JavaScript is required to for searching.
탐색 링크 건너뛰기
인쇄 보기 종료
Oracle Solaris 11.1 관리: 보안 서비스     Oracle Solaris 11.1 Information Library (한국어)
search filter icon
search icon

문서 정보

머리말

제1부보안 개요

1.  보안 서비스(개요)

제2부시스템, 파일 및 장치 보안

2.  시스템 보안 관리(개요)

3.  시스템에 대한 액세스 제어(작업)

4.  바이러스 검사 서비스(작업)

5.  장치에 대한 액세스 제어(작업)

6.  BART를 사용하여 파일 무결성 확인(작업)

7.  파일에 대한 액세스 제어(작업)

UNIX 사용 권한으로 파일 보호

파일 확인 및 보안 명령

파일 및 디렉토리 소유권

UNIX 파일 사용 권한

특수 파일 사용 권한(setuid, setgid 및 고정된 비트)

setuid 사용 권한

setgid 사용 권한

고정된 비트

기본 umask

파일 사용 권한 모드

액세스 제어 목록을 사용하여 UFS 파일 보호

보안 손상으로부터 실행 파일 보호

파일 보호(작업)

UNIX 사용 권한으로 파일 보호(작업 맵)

파일 정보 표시 방법

파일 소유자 변경 방법

파일의 그룹 소유권 변경 방법

심볼릭 모드로 파일 사용 권한 변경 방법

절대 모드로 파일 사용 권한 변경 방법

절대 모드로 특수 파일 사용 권한 변경 방법

보안 위험이 있는 프로그램 보호(작업 맵)

특수 파일 사용 권한이 있는 파일을 찾는 방법

프로그램이 실행 가능 스택을 사용 안함으로 설정하는 방법

제3부역할, 권한 프로파일 및 권한

8.  역할 및 권한 사용(개요)

9.  역할 기반 액세스 제어 사용(작업)

10.  Oracle Solaris의 보안 속성(참조)

제4부암호화 서비스

11.  암호화 프레임워크(개요)

12.  암호화 프레임워크(작업)

13.  키 관리 프레임워크

제5부인증 서비스 및 보안 통신

14.  플러그 가능한 인증 모듈 사용

15.  Secure Shell 사용

16.  Secure Shell(참조)

17.  단순 인증 및 보안 계층 사용

18.  네트워크 서비스 인증(작업)

제6부Kerberos 서비스

19.  Kerberos 서비스 소개

20.  Kerberos 서비스 계획

21.  Kerberos 서비스 구성(작업)

22.  Kerberos 오류 메시지 및 문제 해결

23.  Kerberos 주체 및 정책 관리(작업)

24.  Kerberos 응용 프로그램 사용(작업)

25.  Kerberos 서비스(참조)

제7부Oracle Solaris에서 감사

26.  감사(개요)

27.  감사 계획

28.  감사 관리(작업)

29.  감사(참조)

용어집

색인

보안 손상으로부터 실행 파일 보호

프로그램은 스택의 데이터를 읽고 씁니다. 일반적으로 프로그램은 코드용으로 특별히 지정된 메모리의 읽기 전용 부분에서 실행됩니다. 스택 버퍼 오버플로우를 야기하는 일부 공격은 스택에 새 코드를 삽입하여 프로그램이 해당 코드를 실행하도록 합니다. 스택 메모리에서 실행 권한을 제거하면 이러한 공격이 성공하지 못하도록 방지됩니다. 즉, 대부분의 프로그램은 실행 가능 스택을 사용하지 않고도 제대로 작동할 수 있습니다.

64비트 프로세스에는 항상 실행할 수 없는 스택이 사용됩니다. 기본적으로 32비트 SPARC 프로세스에는 실행 가능한 스택이 포함됩니다. noexec_user_stack 변수를 사용하면 32비트 프로세스의 스택이 실행 가능한지 여부를 지정할 수 있습니다.

이 변수를 설정하면 스택에서 코드를 실행하려고 시도하는 프로그램에 SIGSEGV 신호가 전송됩니다. 일반적으로 이 신호가 전송되면 프로그램이 코어 덤프와 함께 종료됩니다. 또한 해당 프로그램은 잘못된 프로그램의 이름, 프로세스 ID 및 프로그램을 실행한 사용자의 실제 UID를 포함하는 경고 메시지를 생성합니다. 예를 들면 다음과 같습니다.

a.out[347] attempt to execute code on stack by uid 555 

메시지는 syslog kern 기능이 notice 레벨로 설정된 경우 syslog 데몬을 통해 기록됩니다. 기본적으로 이 로깅은 syslog.conf 파일에서 설정되므로 콘솔과 /var/adm/messages 파일에 메시지가 전송됩니다. 자세한 내용은 syslogd(1M)syslog.conf(4) 매뉴얼 페이지를 참조하십시오.

syslog 메시지는 잠재적인 보안 문제를 관찰하는 데 유용합니다. 또한 메시지는 noexec_user_stack 변수를 설정하여 올바른 작업으로부터 금지된 실행 가능 스택에 종속되어 있는 유효한 프로그램을 식별합니다. 메시지가 기록되지 않도록 하려면 /etc/system 파일에서 로그 변수 noexec_user_stack_log를 0으로 설정하십시오. 메시지가 기록되고 있지 않더라도 계속해서 SIGSEGV 신호는 실행 중인 프로그램이 코어 덤프와 함께 종료되도록 할 수 있습니다.

프로그램은 스택 실행을 명시적으로 표시하거나 방지할 수 있습니다. 프로그램의 mprotect() 함수는 스택을 명시적으로 실행 가능한 스택으로 표시합니다. 자세한 내용은 mprotect(2) 매뉴얼 페이지를 참조하십시오. -M /usr/lib/ld/map.noexstk로 컴파일된 프로그램은 시스템 차원의 설정에 관계없이 스택을 실행할 수 없는 스택으로 설정합니다.