파일 시스템 및 비전역 영역

이 절에서는 영역이 설치된 Oracle Solaris 시스템의 파일 시스템 문제에 대해 설명합니다. 각 영역에는 영역 root라고 하는 디렉토리에 루트 지정된 자체 파일 시스템 계층 섹션이 있습니다. 영역의 프로세스에서는 영역 루트 아래에 있는 계층에 포함된 파일에만 액세스할 수 있습니다. chroot 유틸리티는 영역에서 프로세스를 영역 내의 루트 경로로 제한하는 데에만 사용할 수 있습니다. chroot에 대한 자세한 내용은 chroot(1M)을 참조하십시오.

`-o` `nosuid` 옵션

mount 유틸리티에 대한 -o nosuid 옵션은 다음과 같은 기능이 있습니다.

nosetuid 옵션을 사용하여 마운트되는 파일 시스템에 있는 setuid 이진의 프로세스는 setuid 이진 권한으로 실행되지 않습니다. 프로세스는 이진을 실행하는 사용자의 권한으로 실행됩니다.

예를 들어 사용자가 root에서 소유한 setuid 이진을 실행하는 경우 프로세스는 사용자 권한으로 실행됩니다.
파일 시스템에서 장치 특정 항목을 열 수 없습니다. 이 동작은 nodevices 옵션을 지정하는 것과 같습니다.

mount(1M) 매뉴얼 페이지에서 설명한 대로 이 파일 시스템 특정 옵션은 mount 유틸리티를 사용하여 마운트할 수 있는 모든 Oracle Solaris 파일 시스템에서 사용할 수 있습니다. 이 설명서에서 이 파일 시스템은 영역에 파일 시스템 마운트에 나열되어 있습니다. 또한 마운트 기능이 설명되어 있습니다. -o nosuid 옵션에 대한 자세한 내용은 System Administration Guide: Network Services에서 “네트워크 파일 시스템 액세스(참조)”를 참조하십시오.

영역에 파일 시스템 마운트

파일 시스템을 영역에서 마운트할 때 nodevices 옵션이 적용됩니다. 예를 들어 영역에 UFS 파일 시스템에 해당하는 블록 장치(/dev/dsk/c0t0d0s7 ) 및 원시 장치(/dev/rdsk/c0t0d0s7)에 대한 액세스 권한이 부여되는 경우 파일 시스템은 영역에서 마운트할 때 nodevices에 자동으로 마운트됩니다. 이 규칙은 zonecfg 구성을 통해 지정되는 마운트에는 적용되지 않습니다.

비전역 영역에서 파일 시스템을 마운트하는 데 사용되는 옵션에 대해서는 다음 표에 설명되어 있습니다. 이러한 대체 마운트 절차는 영역 구성, 확인 및 커밋 및 실행 중인 비전역 영역에서 파일 시스템 마운트를 참조하십시오.

표에 나열되지 않은 파일 시스템 유형은 /usr/lib/fstype/mount 에 마운트 이진이 있는 경우 구성에서 지정할 수 있습니다.

파일 시스템	비전역 영역의 마운트 옵션
AutoFS	`zonecfg`를 사용하여 마운트할 수 없으며, 전역 영역에서 비전역 영역으로 수동으로 마운트할 수 없습니다. 영역 내에서 마운트할 수 있습니다.
CacheFS	비전역 영역에서 사용할 수 없습니다.
FDFS	`zonecfg`를 사용하여 마운트할 수 있고, 전역 영역에서 비전역 영역으로 수동으로 마운트할 수 있으며, 영역 내에서 마운트할 수 있습니다.
HSFS	`zonecfg`를 사용하여 마운트할 수 있고, 전역 영역에서 비전역 영역으로 수동으로 마운트할 수 있으며, 영역 내에서 마운트할 수 있습니다.
LOFS	`zonecfg`를 사용하여 마운트할 수 있고, 전역 영역에서 비전역 영역으로 수동으로 마운트할 수 있으며, 영역 내에서 마운트할 수 있습니다.
MNTFS	`zonecfg`를 사용하여 마운트할 수 없으며, 전역 영역에서 비전역 영역으로 수동으로 마운트할 수 없습니다. 영역 내에서 마운트할 수 있습니다.
NFS	`zonecfg`를 사용하여 마운트할 수 없습니다. 영역에서 현재 지원되는 버전인 V2, V3 및 V4는 영역 내에서 마운트할 수 있습니다.
PCFS	`zonecfg`를 사용하여 마운트할 수 있고, 전역 영역에서 비전역 영역으로 수동으로 마운트할 수 있으며, 영역 내에서 마운트할 수 있습니다.
PROCFS	`zonecfg`를 사용하여 마운트할 수 없으며, 전역 영역에서 비전역 영역으로 수동으로 마운트할 수 없습니다. 영역 내에서 마운트할 수 있습니다.
TMPFS	`zonecfg`를 사용하여 마운트할 수 있고, 전역 영역에서 비전역 영역으로 수동으로 마운트할 수 있으며, 영역 내에서 마운트할 수 있습니다.
UDFS	`zonecfg`를 사용하여 마운트할 수 있고, 전역 영역에서 비전역 영역으로 수동으로 마운트할 수 있으며, 영역 내에서 마운트할 수 있습니다.
UFS	`zonecfg`를 사용하여 마운트할 수 있고, 전역 영역에서 비전역 영역으로 수동으로 마운트할 수 있으며, 영역 내에서 마운트할 수 있습니다.
XMEMFS	`zonecfg`를 사용하여 마운트할 수 있고, 전역 영역에서 비전역 영역으로 수동으로 마운트할 수 있으며, 영역 내에서 마운트할 수 있습니다. 이후 릴리스에서는 이 파일 시스템에 대한 지원이 Oracle Solaris 시스템에서 제거됩니다.
ZFS	`zonecfg` `dataset` 및 `fs` 리소스 유형을 사용하여 마운트할 수 있습니다.

자세한 내용은 영역 구성 방법, 실행 중인 비전역 영역에서 파일 시스템 마운트 및 mount(1M) 매뉴얼 페이지를 참조하십시오.

영역에서 파일 시스템 마운트 해제

파일 시스템을 마운트 해제하는 기능은 초기 마운트를 수행한 사람에 따라 다릅니다. zonecfg 명령을 사용하여 파일 시스템을 영역 구성의 일부로 지정한 경우 전역 영역에서 이 마운트를 소유하므로 비전역 영역 관리자가 파일 시스템을 마운트 해제할 수 없습니다. 예를 들어 영역의 /etc/vfstab 파일에 마운트를 지정하여 비전역 영역에서 파일 시스템을 마운트한 경우 비전역 영역의 영역 관리자는 파일 시스템을 마운트 해제할 수 있습니다.

보안 제한 및 파일 시스템 동작

영역에서 특정 파일 시스템을 마운트하는 경우 보안 제한이 있습니다. 영역에서 다른 파일 시스템이 마운트될 경우 특정 동작을 나타냅니다. 마운트된 파일 시스템의 목록은 다음과 같습니다.

AutoFS

Autofs는 적절한 파일 시스템을 자동으로 마운트하는 클라이언트측 서비스입니다. 클라이언트가 현재 마운트되지 않은 파일 시스템에 액세스하려고 하면 AutoFS 파일 시스템이 요청을 인터셉트하고 automountd를 호출하여 요청된 디렉토리를 마운트합니다. 영역 내에서 설정된 AutoFS 마운트는 해당 영역에 로컬입니다. 전역 영역을 포함하여 다른 영역에서 마운트를 액세스할 수 없습니다. 영역이 정지되거나 재부트되면 마운트는 제거됩니다. AutoFS에 대한 자세한 내용은 System Administration Guide: Network Services의 How Autofs Works을 참조하십시오.

각 영역에서는 automountd의 자체 복사본을 실행합니다. 자동 맵 및 시간 초과는 영역 관리자에 의해 제어됩니다. 전역 영역에서 비전역 영역에 대한 AutoFS 마운트 지점을 교차하여 다른 영역에서 마운트를 트리거할 수 없습니다.

다른 마운트가 트리거되면 특정 AutoFS 마운트가 커널에 만들어집니다. 그런 마운트는 그룹으로 마운트되거나 마운트 해제해야 하므로 일반 umount 인터페이스를 사용하여 제거할 수 없습니다. 이 기능은 영역 종료를 위해 제공됩니다.

MNTFS

MNTFS는 로컬 시스템의 마운트된 파일 시스템 테이블에 대한 읽기 전용 액세스를 제공하는 가상 파일 시스템입니다. 비전역 영역에서 mnttab를 사용하여 표시하는 파일 시스템 세트는 영역에 마운트된 파일 시스템 세트와 루트(/)에 대한 항목입니다. 영역에서 액세스할 수 없는 특수 장치(예: /dev/rdsk/c0t0d0s0)가 있는 마운트 지점에는 마운트 지점과 동일한 특수 장치 세트가 있습니다. 시스템의 모든 마운트는 전역 영역의 /etc/mnttab 테이블에서 확인할 수 있습니다. MNTFS에 대한 자세한 내용은 System Administration Guide: Devices and File Systems의 Mounting and Unmounting Oracle Solaris File Systems를 참조하십시오.

NFS

영역 내에서 설정된 NFS 마운트는 해당 영역에 로컬입니다. 전역 영역을 포함하여 다른 영역에서 마운트를 액세스할 수 없습니다. 영역이 정지되거나 재부트되면 마운트는 제거됩니다.

mount_nfs(1M) 매뉴얼 페이지에 설명된 것과 같이, NFS 서버는 자체 파일 시스템을 마운트해서는 안됩니다. 따라서 영역이 전역 영역에서 내보낸 파일 시스템을 NFS 마운트하면 안됩니다. 영역은 NFS 서버일 수 없습니다. 영역 내에서 NFS 마운트는 nodevices 옵션을 사용하여 마운트된 것처럼 동작합니다.

nfsstat 명령 출력은 명령이 실행되는 영역하고만 관련이 있습니다. 예를 들어 명령이 전역 영역에서 실행되는 경우 전역 영역에 대한 정보만 보고됩니다. nfsstat 명령에 대한 자세한 내용은 nfsstat(1M)을 참조하십시오.

열린 파일이나 주소 공간의 한 부분이 NFS에 상주하는 경우에는 zlogin 명령이 실패합니다. 자세한 내용은 zlogin 명령을 참조하십시오.

PROCFS

/proc 파일 시스템(PROCFS)은 프로세스 표시 여부 및 액세스 제한을 제공하고 프로세스의 영역 연관에 대한 정보를 제공합니다. 동일한 영역에 있는 프로세스만 /proc를 통해 표시할 수 있습니다.

전역 영역의 프로세스에서 비전역 영역의 프로세스와 다른 객체를 관찰할 수 있습니다. 그러면 그런 프로세스에서 시스템을 전체적으로 확인할 수 있습니다.

영역 내에서 procfs 마운트는 nodevices 옵션을 사용하여 마운트된 것처럼 동작합니다. procfs에 대한 자세한 내용은 proc(4) 매뉴얼 페이지를 참조하십시오.

LOFS

LOFS를 통해 마운트될 수 있는 범위는 영역에 표시할 수 있는 파일 시스템 부분으로 제한됩니다. 따라서, 영역 내에서 LOFS 마운트에 대한 제한 사항은 없습니다.

UFS, UDFS, PCFS 및 기타 저장소 기반 파일 시스템

zonecfg 명령을 사용하여 fsck 이진이 있는 저장소 기반 파일 시스템(예: UFS)을 구성하는 경우 영역 관리자가 raw 매개변수를 지정해야 합니다. 이 매개변수는 원시(문자) 장치(예: /dev/rdsk/c0t0d0s7)를 나타냅니다. zoneadmd는 파일 시스템을 마운트하기 전에 이 장치에서 fsck 명령을 비대화식 검사 전용 모드(fsck -m)로 실행합니다. fsck가 실패하면 zoneadmd가 영역을 준비 상태로 전환할 수 없습니다. raw에 의해 지정되는 경로는 상대 경로가 아닙니다.

/usr/lib/ fstype/fsck에 fsck 이진을 제공하지 않는 파일 시스템에 대해 fsck에 장치를 지정하면 오류가 발생합니다. 또한 해당 파일 시스템에 대해 fsck 이진이 존재하지만 fsck에 장치를 지정하지 않은 경우에도 오류가 발생합니다.

자세한 내용은 zoneadmd 데몬 및 fsck(1M)을 참조하십시오.

ZFS

zonecfg 명령을 add dataset 리소스와 함께 사용하여 비전역 영역에 ZFS 데이터 세트를 추가할 수 있습니다. 이 데이터 세트는 비전역 영역에 표시 및 마운트되고 전역 영역에는 표시되지 않습니다. 영역 관리자는 해당 데이터 세트 내에서 파일 시스템을 만들거나 삭제하고 데이터 세트의 등록 정보를 만들고, 삭제, 복제 및 수정할 수 있습니다.

zfs의 zoned 속성은 데이터 세트가 비전역 영역에 추가되었는지 여부를 나타냅니다.

# zfs get zoned tank/sales
NAME          PROPERTY    VALUE      SOURCE
tank/sales    zoned       on         local

전역 영역에서 데이터 세트를 공유하려면 zonecfg 명령을 add fs 하위 명령과 함께 사용하여 LOFS 마운트 ZFS 파일 시스템을 추가할 수 있습니다. 전역 관리자는 데이터 세트의 등록 정보를 설정하고 제어할 수 있습니다.

ZFS에 대한 자세한 내용은 Oracle Solaris ZFS 관리 설명서의 10 장, Oracle Solaris ZFS 고급 주제을 참조하십시오.

NFS 클라이언트인 비전역 영역

영역은 NFS 클라이언트일 수 있습니다. 버전 2, 버전 3 및 버전 4 프로토콜이 지원됩니다. 이 NFS 버전에 대한 자세한 내용은 System Administration Guide: Network Services의 Features of the NFS Service을 참조하십시오.

기본 버전은 NFS 버전 4입니다. 다음 방법 중 하나를 사용하여 클라이언트에서 다른 NFS 버전을 사용하도록 설정할 수 있습니다.

영역이 기본적으로 지정된 버전을 사용하도록 /etc/default/nfs를 편집하여 NFS_CLIENT_VERSMAX=number를 설정할 수 있습니다. System Administration Guide: Network Services의 Setting Up NFS Services을 참조하십시오. 작업 맵에서 /etc/default/nfs 파일을 수정하여 클라이언트에서 다른 버전의 NFS를 선택하는 방법 절차를 사용합니다.
버전 마운트를 수동으로 만들 수 있습니다. 이 방법은 /etc/default/nfs의 내용을 대체합니다. System Administration Guide: Network Services의 Setting Up NFS Services을 참조하십시오. 작업 맵에서 명령줄을 사용하여 클라이언트에서 다른 버전의 NFS를 선택하는 방법 절차를 사용합니다.

영역에서 금지된 `mknod` 사용

mknod(1M) 매뉴얼 페이지에 설명된 mknod 명령을 사용하여 비전역 영역에서 특수 파일을 만들 수 없습니다.

파일 시스템 탐색

영역의 파일 시스템 이름 공간은 전역 영역에서 액세스할 수 있는 이름 공간의 일부입니다. 전역 영역에서 권한이 없는 프로세스에서는 다음과 같은 방법으로 비전역 영역의 파일 시스템 계층을 탐색할 수 없습니다.

영역 루트의 상위 디렉토리를 루트에서만 소유하고, 읽기, 쓰기 및 실행할 수 있도록 지정
/proc를 사용하여 내보내는 디렉토리에 대한 액세스 제한

다른 영역에 대해 마운트된 AutoFS 노드에 액세스되지 않습니다. 전역 관리자는 자동 맵이 다른 영역에 종속되지 않도록 해야 합니다.

전역 영역에서 비전역 영역 액세스 제한

비전역 영역이 설치된 후에 시스템 백업 유틸리티 이외의 명령을 사용하여 전역 영역에서 비전역 영역을 직접 액세스해서는 안 됩니다. 또한, 비전역 영역이 알 수 없는 환경에 노출된 후에는 더 이상 안전한 영역으로 간주할 수 없습니다. 예를 들어 공개적으로 액세스할 수 있는 네트워크에 배치된 영역이 있습니다. 이 영역은 손상되거나 파일 시스템의 내용이 변경될 수 있습니다. 손상이 발생했을 가능성이 있는 경우 전역 관리자는 해당 영역을 신뢰할 수 없는 영역으로 간주해야 합니다.

다음과 같은 경우에는 -R 또는 - b 옵션이나 이와 유사한 옵션을 사용하여 대체 루트를 수락하는 모든 명령을 사용해서는 안 됩니다.

명령이 전역 영역에서 실행되는 경우
현재 실행 중인 시스템의 전역 영역에 대한 상대 경로인지 대체 루트의 전역 영역에 대한 상대 경로인지 여부에 상관없이 대체 루트가 비전역 영역 내의 루트 경로를 참조하는 경우.

예를 들어 비전역 영역 루트 경로를 사용하여 전역 영역에서 실행되는 pkgadd 유틸리티에 -R root_path 옵션을 사용할 수 있습니다.

대체 루트 경로에서 -R을 사용하는 명령, 프로그램 및 유틸리티 목록은 다음과 같습니다.

auditreduce
bart
flar
flarcreate
installf
localeadm
makeuuid
metaroot
patchadd
patchrm
pkgadd
pkgadm
pkgask
pkgchk
pkgrm
prodreg
removef
routeadm
showrev
syseventadm

대체 루트 경로에서 -b를 사용하는 명령 및 프로그램 목록은 다음과 같습니다.

add_drv
pprosetup
rem_drv
roleadd
sysidconfig
update_drv
useradd

탐색 링크 건너뛰기
인쇄 보기 종료
	시스템 관리 설명서: Oracle Solaris Containers-리소스 관리 및 Oracle Solaris 영역 Oracle Solaris 10 1/13 Information Library (한국어)