| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Trusted Extensions 구성 및 관리 Oracle Solaris 11.1 Information Library (한국어) |
3. Oracle Solaris에 Trusted Extensions 기능 추가(작업)
5. Trusted Extensions에 대해 LDAP 구성(작업)
8. Trusted Extensions 시스템의 보안 요구 사항(개요)
9. Trusted Extensions에서 일반 작업 수행
10. Trusted Extensions의 사용자, 권한 및 역할(개요)
11. Trusted Extensions에서 사용자, 권한 및 역할 관리(작업)
12. Trusted Extensions에서 원격 관리(작업)
13. Trusted Extensions에서 영역 관리
14. Trusted Extensions에서 파일 관리 및 마운트
마운트된 파일 시스템에 대한 Trusted Extensions 정책
단일 레벨 데이터 세트에 대한 Trusted Extensions 정책
다중 레벨 데이터 세트에 대한 Trusted Extensions 정책
파일의 레이블 다시 지정을 위한 다중 레벨 데이터 세트
Trusted Extensions에서 NFS 서버 및 클라이언트 구성
Trusted Extensions에서 홈 디렉토리 만들기
Trusted Extensions의 자동 마운트 변경 사항
Trusted Extensions 소프트웨어 및 NFS 프로토콜 버전
Trusted Extensions에서 파일을 백업하는 방법
Trusted Extensions에서 파일을 복원하는 방법
Trusted Extensions에서 마운트 실패 문제를 해결하는 방법
16. Trusted Extensions에서 네트워크 관리(작업)
17. Trusted Extensions 및 LDAP(개요)
18. Trusted Extensions의 다중 레벨 메일(개요)
20. Trusted Extensions의 장치(개요)
21. Trusted Extensions에 대한 장치 관리(작업)
23. Trusted Extensions에서 소프트웨어 관리
사이트 보안 정책 및 Trusted Extensions
B. Trusted Extensions 구성 점검 목록
C. Trusted Extensions 관리에 대한 빠른 참조
Trusted Extensions에서 확장된 Oracle Solaris 인터페이스
Trusted Extensions의 강화된 보안 기본값
D. Trusted Extensions 매뉴얼 페이지 목록
Trusted Extensions 매뉴얼 페이지(사전순)
Trusted Extensions에서 공유 파일은 관리를 간소화하고 효율성을 제공하며 시간을 단축합니다. MAC는 항상 적용됩니다.
NFS를 통해 레이블이 있는 영역에서 단일 레벨 데이터 세트 공유 – Oracle Solaris에서와 같이 공유 디렉토리는 관리를 간소화합니다. 예를 들어 Oracle Solaris에 대한 매뉴얼 페이지를 한 시스템에 설치하고 매뉴얼 페이지 디렉토리를 다른 시스템과 공유할 수 있습니다.
LOFS를 통해 전역 영역에서 다중 레벨 데이터 세트 공유 – LOFS 마운트된 데이터 세트는 레이블 간에 파일을 이동할 때 효율성과 속도를 향상합니다. 파일이 데이터 세트 내에서 이동되므로 I/O 작업이 사용되지 않습니다.
NFS를 통해 전역 영역에서 다중 레벨 데이터 세트 공유 – NFS 서버는 여러 레이블의 파일을 포함하는 다중 레벨 데이터 세트를 여러 클라이언트와 공유할 수 있습니다. 이러한 구성은 관리를 간소화하고 파일 배포를 위한 단일 위치를 제공합니다. 특정 레이블에서 서버 없이도 클라이언트를 지원할 수 있습니다.
전역 영역에서 파일을 마운트하는 것은 Oracle Solaris에서 파일을 마운트하는 것과 동일하며 MAC 정책의 적용을 받습니다. 전역 영역에서 공유되는 파일은 파일의 레이블에서 공유됩니다. 그러므로 전역 영역의 파일 시스템을 다른 Trusted Extensions 시스템의 전역 영역과 공유하는 것은 유용하지 않습니다. 모든 파일이 ADMIN_LOW 레이블에서 공유되기 때문입니다. 전역 영역에서 다른 시스템과 공유하면 유용한 파일은 다중 레벨 데이터 세트입니다.
전역 영역에서 LOFS를 통해 공유되는 단일 레벨 데이터 세트의 파일 및 디렉토리는 ADMIN_LOW에서 공유됩니다. 예를 들어 전역 영역의 /etc/passwd 및 /etc/shadow 파일은 시스템의 레이블이 있는 영역으로 LOFS 마운트될 수 있습니다. 이 파일은 ADMIN_LOW이므로 레이블이 있는 영역에서 표시되고 읽기 전용입니다. 다중 레벨 데이터 세트의 파일 및 디렉토리는 객체의 레이블에서 공유됩니다.
전역 영역에서는 NFS를 통해 다중 레벨 데이터 세트도 공유할 수 있습니다. 클라이언트는 NFS 서비스가 다중 레벨 포트를 사용하도록 구성된 경우 데이터 세트를 마운트하도록 요청할 수 있습니다. 클라이언트 레이블이 클라이언트의 NFS 마운트 요청을 처리하는 네트워크 인터페이스의 cipso 템플리트에 지정된 레이블 범위 내에 있는 경우 요청이 성공합니다.
특히 전역 영역 및 마운트된 파일의 동작의 다음과 같습니다.
Trusted Extensions 클라이언트의 전역 영역에서 공유의 모든 항목은 읽을 수 있고 클라이언트는 로컬 전역 영역 프로세스와 마찬가지로 ADMIN_HIGH에서 쓸 수 있습니다.
클라이언트가 레이블이 있는 영역인 경우 영역의 레이블이 공유 파일의 레이블과 일치하면 마운트된 파일은 읽기/쓰기가 가능합니다.
클라이언트가 레이블 없는 시스템인 경우 클라이언트의 지정된 레이블이 공유 파일의 레이블과 일치하면 마운트된 파일은 읽기/쓰기가 가능합니다.
다중 레벨 데이터 세트를 동일한 시스템의 레이블 있는 영역과 공유하려면 전역 영역에서 LOFS를 사용할 수 있습니다.
NFS 마운트의 파일을 보고 레이블을 다시 지정하는 방법에 대한 자세한 내용은 다른 시스템에서 다중 레벨 데이터 세트 마운트를 참조하십시오.
레이블이 있는 영역에서는 영역의 레이블에 있는 다른 시스템과 파일을 공유할 수 있습니다. 따라서 레이블이 있는 영역의 파일 시스템은 다른 Trusted Extensions 시스템에서 동일한 레이블에 있는 영역 및 영역과 동일한 레이블이 지정된 신뢰할 수 없는 시스템과 공유할 수 있습니다. 이러한 마운트를 중개하는 ZFS 등록 정보에 대한 자세한 내용은 mlslabel 등록 정보 및 단일 레벨 파일 시스템 마운트를 참조하십시오.
레이블이 있는 영역의 전역 영역에서 LOFS 마운트는 단일 레벨 데이터 세트의 경우 읽기 전용입니다. 다중 레벨 데이터 세트의 경우 MAC 읽기/쓰기 정책에 대한 권한 대체 없음에서 설명한 대로 MAC 정책이 파일 및 디렉토리 레이블별로 적용됩니다.
ZFS는 데이터 세트의 데이터 레이블을 포함하는 보안 레이블 속성 mlslabel을 제공합니다. mlslabel 등록 정보는 상속 가능합니다. ZFS 데이터 세트에 명시적인 레이블이 있을 경우 Trusted Extensions로 구성되지 않은 Oracle Solaris 시스템에 데이터 세트를 마운트할 수 없습니다.
mlslabel 등록 정보가 정의되지 않은 경우 기본값은 레이블 없음을 나타내는 문자열 none입니다.
레이블이 있는 영역에서 ZFS 데이터 세트를 마운트할 경우 다음이 발생합니다.
데이터 세트에 레이블이 없는 경우, 즉, mlslabel 등록 정보가 정의되지 않은 경우 mlslabel 등록 정보의 값은 마운트 영역의 레이블로 바뀝니다.
전역 영역의 경우 mlslabel 등록 정보가 자동으로 설정되지 않습니다. 데이터 세트 admin_low에 명시적으로 레이블을 지정할 경우 데이터 세트를 읽기 전용으로 마운트해야 합니다.
데이터 세트에 레이블이 있을 경우 커널은 데이터 세트 레이블이 마운트 영역의 레이블과 일치하는지 확인합니다. 레이블이 일치하지 않을 경우 영역에서 하위 읽기 마운트를 허용하지 않는다면 마운트가 실패합니다. 영역에서 하위 읽기 마운트를 허용하는 경우 하위 레벨 파일 시스템이 읽기 전용으로 마운트됩니다.
명령줄에서 mlslabel 등록 정보를 설정하려면 다음과 유사하게 입력합니다.
# zfs set mlslabel=public export/publicinfo
초기 레이블을 설정하거나 기본값 이외의 레이블을 상위 레벨 레이블로 변경하려면 file_upgrade_sl 권한이 필요합니다. 레이블을 제거하려면(즉, 레이블을 none으로 설정하려면) file_downgrade_sl 권한이 필요합니다. 기본값 이외의 레이블을 하위 레벨의 레이블로 변경하려는 경우에도 이 권한이 필요합니다.
|