탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행(작업)
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리(작업)
Trusted Extensions의 영역 관리 유틸리티
레이블이 있는 영역에 일반적으로 표시되지 않는 파일을 루프백 마운트하는 방법
레이블이 있는 영역에서 ZFS 데이터 집합을 공유하는 방법
레이블이 있는 영역에서 파일의 레이블을 재지정할 수 있게 설정하는 방법
14. Trusted Extensions에서 파일 관리 및 마운트(작업)
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리(참조)
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 검사 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
올바르게 구성된 Trusted Extensions 시스템은 운영 체제 인스턴스인 전역 영역과 레이블이 있는 하나 이상의 비전역 영역으로 구성됩니다. 구성하는 동안 Trusted Extensions에서 각 영역에 고유한 레이블을 연결하여 레이블이 있는 영역을 만듭니다. 레이블은 label_encodings 파일에서 가져옵니다. 각 레이블에 대해 하나의 영역을 만들 수 있지만, 반드시 그래야 하는 것은 아닙니다. 시스템에 레이블이 있는 영역보다 레이블이 더 많을 수 있지만, 레이블보다 레이블이 있는 영역이 더 많을 수는 없습니다.
Trusted Extensions 시스템에서 전역 영역은 온전히 관리 영역입니다. 레이블이 있는 영역은 일반 사용자용입니다. 사용자는 레이블이 승인 범위 내에 있는 영역에서 작업할 수 있습니다.
Trusted Extensions 시스템에서 영역의 파일 시스템은 대개 루프백 파일 시스템(lofs)으로 전역 영역에 마운트됩니다. 레이블이 있는 영역에서 모든 쓰기 가능한 파일과 디렉토리는 영역의 레이블에 있습니다. 기본적으로 사용자는 현재 레이블보다 하위 레이블에 있는 영역의 파일을 볼 수 있습니다. 이 구성을 통해 현재 작업 공간의 레이블보다 하위 레이블에 있는 홈 디렉토리를 볼 수 있습니다. 사용자는 하위 레이블에서 파일을 볼 수 있지만 수정할 수는 없습니다. 사용자는 파일과 동일한 레이블을 가진 프로세스에서만 파일을 수정할 수 있습니다.
각 영역은 고유의 ZFS 파일 시스템입니다. 모든 영역에는 연결된 IP 주소와 보안 속성이 있을 수 있습니다. MLP(다중 레벨 포트)로 영역을 구성할 수 있습니다. ping과 같은 ICMP(Internet Control Message Protocol) 브로드캐스트에 대한 정책으로 영역을 구성할 수도 있습니다.
레이블이 있는 영역에서 디렉토리를 공유하는 방법과 레이블이 있는 영역에서 원격으로 디렉토리를 마운트하는 방법은 14 장Trusted Extensions에서 파일 관리 및 마운트(작업) 및 레이블이 있는 ZFS 데이터 집합 마운트를 참조하십시오.
Trusted Extensions의 영역은 Oracle Solaris 영역 제품을 기반으로 빌드됩니다. Oracle Solaris 관리: Oracle Solaris Zones, Oracle Solaris 10 Zones 및 리소스 관리의 제II부, Oracle Solaris Zones을 참조하십시오.
초기 설치 팀이 전역 영역과 레이블이 있는 영역에 IP 주소를 할당했습니다. 레이블이 있는 영역에 액세스에 설명된 대로 세 가지 유형의 구성을 고려했으며 다음과 같이 요약됩니다.
시스템에 전역 영역과 레이블이 있는 모든 영역에 대한 IP 주소가 하나 있습니다.
이 기본 구성은 DHCP 소프트웨어를 사용하여 해당 IP 주소를 얻는 시스템에 유용합니다.
시스템에 전역 영역에 대한 IP 주소와 전역 영역을 포함한 모든 영역에서 공유되는 IP 주소가 하나씩 있습니다. 모든 영역에서 고유 주소와 공유 주소를 조합하여 사용할 수 있습니다.
이 구성은 일반 사용자가 로그인하는 네트워크로 연결된 시스템에 유용합니다. 프린터나 NFS 서버에도 이 구성을 사용할 수 있습니다. 이 구성은 IP 주소를 절약합니다.
시스템에 전역 영역에 대한 IP 주소가 하나 있고 레이블이 있는 영역마다 고유 IP 주소가 있습니다.
이 구성은 단일 레벨 시스템의 개별 물리적 네트워크에 액세스하는 데 유용합니다. 일반적으로 각 영역에는 다른 레이블이 있는 영역과 구별되는 물리적 네트워크상의 IP 주소가 있습니다. 이 구성은 단일 IP 인스턴스로 구현되기 때문에 전역 영역은 물리적 인터페이스를 제어하고 전역 리소스(예: 경로 테이블)를 관리합니다.
비전역 영역에 대한 네 번째 유형의 구성은 독점 IP 인스턴스로 Oracle Solaris에서 사용할 수 있습니다. 이 구성에서 비전역 영역은 자신의 IP 인스턴스에 지정되고 자신의 물리적 인터페이스를 관리합니다. 각 영역은 고유 시스템처럼 작동합니다. 설명은 Oracle Solaris 관리: Oracle Solaris Zones, Oracle Solaris 10 Zones 및 리소스 관리의 영역 네트워크 인터페이스를 참조하십시오.
Trusted Extensions에서 독점 IP 인스턴스를 구성할 경우 각 레이블이 있는 영역은 고유의 단일 레벨 시스템인 것처럼 작동합니다. Trusted Extensions의 다중 레벨 네트워킹 기능은 공유 IP 스택의 기능을 사용합니다. 이 설명서에서는 네트워킹을 전적으로 전역 영역에서 제어하는 것으로 간주합니다. 따라서 초기 설치 팀에서 독점 IP 인스턴스로 레이블이 있는 영역을 설치한 경우 사이트별 설명서를 제공하거나 알려줘야 합니다.
기본적으로 영역 간에는 패킷을 보내고 받을 수 없습니다. 포트의 특정 서비스에서 MLP(다중 레벨 포트)를 사용하여 레이블 범위나 레이블 집합에서 요청을 받을 수 있습니다. 이 권한 있는 서비스에서는 요청 레이블에 응답할 수 있습니다. 예를 들어, 모든 레이블을 수신할 수 있지만 레이블에 의해 응답이 제한되는 권한 있는 웹 브라우저 포트를 만들 수 있습니다. 기본적으로 레이블이 있는 영역에는 MLP가 없습니다.
MLP가 받을 수 있는 패킷을 제한하는 레이블 범위나 레이블 집합은 영역의 IP 주소를 기반으로 합니다. IP 주소는 Trusted Extensions 시스템과 통신하여 보안 템플리트에 지정됩니다. 보안 템플리트의 레이블 범위나 레이블 집합은 MLP가 받을 수 있는 패킷을 제한합니다.
다른 IP 주소 구성에 대한 MLP 제약 조건은 다음과 같습니다.
전역 영역에 IP 주소가 하나 있고 레이블이 있는 영역마다 고유한 IP 주소가 있는 시스템의 경우 특정 서비스에 대한 MLP를 모든 영역에 추가할 수 있습니다. 예를 들어, TCP 포트 22를 통한 ssh 서비스를 전역 영역과 레이블이 있는 모든 영역의 MLP로 사용하도록 시스템을 구성할 수 있습니다.
일반적인 구성에서는 전역 영역에 하나의 IP 주소가 할당되고 레이블이 있는 영역에서 두 번째 IP 주소를 전역 영역과 공유합니다. MLP를 공유 인터페이스에 추가하면 MLP가 정의된 레이블이 있는 영역으로 서비스 패킷이 라우팅됩니다. 레이블이 있는 영역에 대한 원격 호스트 템플리트의 레이블 범위에 패킷 레이블이 포함되어 있는 경우에만 패킷이 수락됩니다. 범위가 ADMIN_LOW ~ ADMIN_HIGH이면 모든 패킷이 수락됩니다. 보다 좁은 범위를 사용하면 범위에 포함되지 않는 패킷은 무시됩니다.
일반적으로 한 영역에서 특정 포트를 공유 인터페이스에 대한 MLP로 정의할 수 있습니다. ssh 포트가 비전역 영역의 공유 MLP로 구성된 앞의 시나리오에서 다른 영역은 공유 주소에 대한 ssh 연결을 수신할 수 없습니다. 그러나 전역 영역에서는 ssh 포트를 영역별 주소에 대한 연결을 수신할 수 있는 개인 MLP로 정의할 수 있습니다.
전역 영역과 레이블이 있는 영역이 IP 주소를 공유하는 기본 구성에서는 ssh 서비스에 대한 MLP를 한 영역에 추가할 수 있습니다. ssh에 대한 MLP를 전역 영역에 추가하면 레이블이 있는 영역에서는 ssh 서비스에 대한 MLP를 추가할 수 없습니다. 마찬가지로 ssh 서비스에 대한 MLP를 레이블이 있는 영역에 추가하면 ssh MLP로 전역 영역을 구성할 수 없습니다.
예는 영역에 대한 다중 레벨 포트를 만드는 방법을 참조하십시오.
네트워크에서 브로드캐스트 메시지를 전송하고 ICMP 패킷을 네트워크상의 시스템에 보냅니다. 다중 레벨 시스템의 경우 모든 레이블의 시스템이 이러한 전송으로 가득 찰 수 있습니다. 기본적으로 레이블이 있는 영역에 대한 네트워크 정책에 따라 일치하는 레이블에서만 ICMP 패킷을 수신해야 합니다.