, 사용자의 인증을 캐싱하여 사용 편의성을 제공합니다. 먼저, 관리자가 역할을 만들고 할당합니다.

# roleadd -K roleauth=user -P "Network Management" netmgt
# usermod -R +netmgt jdoe

jdoe가 역할로 전환할 때 -c 옵션을 사용하는 경우 snoop 출력 표시에 앞서 암호를 요구합니다.

% su - netmgt -c snoop options
Password:

snoop output

인증이 캐싱되지 않는 경우 jdoe가 즉시 명령을 다시 실행하면 암호 프롬프트가 나타납니다.

관리자가 인증을 캐싱하도록 pam.conf 파일을 구성합니다. 그러면 초기에 암호가 필요하지만, 그 후에 특정 시간이 지날 때까지 암호를 요구하지 않습니다. 관리자가 모든 사용자 정의된 pam.conf 스택을 파일 끝에 놓습니다.

# vi /etc/pam.conf
...
#
## Cache authentication for switched user
#
su      auth required           pam_unix_cred.so.1
su      auth sufficient         pam_tty_tickets.so.1
su      auth requisite          pam_authtok_get.so.1
su      auth required           pam_dhkeys.so.1
su      auth required           pam_unix_auth.so.1

입력한 후에 관리자가 입력에 오타, 누락, 반복이 있는지 검사합니다.

전체 su 스택이 필요합니다. pam_tty_tickets.so.1 모듈은 캐시를 제공합니다. PAM에 대한 자세한 내용은 pam.conf(4) 매뉴얼 페이지와 15 장PAM 사용을 참조하십시오.

su PAM 스택을 pam.conf 파일에 추가한 후에는 netmgt 역할이 일련의 명령을 실행할 때 한번만 암호를 묻습니다.

% su - netmgt -c snoop options
Password:

snoop output
% su - netmgt -c snoop options
snoop output
...