구현 안내서UNIX 끝점 설치 및 사용자 지정CA Access Control 사용자 지정 › 트러스트된 프로그램

이전 항목: CA Access Control 사용자 지정

다음 항목: 등록되지 않은 프로그램 사용 모니터링

트러스트된 프로그램

트러스트된 프로그램은 변경되지 않은 경우에만 실행할 수 있는 프로그램입니다. 보통 setuid/setgid 프로그램입니다. 또한 CA Access Control에서는 일반 프로그램을 트러스트된 프로그램으로 지정할 수도 있습니다. 프로그램이 변경되지 않은 경우 CA Access Control이 무결성을 보장할 수 있는 PROGRAM 클래스에 등록합니다.

사용자가 트러스트된 프로그램을 사용해야만 특정 작업을 수행할 수 있도록 트러스트된 프로그램을 프로그램 경로 지정(Program Pathing) 기능과 함께 사용할 수도 있습니다.

참고: 프로그램 경로 지정에 대한 자세한 내용은 UNIX용 끝점 관리 안내서를 참조하십시오.

CA Access Control은 setuid 및 setgid 프로그램 전체를 트러스트된 프로그램으로 등록할 수 있는 스크립트를 제공합니다.

  1. setuid 및 setgid 프로그램을 모두 기억하는 수고를 덜려면 다음에 설명하는 seuidpgm 프로그램을 사용합니다. 이 프로그램은 파일 시스템을 검색하고 모든 setuid 및 setgid 프로그램을 찾은 다음 이러한 프로그램을 PROGRAM 클래스에 모두 등록하는 selang 명령 스크립트를 생성합니다.

    이 명령을 실행합니다.

    seuidpgm ‑q ‑l ‑f / > /opt/CA/AccessControl /seuid.txt

    표시된 대로 실행하면 seuidpgm은 다음을 수행합니다.

  2. 텍스트 편집기로 seuid.txt 파일을 열어 트러스트된 모든 setgid/setuid 프로그램을 포함하는지 그리고 다른 프로그램이 포함되지는 않았는지 확인합니다. 필요하다면 파일을 편집합니다.
  3. selang을 사용하여 편집한 파일의 명령을 실행합니다. seosd 데몬을 실행하지 않고 있다면 ‑l 스위치를 포함합니다. 
    selang [‑l] ‑f /opt/CA/AccessControl /seuid.txt

    selang을 완료하는 데 몇 분 정도 걸릴 수 있습니다.

  4. seosd 데몬을 이미 실행하고 있지 않은 경우 seosd 데몬을 다시 시작합니다. 그런 다음 시스템이 예상대로 작동하는지와 setuid 프로그램을 호출할 수 있는지 확인합니다.
  5. PROGRAM 클래스의 기본 액세스를 NONE으로 변경하여 언트러스트된 새 setuid 또는 setgid 프로그램이 보안 관리자가 모르는 상태에서 추가되어 실행되지 않도록 하는 것이 좋습니다.

    다음 selang 명령을 입력하여 기본 액세스 값을 설정합니다.

    chres PROGRAM _default defaccess(none)

참고: CA Access Control에 능숙한 사용자는 이 연결의 UACC 클래스에 대해 기억할 것입니다. UACC 클래스는 여전히 존재하며 리소스의 기본 액세스를 지정하는 데 사용할 수 있습니다. 그러나 클래스의 기본 액세스를 지정하는 경우에는 사용상 편의를 위해 클래스의 _default 레코드를 사용하는 것이 좋습니다. _default 사양은 동일한 클래스에 대한 UACC 사양보다 우선합니다.

등록한 setuid, setgid 및 일반 프로그램을 나타내는 PROGRAM 클래스의 레코드는 다음과 같은 실행 파일 특성을 저장합니다.

등록하는 각 프로그램의 가장 중요한 특성은 트러스트된 프로그램이라는 것입니다. 따라서 이러한 프로그램은 실행해도 좋습니다. 위에 열거한 특성이 하나라도 변경되어 프로그램이 트러스트된 상태를 잃게 되면 CA Access Control은 프로그램이 실행되지 않게 할 수 있습니다.