다음 정보는 Oracle Solaris 11에서 역할, 권한 및 권한 부여가 작동하는 방식에 대해 설명합니다.
권한 부여 지정 및 위임 – Oracle Solaris에서는 특정 관리 권한을 개인 사용자 및 역할에 위임하여 책임 구분을 구현할 수 있도록 권한 부여를 제공합니다. Oracle Solaris 10에서 권한 부여를 다른 사용자에게 위임하려면 .grant로 끝나는 권한 부여가 필요합니다. Oracle Solaris 11부터는 .assign 및 .delegate라는 두 개의 새 접미어가 사용됩니다(예: solaris.profile.assign 및 solaris.profile.delegate). 전자는 권한 프로파일을 위임하는 권한을 사용자나 역할에 부여하며, 후자는 현재 사용자에게 이미 지정된 권한 프로파일만 위임할 수 있다는 점에서 더 제한적입니다. root 역할에는 solaris.*가 지정되므로 이 역할은 모든 권한 부여를 모든 사용자 또는 역할에 지정할 수 있습니다. .assign으로 끝나는 권한 부여는 기본적으로 어떠한 프로파일에도 포함되지 않는 것이 안전합니다.
groupadd 명령 변경 사항 – 그룹을 만들 때 시스템은 solaris.group.assign/groupname 권한 부여를 관리자에게 지정합니다. 이 권한 부여는 관리자에게 해당 그룹에 대한 완전한 제어권을 제공하므로 관리자는 필요에 따라 groupname을 수정하거나 삭제할 수 있습니다. groupadd(1M) 및 groupmod(1M) 매뉴얼 페이지를 참조하십시오.
Media Restore 권한 프로파일 – 이 권한 프로파일 및 권한 부여 세트는 비root 계정의 권한을 승격시킬 수 있습니다. 이 프로파일은 존재하지만, 다른 권한 프로파일에 포함되지 않습니다. Media Restore 권한 프로파일은 전체 루트 파일 시스템에 대한 액세스를 제공하기 때문에 이 프로파일을 사용하면 권한 승격이 가능합니다. 고의로 수정된 파일이나 대체 매체를 복원할 수 있습니다. 기본적으로 root 역할에 이 권한 프로파일이 포함됩니다.
기본 관리자 프로파일이 제거됨 – 설치 시 만들어진 초기 사용자에게는 다음과 같은 역할과 권한이 부여됩니다.
root 역할
System Administrator 권한 프로파일
root로 실행되는 모든 명령의 sudo 명령에 대한 액세스
역할 인증 – roleauth 키워드에 대해 user 또는 role을 지정할 수 있습니다.
다음과 같은 방법으로 root 역할에 지정된 암호를 확인할 수 있습니다.
# userattr roleauth root
출력이 없으면 root 계정이 사용자 정의되지 않았으므로 암호가 사용자 암호가 아니라 Oracle Solaris 기본값임을 알 수 있습니다.
user_attr(4)을 참조하십시오.
역할로 사용되는 root – root는 Oracle Solaris 11에서 기본적으로 익명이 아닌 역할이므로 시스템에 원격으로 로그인할 수 없습니다. root 역할을 사용자로 변경하는 방법은 Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 root 역할을 사용자로 변경하는 방법을 참조하십시오.
Oracle Solaris 기본 권한은 다음과 같습니다.
file_read
file_write
net_access
정규 셸의 프로파일 셸 버전 – Oracle Solaris 11에서 모든 정규 셸은 자체 프로파일 버전을 갖습니다. 사용 가능한 프로파일 셸은 다음과 같습니다.
pfbash
pfcsh
pfksh
pfksh93
pfrksh93
pfsh
pftcsh
pfzsh
pfexec(1)를 참조하십시오.
권한 프로파일 – user_attr, prof_attr, exec_attr 데이터베이스는 읽기 전용입니다. 이러한 로컬 파일 데이터베이스는 /etc/user_attr.d, /etc/security/prof_attr.d 및 /etc/security/exec_attr.d에 있는 단편에서 어셈블됩니다. 단편 파일은 단일 버전의 파일에 병합되지 않고, 단편으로 유지됩니다. 이 변경으로 패키지가 전체 또는 부분 권한 프로파일을 제공할 수 있습니다. useradd 및 profiles 명령으로 로컬 파일 저장소에 추가된 항목은 단편 디렉토리의 local-entries 파일에도 추가됩니다. 프로파일을 추가하거나 수정하려면 profiles 명령을 사용합니다. 권한 프로파일 정보를 참조하십시오.
Stop 권한 프로파일 – 관리자는 이 프로파일을 사용하여 제한된 계정을 만들 수 있습니다. Oracle Solaris 11.2의 사용자 및 프로세스 보안 의 권한 프로파일에 대한 추가 정보을 참조하십시오.
pfsh script 명령 – 이 명령은 pfsh –c script 명령과 동일하게 실행됩니다. 이전에는 스크립트의 첫 행에 프로파일 셸이 지정되어 있어야 스크립트 내 명령이 권한 프로파일을 사용할 수 있었습니다. 이 규칙 때문에 권한 프로파일을 사용하려면 스크립트를 수정해야 했지만, 이제는 스크립트 호출자(또는 세션 내의 상위)가 프로파일 셸을 지정할 수 있으므로 스크립트를 수정할 필요가 없습니다.
pfexec 명령 – 이 명령은 더 이상 setuid 루트가 아닙니다. pfexec 명령이나 프로파일 셸이 실행되면 새 PF_PFEXEC 프로세스 속성이 설정됩니다. 그런 다음 커널이 exec에 대해 적합한 권한을 설정합니다. 이 구현을 통해 하위 셸에 대해 적절히 권한을 부여하거나 제한할 수 있습니다.
커널이 exec (2) 를 처리 중인 경우 이전과 다르게 setuid를 root로 취급합니다. 다른 uid에 대한 setuid 또는 setgid는 이전과 동일하게 취급됩니다. 커널은 exec_attr (4) 에서 Forced Privilege 권한 프로파일의 항목을 검색하여 프로그램이 어떤 권한으로 실행되어야 하는지 확인합니다. 프로그램이 root 및 모든 권한으로 시작되는 대신, 현재 UID 및 Forced Privilege 실행 권한 프로파일이 해당 경로 이름에 지정한 추가 권한으로만 실행됩니다.