탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 11.1 관리: 보안 서비스 Oracle Solaris 11.1 Information Library (한국어) |
컴퓨터 시스템에 연결된 주변 장치는 보안 위험을 노출시킬 수 있습니다. 마이크는 대화를 가로채고 원격 시스템에 전송할 수 있습니다. CD-ROM은 CD-ROM 장치의 다음 사용자가 읽을 수 있는 정보를 남겨 둘 수 있습니다. 프린터는 원격으로 액세스할 수 있습니다. 시스템에 필수적인 장치도 보안 문제를 유발할 수 있습니다. 예를 들어, bge0과 같은 네트워크 인터페이스는 필수 장치로 간주됩니다.
Oracle Solaris 소프트웨어는 장치에 대한 액세스 제어를 위한 몇 가지 방법을 제공합니다.
장치 정책 설정 – 특정 장치에 액세스하는 프로세스가 일련의 권한을 사용하여 실행되도록 요구할 수 있습니다. 이러한 권한이 없는 프로세스는 장치를 사용할 수 없습니다. 부트 시 Oracle Solaris 소프트웨어는 장치 정책을 구성합니다. 설치 중 장치 정책에서 타사 드라이버를 구성할 수 있습니다. 설치 후 관리자는 장치 정책을 장치에 추가할 수 있습니다.
장치를 할당 가능하도록 지정 – 사용자가 장치를 사용하려면 먼저 할당해야 하도록 요구할 수 있습니다. 할당은 한 번에 하나의 사용자로 장치 사용을 제한합니다. 또한 장치를 사용하려면 사용자가 권한을 부여 받도록 요구할 수 있습니다.
장치 사용 금지 – 컴퓨터 시스템에서 어떤 사용자도 마이크와 같은 장치를 사용할 수 없도록 막을 수 있습니다. 컴퓨터 키오스크는 특정 장치를 사용하지 못하게 할 수 있는 좋은 예입니다.
장치를 특정 영역으로 제한 – 장치 사용을 비전역 영역에 지정할 수 있습니다. 자세한 내용은 Oracle Solaris 11.1 관리: Oracle Solaris 영역, Oracle Solaris 10 영역 및 리소스 관리의 비전역 영역에서 장치 사용을 참조하십시오. 장치 및 영역에 대한 일반적인 설명은 Oracle Solaris 11.1 관리: Oracle Solaris 영역, Oracle Solaris 10 영역 및 리소스 관리의 비전역 영역의 /dev 파일 시스템을 참조하십시오.
장치 정책 방식을 사용하여 장치를 여는 프로세스에 특정 권한이 필요하도록 지정할 수 있습니다. 장치 정책으로 보호된 장치는 장치 정책에서 지정하는 권한을 사용하여 실행되는 프로세스만 액세스할 수 있습니다. Oracle Solaris는 기본 장치 정책을 제공합니다. 예를 들어, bge0과 같은 네트워크 인터페이스의 경우 인터페이스에 액세스하는 프로세스가 net_rawaccess 권한을 사용하여 실행되도록 요구할 수 있습니다. 요구 사항은 커널에서 적용됩니다. 권한에 대한 자세한 내용은 권한(개요)을 참조하십시오.
Oracle Solaris에서 장치는 파일 권한과 장치 정책으로 보호됩니다. 예를 들어, /dev/ip 파일은 666 권한을 가집니다. 하지만 장치는 해당 권한을 가진 프로세스만 열 수 있습니다.
장치 정책의 구성은 감사할 수 있습니다. AUE_MODDEVPLCY 감사 이벤트는 장치 정책의 변경 사항을 기록합니다.
장치 정책에 대한 자세한 내용은 다음을 참조하십시오.
장치 할당 방식을 사용하여 CD-ROM과 같은 주변 장치에 대한 액세스를 제한할 수 있습니다. 장치 할당이 사용으로 설정되지 않은 경우 주변 장치는 파일 권한만으로 보호됩니다. 예를 들어, 기본적으로 주변 장치는 다음 용도로 사용할 수 있습니다.
모든 사용자가 CD-ROM 드라이브나 디스켓을 읽고 쓸 수 있습니다.
모든 사용자가 마이크를 연결할 수 있습니다.
모든 사용자가 연결된 프린터에 액세스할 수 있습니다.
장치 할당은 장치를 권한이 부여된 사용자로 제한합니다. 또한 장치 할당은 장치에 전혀 액세스하지 못하도록 막을 수 있습니다. 장치를 할당하는 사용자는 장치 할당을 해제할 때까지 해당 장치에 대한 배타적 사용 권한을 가집니다. 장치 할당이 해제되면 device-clean 스크립트가 남아 있는 데이터를 지웁니다. device-clean 스크립트를 작성하여 스크립트가 없는 장치에서 정보를 지울 수 있습니다. 예는 새 Device-Clean 스크립트 작성을 참조하십시오.
장치 할당, 장치 할당 해제 및 할당 가능 장치 나열 시도는 감사할 수 있습니다. 감사 이벤트는 other 감사 클래스의 일부입니다.
장치 할당에 대한 자세한 내용은 다음을 참조하십시오.