UNIX용 끝점 관리 안내서 › 파일 및 프로그램 보호 › 파일 및 디렉터리에 대한 액세스 제한

파일 및 디렉터리에 대한 액세스 제한

CA ControlMinder은 UNIX 시스템의 사용 권한을 그대로 유지하지만 향상된 액세스 제어 계층을 추가합니다.

CA ControlMinder은 다음과 같은 각각의 파일 액세스 작업을 차단하여 UNIX로 제어를 반환하기 전에 사용자에게 특정 작업에 대한 권한이 부여되어 있는지 확인합니다. 액세스 유형은 괄호 안에 표시됩니다.

• 파일 작성(create)
• 읽기 권한으로 파일 열기(read)

  참고: 사용자가 파일에 대한 정보를 얻는 작업(예: ls -l)을 수행할 수 있는지 여부를 제어하기 위해 read 권한이 필요한 경우, STAT_intercept 구성 설정을 1로 설정하십시오. 자세한 내용은 Reference Guide(참조 안내서)를 참조하십시오.

• 쓰기 권한으로 파일 열기(write)
• 파일 실행(execute)
• 파일 삭제(delete)
• 파일 이름 바꾸기(delete, rename)
• 사용 권한 비트 변경(chmod)
• 소유자 변경(chown)
• touch 명령 실행 등에 의한 타임스탬프 변경(utime)
• acledit 명령을 사용하여 액세스 제어 목록(ACL)을 지원하는 시스템의 Native ACL 편집(sec)
• 디렉터리 변경(chdir)

CA ControlMinder 액세스 검사는 다음과 같은 측면에서 기본 UNIX 권한 부여와 다릅니다.

• CA ControlMinder은 유효 사용자 ID(euid)가 아닌 로그인한 사용자의 원래 사용자 ID를 기준으로 권한 부여를 확인합니다. 예를 들면 userA가 su 명령을 실행하여 다른 사용자 ID로 교체한 경우 userA는 여전히 userA에게 허용되는 파일에 대한 액세스 권한만 가집니다. UNIX에서와 같이 다른 사용자를 대리해도 대상 사용자의 파일에 대한 액세스 권한이 원래 사용자에게 자동으로 부여되지 않습니다.
• CA ControlMinder은 슈퍼 사용자(root)에게 시스템의 모든 파일에 대한 자동 액세스 권한을 부여하지 않습니다. 슈퍼 사용자는 시스템의 다른 모든 사용자처럼 권한 부여가 검사됩니다.
• 권한 부여 검사는 CA ControlMinder의 일반 및 조건부 액세스 목록, 날짜 및 시간 제한 사항, 보안 수준, 보안 범주 및 보안 레이블을 기반으로 합니다.
• 사용자에게 파일에 액세스할 권한을 특별히 부여하지 않은 경우 CA ControlMinder은 해당 사용자가 파일에 액세스할 수 있도록 권한이 부여된 그룹에 속하는지 여부를 검사합니다.
• 각 파일 액세스는 일반 CA ControlMinder 감사 프로시저를 통해 감사됩니다.
• 파일을 삭제하는 경우 UNIX에서는 사용자에게 부모 디렉터리에 대한 WRITE 권한이 필요한 반면 CA ControlMinder에서는 해당 파일에 대한 DELETE 액세스 권한이 필요합니다.
• 파일 이름을 변경하려면 사용자에게 소스 파일에 대한 DELETE 액세스 권한과 대상 파일에 대한 RENAME 액세스 권한이 있어야 합니다. UNIX에서는 사용자에게 부모 디렉터리에 대한 WRITE 액세스 권한이 있어야 합니다.
• 모든 사용자에게 /etc/passwd 및 /etc/group 파일의 기본 설정에 관계없이 이러한 파일에 대해 영구적인 READ 권한이 최소한 제공됩니다. 이렇게 하면 시스템이 종료되지 않습니다.
• CA ControlMinder 데이터베이스의 FILE 개체 소유자는 개체로 보호되는 파일에 대해 항상 모든 권한을 갖습니다.
• chdir 액세스 유형은 chdir 명령을 제어하며, UNIX에서와 같이 실행되지 않습니다.

파일 보호 시스템의 제한 사항은 다음과 같습니다.

• 특수 _restricted 그룹의 구성원이 아닌 사용자와 관련하여 CA ControlMinder은 다음과 같은 파일 및 디렉터리만 보호합니다.
  • 데이터베이스에서 개별 이름으로 정의된 파일 및 디렉터리
  • 데이터베이스에 정의된 이름 패턴과 일치하는 파일 및 디렉터리(예: /etc/*)

  그룹 _restricted에 속한 사용자의 경우 모든 시스템 파일이 CA ControlMinder로 보호됩니다. 데이터베이스에 정의되지 않은 파일에 대한 권한 부여는 FILE 클래스의 _default 레코드를 기반으로 합니다.

• CA ControlMinder은 와일드카드를 사용하는 패턴을 비롯하여 보호가 필요한 리소스를 나타내는 모든 파일 이름과 디렉터리 이름의 테이블을 유지 관리합니다. 이 테이블에 사용할 수 있는 메모리 양은 제한되어 있습니다. 일반적으로, 데이터베이스의 개별 이름별로 정의할 수 있는 최대 파일 및 디렉터리 개수는 4096개이며 최대 이름 패턴 개수는 512개입니다.
• 일부 파일은 명시적 액세스 규칙이 없더라도 보호를 받습니다. 이러한 파일에는 CA ControlMinder 데이터베이스 파일, 감사 로그 및 구성 파일이 있습니다.

  참고: 자세한 내용은 참조 안내서의 FILE 클래스를 참조하십시오.

CA ControlMinder은 다음과 같은 파일 액세스 유형을 지원합니다.

• ALL
• CHDIR
• CHMOD
• CHOWN
• CONTROL
• CREATE
• DELETE
• EXECUTE
• NONE
• READ
• RENAME
• SEC
• UPDATE
• UTIME
• WRITE

파일 보호 시스템은 중요한 데이터가 들어 있는 선택한 파일 집합을 보호하는 데 유용합니다. 예를 들어 CA ControlMinder을 사용하여 다음과 같은 파일을 보호할 수 있습니다.

• /etc/passwd
• /etc/group
• /etc/hosts
• /etc/shadow

사용자 사이트에서 server 데몬에만 액세스가 허용되는 데이터베이스 및 중요한 기타 모든 파일을 보호하려면 CA ControlMinder을 사용해야 합니다.

항상 액세스를 제어해야 하는 일부 파일은 규칙을 지정하지 않더라도 규칙에 의해 관리됩니다.