탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 10에서 Oracle Solaris 11로 전환 Oracle Solaris 11 Information Library (한국어) |
1. Oracle Solaris 10에서 Oracle Solaris 11로 전환(개요)
2. Oracle Solaris 11 설치 방법으로 전환
다음 절에서는 파일 및 파일 시스템 보안에 대한 변경 사항에 대해 설명합니다.
chmod 작업 중 파일에 대한 ACL 권한이 수정되는 방식을 결정하는 aclmode 등록 정보가 Oracle Solaris 11에서 다시 도입되었습니다. aclmode 값은 discard, mask 및 passthrough입니다. 기본값인 discard가 가장 제한적이며, passthrough 값은 가장 덜 제한적입니다.
예 9-2 ZFS 파일에서 chmod 작업과의 ACL 상호 작용
다음 예제는 특정 aclmode 및 aclinherit 등록 정보 값이 그룹 소유권과 일치시킬 기존 ACL 권한을 줄이거나 늘리는 chmod 작업과 기존 ACL의 상호 작용에 어떤 영향을 미치는지 보여줍니다.
이 예에서 aclmode 등록 정보는 mask로 설정되어 있고, aclinherit 등록 정보는 restricted로 설정되어 있습니다. 이 예의 ACL 권한은 변경 중인 권한을 더 쉽게 보여주는 Compact 모드로 표시됩니다.
원본 파일 및 그룹 소유권과 ACL 권한은 다음과 같습니다.
# zfs set aclmode=mask pond/whoville # zfs set aclinherit=restricted pond/whoville # ls -lV file.1 -rwxrwx---+ 1 root root 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:rw-p--aARWc---:-------:allow group:staff:rw-p--aARWc---:-------:allow owner@:rwxp--aARWcCos:-------:allow group@:rwxp--aARWc--s:-------:allow everyone@:------a-R-c--s:-------:allow
chown 작업은 file.1에 대한 파일 소유권을 변경하며, 소유자 amy가 출력을 표시합니다. 예를 들면 다음과 같습니다.
# chown amy:staff file.1 # su - amy $ ls -lV file.1 -rwxrwx---+ 1 amy staff 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:rw-p--aARWc---:-------:allow group:staff:rw-p--aARWc---:-------:allow owner@:rwxp--aARWcCos:-------:allow group@:rwxp--aARWc--s:-------:allow everyone@:------a-R-c--s:-------:allow
다음 chmod 작업은 권한을 더 제한적인 모드로 변경합니다. 이 예에서는 수정된 sysadmin 그룹 및 staff 그룹의 ACL 권한이 소유 그룹의 권한을 초과하지 않습니다.
$ chmod 640 file.1 $ ls -lV file.1 -rw-r-----+ 1 amy staff 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:r-----a-R-c---:-------:allow group:staff:r-----a-R-c---:-------:allow owner@:rw-p--aARWcCos:-------:allow group@:r-----a-R-c--s:-------:allow everyone@:------a-R-c--s:-------:allow
다음 chmod 작업은 권한을 덜 제한적인 모드로 변경합니다. 이 예에서는 수정된 sysadmin 그룹 및 staff 그룹의 ACL 권한이 복원되어 소유 그룹과 동일한 권한을 허용합니다.
$ chmod 770 file.1 $ ls -lV file.1 -rwxrwx---+ 1 amy staff 206695 Aug 30 16:03 file.1 user:amy:r-----a-R-c---:-------:allow user:rory:r-----a-R-c---:-------:allow group:sysadmin:rw-p--aARWc---:-------:allow group:staff:rw-p--aARWc---:-------:allow owner@:rwxp--aARWcCos:-------:allow group@:rwxp--aARWc--s:-------:allow everyone@:------a-R-c--s:-------:allow
이전 Oracle Solaris 릴리스와 이 릴리스에서 암호화 프레임워크 기능은 파일을 암호화하는 데 encrypt, decrypt 및 mac 명령을 제공합니다.
Oracle Solaris 10에서는 ZFS 암호화를 지원하지 않지만, Oracle Solaris 11에서는 다음과 같은 ZFS 암호화 기능을 지원합니다.
ZFS 암호화는 ZFS 명령 세트와 통합됩니다. 다른 ZFS 작업과 마찬가지로, 키 변경 및 rekey 작업은 온라인에서 수행됩니다.
기존 저장소 풀은 업그레이드하여 사용할 수 있습니다. 특정 파일 시스템을 암호화할 수도 있습니다.
ZFS 암호화는 종속 파일 시스템에 상속될 수 있으며, 키 관리는 ZFS 위임 관리를 통해 위임할 수 있습니다.
데이터는 CCM 및 GCM 작업 모드에서 키 길이가 128, 192 및 256인 AES(고급 암호화 표준)를 사용하여 암호화됩니다.
ZFS 암호화는 암호화 프레임워크 기능을 사용하여 사용 가능한 하드웨어 가속 또는 암호화 알고리즘의 최적화된 소프트웨어 구현에 자동으로 액세스할 수 있도록 해줍니다.
예 9-3 암호화된 ZFS 파일 시스템 만들기
다음 예는 암호화된 ZFS 파일 시스템을 만드는 방법을 보여줍니다. 기본 암호화 정책은 암호문을 입력하는 프롬프트를 표시하는 것입니다. 암호문은 최소 8자여야 합니다.
# zfs create -o encryption=on tank/data Enter passphrase for 'tank/data': xxxxxxxx Enter again: xxxxxxxx
파일 시스템의 암호화 값이 on일 경우 기본 암호화 알고리즘은 aes-128-ccm입니다.
암호화된 파일 시스템을 만든 후에는 암호화를 해제할 수 없습니다. 예를 들면 다음과 같습니다.
# zfs set encryption=off tank/data cannot set property for 'tank/data': 'encryption' is readonly
자세한 내용은 Oracle Solaris 관리: ZFS 파일 시스템의 ZFS 파일 시스템 암호화를 참조하십시오.
file-mac-profile 기능은 Oracle Solaris 11의 새로운 기능으로, 읽기 전용 루트 파일 시스템이 있는 영역을 실행할 수 있습니다. 이 기능을 사용하여 미리 정의된 네 개의 프로파일 중에서 선택할 수 있습니다. 이 프로파일은 allzone 권한이 있는 프로세스에 대해서도 읽기 전용인 영역 파일 시스템이 어느 정도인지를 결정합니다. Oracle Solaris 관리: Oracle Solaris Zones, Oracle Solaris 10 Zones 및 리소스 관리의 zonecfg file-mac-profile 등록 정보을 참조하십시오.