| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 10에서 Oracle Solaris 11.1로 전환 Oracle Solaris 11.1 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 10에서 Oracle Solaris 11.1로 전환 Oracle Solaris 11.1 Information Library (한국어) |
1. Oracle Solaris 10에서 Oracle Solaris 11 릴리스로 전환(개요)
2. Oracle Solaris 11 설치 방법으로 전환
다음 정보는 Oracle Solaris 11에서 역할, 권한 및 권한 부여가 작동하는 방식에 대해 설명합니다.
권한 부여 지정 및 위임 – Oracle Solaris에서는 특정 관리 권한을 개인 사용자 및 역할에 위임하여 책임 구분을 구현할 수 있도록 권한 부여를 제공합니다. Oracle Solaris 10에서 권한 부여를 다른 사용자에게 위임하려면 .grant로 끝나는 권한 부여가 필요합니다. Oracle Solaris 11에서는 .assign 및 .delegate라는 두 개의 새 접미어가 사용됩니다(예: solaris.profile.assign 및 solaris.profile.delegate). 전자는 권한 프로파일을 위임하는 권한을 사용자나 역할에 부여하며, 후자는 현재 사용자에게 이미 지정된 권한 프로파일만 위임할 수 있다는 점에서 더 제한적입니다. root 역할에는 solaris.*가 지정되므로 이 역할은 모든 권한 부여를 모든 사용자 또는 역할에 지정할 수 있습니다. .assign으로 끝나는 권한 부여는 기본적으로 어떠한 프로파일에도 포함되지 않는 것이 안전합니다.
groupadd 명령 변경 사항 – 그룹을 만들 때 시스템은 이제 solaris.group.assign/groupname 권한 부여를 관리자에게 지정합니다. 이 권한 부여는 관리자에게 해당 그룹에 대한 완전한 제어권을 제공하므로 관리자는 필요에 따라 groupname을 수정하거나 삭제할 수 있습니다. 자세한 내용은 groupadd(1M) 및 groupmod(1M) 매뉴얼 페이지를 참조하십시오.
Media Restore 권한 프로파일 – 이 권한 프로파일 및 권한 부여 세트는 비root 계정의 권한을 승격시킬 수 있습니다. 이 프로파일은 존재하지만, 다른 권한 프로파일에 포함되지 않습니다. Media Restore 권한 프로파일은 전체 루트 파일 시스템에 대한 액세스를 제공하기 때문에 이 프로파일을 사용하면 권한 승격이 가능합니다. 고의로 수정된 파일이나 대체 매체를 복원할 수 있습니다. 기본적으로 root 역할에 이 권한 프로파일이 포함됩니다.
기본 관리자 프로파일이 제거됨 – 설치 시 만들어진 초기 사용자에게는 다음과 같은 역할과 권한이 부여됩니다.
root 역할
System Administrator 권한 프로파일
root로 실행되는 모든 명령의 sudo 명령에 대한 액세스
역할 인증 – roleauth 키워드에 대해 user 또는 role을 지정할 수 있습니다. user_attr(4)를 참조하십시오.
역할로 사용되는 root – 기본적으로 root는 이제 익명이 아닌 역할이므로 시스템에 원격으로 로그인할 수 없습니다. root 역할을 사용자로 변경하는 방법은 Oracle Solaris 11.1 관리: 보안 서비스의 root 역할을 사용자로 변경하는 방법을 참조하십시오.
Oracle Solaris 기본 권한은 다음과 같습니다.
file_read
file_write
net_access
정규 셸의 프로파일 셸 버전 – 모든 정규 셸은 이제 자체 프로파일을 갖습니다. 사용 가능한 프로파일 셸은 다음과 같습니다.
pfbash
pfcsh
pfksh
pfksh93
pfrksh93
pfsh
pftcsh
pfzsh
pfexec(1)를 참조하십시오.
권한 프로파일 – user_attr, prof_attr 및 exec_attr 데이터베이스는 이제 읽기 전용입니다. 이러한 로컬 파일 데이터베이스는 /etc/user_attr.d, /etc/security/prof_attr.d 및 /etc/security/exec_attr.d에 있는 단편에서 어셈블됩니다. 단편 파일은 단일 버전의 파일에 병합되지 않고, 단편으로 유지됩니다. 이 변경으로 패키지가 전체 또는 부분 RBAC 프로파일을 제공할 수 있습니다. useradd 및 profiles 명령으로 로컬 파일 저장소에 추가된 항목은 단편 디렉토리의 local-entries 파일에도 추가됩니다. 프로파일을 추가하거나 수정하려면 profiles 명령을 사용합니다. 권한 프로파일 정보를 참조하십시오.
Stop 권한 프로파일 – 관리자는 이 프로파일을 사용하여 제한된 계정을 만들 수 있습니다. Oracle Solaris 11.1 관리: 보안 서비스의 RBAC 권한 프로파일을 참조하십시오.
pfsh script 명령 – 이 명령은 이제 pfsh -c script 명령과 동일하게 실행됩니다. 이전에는 스크립트의 첫 행에 프로파일 셸이 지정되어 있어야 스크립트 내 명령이 RBAC를 사용할 수 있었습니다. 이 규칙의 경우 RBAC를 사용하기 위해 스크립트를 변경해야 했지만, 이제는 스크립트 호출자(세션 내의 상위)가 프로파일 셸을 호출할 수 있으므로 스크립트를 변경할 필요가 없습니다.
pfexec 명령 – 이 명령은 이제 더 이상 setuid 루트가 아닙니다. pfexec 명령이나 프로파일 셸이 실행되면 새 PF_PFEXEC 프로세스 속성이 설정됩니다. 그런 다음 커널이 exec에 대해 적합한 권한을 설정합니다. 이 구현을 통해 하위 셸에 대해 적절히 권한을 부여하거나 제한할 수 있습니다.
커널이 exec(2)를 실행 중인 경우 이전과 다르게 setuid를 root로 취급합니다. 다른 uid에 대한 setuid 또는 setgid는 이전과 동일하게 취급됩니다. 이제 커널은 exec_attr(4)에서 Forced Privilege RBAC 프로파일의 항목을 검색하여 프로그램이 어떤 권한으로 실행되어야 하는지 확인합니다. 프로그램이 root 및 모든 권한으로 시작되는 대신, 현재 UID 및 Forced Privilege RBAC 실행 프로파일이 해당 경로 이름에 지정한 추가 권한으로만 실행됩니다.
권한 프로파일은 권한 부여 및 기타 보안 속성, 보안 속성 포함 명령, 보충 권한 프로파일을 모은 것입니다. Oracle Solaris는 많은 권한 프로파일을 제공합니다. 기존 권한 프로파일을 수정할 수도 있고 새로 만들 수도 있습니다. 가장 강력한 권한 프로파일에서 가장 약한 순으로 지정되어야 합니다.
다음은 사용 가능한 권한 프로파일 중 일부입니다.
System Administrator – 보안에 관련되지 않은 대부분의 작업을 수행할 수 있는 프로파일입니다. 이 프로파일에는 강력한 역할을 만들기 위한 여러 다른 프로파일이 포함됩니다. profiles 명령을 사용하여 이 프로파일에 대한 정보를 표시합니다. 예 9-1을 참조하십시오.
Operator – 파일 및 오프라인 매체를 관리하기 위한 제한된 능력을 가진 프로파일입니다.
Printer Management – 인쇄를 처리하기 위한 제한된 수의 명령 및 권한 부여를 제공하는 프로파일입니다.
Basic Solaris User – 사용자가 보안 정책의 한도 내에서 시스템을 사용할 수 있는 프로파일입니다. 이 프로파일은 policy.conf 파일에 기본적으로 나열됩니다.
Console User – 워크스테이션 소유자의 프로파일입니다. 이 프로파일은 컴퓨터에 앉은 사람에게 권한 부여, 명령, 작업 액세스를 제공합니다.
이 릴리스에서 사용 가능한 다른 권한 프로파일에는 All 권한 프로파일과 Stop 권한 프로파일이 있습니다. 자세한 내용은 Oracle Solaris 11.1 관리: 보안 서비스의 10 장, Oracle Solaris의 보안 속성(참조)을 참조하십시오.
예 9-1 System Administrator 권한 프로파일에 대한 정보 표시
profiles 명령을 사용하여 특정 권한 프로파일에 대한 정보를 표시합니다. 다음 예제에서 System Administrator 권한 프로파일에 대한 정보를 표시합니다.
$ profiles -p "System Administrator" info
name=System Administrator
desc=Can perform most non-security administrative tasks
profiles=Install Service Management,Audit Review,Extended Accounting Flow
Management,Extended Accounting Net Management,Extended Accounting Process Management,
Extended Accounting Task Management,Printer Management,Cron Management,Device Management,
File System Management,Log Management,Mail Management,Maintenance and Repair,
Media Backup,Media Catalog,Media Restore,Name Service Management,Network Management
Object Access Management,Process Management,Project Management,RAD Management,
Service Operator,Shadow Migration Monitor,Software Installation,System
Configuration,User Management,ZFS Storage Management
help=RtSysAdmin.html
사용자에게 직접 권한이 지정된 경우 권한이 모든 셸에 적용됩니다. 사용자에게 직접 권한이 지정되지 않은 경우 사용자가 프로파일 셸을 열어야 합니다. 예를 들어 지정된 권한을 가진 명령이 사용자의 권한 프로파일 목록에 있는 권한 프로파일에 있는 경우 사용자가 프로파일 셸에서 명령을 실행해야 합니다.
권한을 온라인으로 확인하려면 privileges(5)를 참조하십시오. 표시된 권한 형식은 개발자가 사용합니다.
$ man privileges
Standards, Environments, and Macros privileges(5)
NAME
privileges - process privilege model
...
The defined privileges are:
PRIV_CONTRACT_EVENT
Allow a process to request reliable delivery of events
to an event endpoint.
Allow a process to include events in the critical event
set term of a template which could be generated in
volume by the user.
...예 9-2 직접 지정된 권한 확인
사용자에게 직접 권한이 지정된 경우 해당 사용자의 기본 세트에는 원래 제공되는 기본 세트보다 더 많은 권한이 포함되어 있습니다. 다음 예에서 사용자는 항상 proc_clock_highres 권한에 액세스할 수 있어야 합니다.
$ /usr/bin/whoami
jdoe
$ ppriv -v $$
1800: pfksh
flags = <none>
E: file_link_any,…,proc_clock_highres,proc_session
I: file_link_any,…,proc_clock_highres,proc_session
P: file_link_any,…,proc_clock_highres,proc_session
L: cpc_cpu,dtrace_kernel,dtrace_proc,dtrace_user,…,sys_time
$ ppriv -vl proc_clock_highres
Allows a process to use high resolution timers.
권한 부여를 보려면 auths 명령을 사용합니다.
$ auths list
이 명령의 출력은 사용자에게 지정된 권한 부여를 읽기 쉬운 요약 형태로 한 라인에 하나씩 표시합니다. Oracle Solaris 11.1부터 몇 가지 새로운 옵션이 auths 명령에 추가되었습니다. 예를 들어, check 옵션은 스크립팅에 유용합니다. 기타 새 옵션은 files 또는 LDAP에서 권한 부여를 추가, 수정, 제거하는 기능을 제공합니다. auths(1)를 참조하십시오.
|