탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리
Trusted Extensions의 영역 및 IP 주소
Trusted Extensions의 영역 관리 유틸리티
레이블이 있는 영역에 일반적으로 표시되지 않는 파일을 루프백 마운트하는 방법
하위 레벨 파일의 마운트를 사용 안함으로 설정하는 방법
14. Trusted Extensions에서 파일 관리 및 마운트
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 점검 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
다음 작업 맵에서는 Trusted Extensions에 특정한 영역 관리 작업을 설명합니다. 또한 이 맵은 Oracle Solaris 시스템과 Trusted Extensions에서 수행되는 공통 절차에 대한 링크를 제공합니다.
|
시작하기 전에
전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.
영역 이름, 해당 상태 및 해당 레이블은 GUI에 표시됩니다.
# zoneadm list -v ID NAME STATUS PATH BRAND IP 0 global running / ipkg shared 5 internal running /zone/internal labeled shared 6 public running /zone/public labeled shared
출력은 영역의 레이블을 나열하지 않습니다.
이 절차에서는 현재 영역의 마운트된 파일 시스템을 표시하는 셸 스크립트를 만듭니다. 이 스크립트를 전역 영역에서 실행하면 모든 영역의 마운트된 모든 파일 시스템의 레이블이 표시됩니다.
시작하기 전에
전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.
스크립트에 경로 이름(예: /usr/local/scripts/getmounts)을 제공합니다.
#!/bin/sh # for i in `/usr/sbin/mount -p | cut -d " " -f3` ; do /usr/bin/getlabel $i done
# /usr/local/scripts/getmounts /: ADMIN_HIGH /dev: ADMIN_HIGH /system/contract: ADMIN_HIGH /proc: ADMIN_HIGH /system/volatile: ADMIN_HIGH /system/object: ADMIN_HIGH /lib/libc.so.1: ADMIN_HIGH /dev/fd: ADMIN_HIGH /tmp: ADMIN_HIGH /etc/mnttab: ADMIN_HIGH /export: ADMIN_HIGH /export/home: ADMIN_HIGH /export/home/jdoe: ADMIN_HIGH /zone/public: ADMIN_HIGH /rpool: ADMIN_HIGH /zone: ADMIN_HIGH /home/jdoe: ADMIN_HIGH /zone/public: ADMIN_HIGH /zone/snapshot: ADMIN_HIGH /zone/internal: ADMIN_HIGH ...
예 13-1 restricted 영역의 파일 시스템 레이블 표시
일반 사용자가 레이블이 있는 영역에서 getmounts 스크립트를 실행하면 해당 영역에 마운트된 모든 파일 시스템의 레이블이 표시됩니다. 시스템에서 기본 label_encodings 파일의 모든 레이블에 대해 영역을 만든 경우 restricted 영역의 샘플 출력은 다음과 같습니다.
# /usr/local/scripts/getmounts /: CONFIDENTIAL : RESTRICTED /dev: CONFIDENTIAL : RESTRICTED /kernel: ADMIN_LOW /lib: ADMIN_LOW /opt: ADMIN_LOW /platform: ADMIN_LOW /sbin: ADMIN_LOW /usr: ADMIN_LOW /var/tsol/doors: ADMIN_LOW /zone/needtoknow/export/home: CONFIDENTIAL : NEED TO KNOW /zone/internal/export/home: CONFIDENTIAL : INTERNAL USE ONLY /proc: CONFIDENTIAL : RESTRICTED /system/contract: CONFIDENTIAL : RESTRICTED /etc/svc/volatile: CONFIDENTIAL : RESTRICTED /etc/mnttab: CONFIDENTIAL : RESTRICTED /dev/fd: CONFIDENTIAL : RESTRICTED /tmp: CONFIDENTIAL : RESTRICTED /var/run: CONFIDENTIAL : RESTRICTED /zone/public/export/home: PUBLIC /home/jdoe: CONFIDENTIAL : RESTRICTED
이 절차에서는 지정된 레이블이 있는 영역의 사용자가 전역 영역에서 기본적으로 내보내지 않는 파일을 볼 수 있도록 설정합니다.
시작하기 전에
전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.
# zoneadm -z zone-name halt
예를 들어, 일반 사용자가 /etc 디렉토리에서 파일을 볼 수 있도록 허용합니다.
# zonecfg -z zone-name add filesystem set special=/etc/filename set directory=/etc/filename set type=lofs add options [ro,nodevices,nosetuid] end exit
# zoneadm -z zone-name boot
예 13-2 /etc/passwd 파일 루프백 마운트
이 예에서 보안 관리자는 테스터와 프로그래머가 로컬 암호가 설정되었는지 확인할 수 있도록 합니다. sandbox 영역이 중지된 후 passwd 파일을 루프백 마운트하도록 구성됩니다. 그런 다음 영역이 다시 시작됩니다.
# zoneadm -z sandbox halt # zonecfg -z sandbox add filesystem set special=/etc/passwd set directory=/etc/passwd set type=lofs add options [ro,nodevices,nosetuid] end exit # zoneadm -z sandbox boot
기본적으로 사용자는 하위 레벨 파일을 볼 수 있습니다. 특정 영역에서 모든 하위 레벨 파일을 보지 못하도록 net_mac_aware 권한을 제거합니다. net_mac_aware 권한에 대한 자세한 내용은 privileges(5) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
전역 영역에서 시스템 관리자 역할을 가진 사용자여야 합니다.
# zoneadm -z zone-name halt
영역에서 net_mac_aware 권한을 제거합니다.
# zonecfg -z zone-name set limitpriv=default,!net_mac_aware exit
# zoneadm -z zone-name boot
예 13-3 사용자가 하위 레벨 파일을 보지 못하도록 금지
이 예에서 보안 관리자는 특정 시스템의 사용자가 혼돈을 일으키지 않게 하려고 합니다. 그 결과, 사용자는 자신이 작업 중인 레이블의 파일만 볼 수 있습니다. 따라서 보안 관리자는 모든 하위 레벨 파일 보기를 금지합니다. 이 시스템에서 사용자는 PUBLIC 레이블에서 작업 중인 경우가 아니면 공개적으로 사용 가능한 파일을 볼 수 없습니다. 또한 영역 레이블의 파일만 NFS 마운트할 수 있습니다.
# zoneadm -z restricted halt # zonecfg -z restricted set limitpriv=default,!net_mac_aware exit # zoneadm -z restricted boot
# zoneadm -z needtoknow halt # zonecfg -z needtoknow set limitpriv=default,!net_mac_aware exit # zoneadm -z needtoknow boot
# zoneadm -z internal halt # zonecfg -z internal set limitpriv=default,!net_mac_aware exit # zoneadm -z internal boot
PUBLIC은 최하위 레이블이므로 보안 관리자는 PUBLIC 영역에 대해 명령을 실행하지 않습니다.
이 절차에서는 레이블이 있는 영역에서 읽기/쓰기 권한으로 ZFS 데이터 세트를 마운트합니다. 모든 명령은 전역 영역에서 실행되므로 전역 영역 관리자는 레이블이 있는 영역에 대한 ZFS 데이터 세트 추가를 제어합니다.
데이터 세트를 공유하려면 최소한 레이블이 있는 영역이 ready 상태에 있어야 합니다. 영역이 running 상태일 수 있습니다.
시작하기 전에
데이터 세트로 영역을 구성하려면 먼저 영역을 중지해야 합니다. 전역 영역에서 root 역할을 가진 사용자여야 합니다.
# zfs create datasetdir/subdir
데이터 세트의 이름에 디렉토리(예: zone/data)가 포함될 수 있습니다.
# zoneadm -z labeled-zone-name halt
# zfs set mountpoint=legacy datasetdir/subdir
ZFS mountpoint 등록 정보을 설정하면 마운트 지점이 레이블이 있는 영역과 일치하는 경우 마운트 지점의 레이블이 설정됩니다.
# zfs set sharenfs=on datasetdir/subdir
# zonecfg -z labeled-zone-name # zonecfg:labeled-zone-name> add fs # zonecfg:labeled-zone-name:dataset> set dir=/subdir # zonecfg:labeled-zone-name:dataset> set special=datasetdir/subdir # zonecfg:labeled-zone-name:dataset> set type=zfs # zonecfg:labeled-zone-name:dataset> end # zonecfg:labeled-zone-name> exit
데이터 세트를 파일 시스템으로 추가하면 데이터 세트가 영역의 /data에 마운트됩니다. 이 단계를 수행하면 영역이 부팅되기 전에 데이터 세트가 마운트되지 않습니다.
# zoneadm -z labeled-zone-name boot
영역이 부팅되면 데이터 세트가 labeled-zone-name 영역 레이블을 사용하여 labeled-zone-name 영역에서 읽기/쓰기 마운트 지점으로 자동으로 마운트됩니다.
예 13-4 레이블이 있는 영역에서 ZFS 데이터 세트 공유 및 마운트
이 예에서 관리자는 ZFS 데이터 세트를 needtoknow 영역에 추가하여 공유합니다. zone/data 데이터 세트는 /mnt 마운트 지점에 지정되어 있습니다. restricted 영역의 사용자는 이 데이터 세트를 볼 수 있습니다.
먼저 관리자가 영역을 중지합니다.
# zoneadm -z needtoknow halt
데이터 세트가 다른 마운트 지점에 지정되어 있으므로 관리자는 이전 지정을 제거한 다음 새 마운트 지점을 설정합니다.
# zfs set zoned=off zone/data # zfs set mountpoint=legacy zone/data
그런 다음 관리자는 데이터 세트를 공유합니다.
# zfs set sharenfs=on zone/data
그런 다음 zonecfg 대화형 인터페이스에서 관리자는 데이터 세트를 needtoknow 영역에 명시적으로 추가합니다.
# zonecfg -z needtoknow # zonecfg:needtoknow> add fs # zonecfg:needtoknow:dataset> set dir=/data # zonecfg:needtoknow:dataset> set special=zone/data # zonecfg:needtoknow:dataset> set type=zfs # zonecfg:needtoknow:dataset> end # zonecfg:needtoknow> exit
그런 다음 관리자는 needtoknow 영역을 부트합니다.
# zoneadm -z needtoknow boot
이제 데이터 세트를 액세스할 수 있습니다.
needtoknow 영역을 지배하는 restricted 영역의 사용자는 /data 디렉토리로 변경하여 마운트된 데이터 세트를 볼 수 있습니다. 또한 전역 영역의 관점에서 마운트된 데이터 세트의 전체 경로를 사용합니다. 이 예에서 machine1은 레이블이 있는 영역을 포함하는 시스템의 호스트 이름입니다. 관리자가 호스트 이름을 공유되지 않는 IP 주소에 지정했습니다.
# cd /net/machine1/zone/needtoknow/root/data
일반 오류
상위 레이블에서 데이터 세트에 연결할 때 not found(찾을 수 없음) 또는 No such file or directory(해당 파일 또는 디렉토리 없음) 오류가 표시되는 경우 관리자는 svcadm restart autofs 명령을 실행하여 자동 마운트 서비스를 다시 시작해야 합니다.
이 절차를 수행해야 사용자가 파일의 레이블을 바꿀 수 있습니다.
시작하기 전에
구성하려는 영역은 정지되어야 합니다. 전역 영역에서 보안 관리자 역할을 가진 사용자여야 합니다.
# /usr/sbin/txzonemgr &
레이블 바꾸기를 허용하는 사용자 및 프로세스 요구 사항은 setflabel(3TSOL) 매뉴얼 페이지를 참조하십시오. 파일 레이블을 바꿀 수 있게 사용자를 권한 부여하려면 사용자가 데이터의 보안 레벨을 변경할 수 있게 하는 방법을 참조하십시오.
예 13-5 internal 영역에서 다운그레이드만 허용
이 예에서 보안 관리자는 zonecfg 명령을 사용하여 CNF: INTERNAL USE ONLY 영역에서 정보 다운그레이드는 사용으로 설정하지만 정보 업그레이드는 사용 안함으로 설정합니다.
# zonecfg -z internal set limitpriv=default,file_downgrade_sl
예 13-6 internal 영역에서 다운그레이드 방지
이 예에서 보안 관리자는 이전에 파일을 다운그레이드하는 데 사용된 시스템에서 CNF: INTERNAL USE ONLY 파일의 다운그레이드를 방지하려고 합니다.
관리자는 Labeled Zone Manager(레이블이 있는 영역 관리자)를 사용하여 internal 영역을 정지한 다음 internal 영역 메뉴에서 Deny Relabeling(레이블 재지정 거부)을 선택합니다.