AIX 사용자 데이터 보호

1.1 사용자 데이터 보호

액세스 제어 테이블
액세스 제어는 보호된 정보 자원으로 구성되어 있으며, 이 자원에 대한 접근권을 부여할 사람을 지정합니다.대상의 소유자와 루트 사용자만 대상의 접근권을 변경할 수 있는 사용자입니다.액세스 제어를 관리하는 가장 중요한 임무는 사용자의 구성원 신분을 정의하는 것이다. 왜냐하면 이러한 구성원 신분은 사용자가 자신의 파일이 아닌 파일에 대한 접근권을 결정하기 때문이다.ACL(Access Control Table)은 개인과 그룹에 지정된 기본 라이센스를 수정하는 확장 라이센스를 추가하여 파일 액세스 제어의 품질을 향상시킵니다.라이센스를 확장하면 기본 라이센스를 변경하지 않고도 지정된 개인 또는 그룹의 파일 액세스를 허용하거나 거부할 수 있습니다.aclget, acledit 및 aclput 명령을 사용하여 ACL을 유지합니다.
 chmod
명령은 기본 허가권과 속성을 설정할 수 있습니다. (8진수로 표기법)chmod 서브루틴 (이 명령이 호출된) 은 확장 허가권을 사용하지 않습니다.ACL이 있는 파일에chmod 명령의 숫자를 사용하면 확장 허가권을 사용하지 않습니다.chmod 명령의 기호 방식은 확장 허가권을 비활성화하지 않습니다.
기본 허가권
기본 라이센스는 파일 소유자, 파일 그룹 및 기타 사용자에게 일반적으로 지정된 파일 액세스 방식입니다.접근 방식은 읽기 (r), 쓰기 (w), 실행/검색 (x) 입니다.
ACL에서 기본 라이센스는 다음과 같은 형식으로 rwx(지정되지 않은 각 라이센스를 하이픈(-)로 변경하는 경우)를 나타내는 Mode 매개 변수가 있습니다.
base permissions:
   owner(name): Mode
   group(group): Mode
   others: Mode
라이센스 확장
확장 라이센스를 사용하면 파일 소유자가 파일에 대한 액세스를 보다 정확하게 정의할 수 있습니다.확장 라이센스는 지정된 개인, 그룹 또는 그룹 및 사용자의 조합에 대해 허용, 거부 또는 액세스를 수행하여 프로파일 라이센스(소유자, 그룹, 기타)를 수정합니다.키워드를 사용하여 라이센스를 수정합니다.
permit
, deny 및 specify 키워드는 다음과 같이 정의됩니다.
permit
:
파일에 대한 사용자 또는 그룹의 지정된 액세스 권한 부여
deny
:
사용자 또는 그룹의 파일에 대한 지정된 액세스 제한
specify
:
사용자 또는 그룹의 파일 액세스를 정확하게 정의합니다.
만약 deny나specify 키워드를 통해 사용자의 특정한 접근권을 거부한다면, 이 접근 거부를 덮어쓸 수 있는 다른 항목은 없습니다.
확장 라이센스를 적용하려면 enabled 키워드를 ACL에 지정해야 합니다.기본값은 disabled 키워드입니다.
ACL에서 확장 라이센스는 다음 형식입니다.
extended permissions:
  enabled | disabled
    permit   Mode  UserInfo...:
    deny     Mode  UserInfo...:
    specify  Mode  UserInfo...:
permit,deny,specify 항목마다 독립된 줄을 차지합니다.Mode 매개 변수는 rwx로 표시됩니다. (지정한 허가권이 없는 모든 것은 하이픈 (-) 으로 대체됩니다.UserInfo 매개 변수는 u:UserName 또는 g:GroupName 또는 쉼표로 구분된 u:UserName과 g:GroupName의 조합을 나타냅니다.
acledit
명령을 사용하여
File
매개변수가 지정한 파일의 액세스 제어 정보입니다.이 명령은 현재 액세스 제어 정보를 표시하고 파일 소유자가 사용하도록 합니다
EDITOR
환경 변수에 지정된 편집기에서 이 정보를 변경합니다.이 명령은 영구적으로 변경하기 전에 변경 여부를 묻습니다.
이하
ACL은 파일이 사용자임을 나타냅니다.
user1
및 그룹
staff.사용자
user2
이 파일을 읽을 수 있는 권한이 있습니다.

attributes:

base permissions:

owner (user1): rw-

group (group): r--

others: ---

extended permissions

   enabled

permit  r--   u:user2

이하
ACL은 파일이 같은 사용자와 그룹에 속한다는 것을 지적하지만 이 예에서 모든 다른 사용자(
user2) 모두 읽기 권한이 있습니다.
attributes:
base permissions:
owner (user1): rw-
group (group): r--
others: r--
extended permissions
    enabled
deny  r--   u:user2
acledit 명령은
ACL.먼저 텍스트 편집기를 설정해야 합니다.
. 예:
export EDITOR=/usr/bin/vi.
 
다음 작업을 수행합니다.
acledit file_name 화면에
  attributes: base permissions owner (rcunning): rwx group (staff):
 r―
others: --- extended permissions disabled에서 확장 권한을 설정하려면
disabled 설정을 "
enabled”:
extend permissions enabled 사용
permit、
deny 또는
specify 키워드로 확장 권한을 정의합니다.앞의 예는 소유자만 이 파일을 쓸 수 있다는 것을 보여 준다.그룹 구성원은 이 파일을 읽을 수 있지만 다른 사용자는 허가 권한이 없습니다.하면, 만약, 만약...
"joe"는 이 파일을 읽고 쓸 수 있습니다. 다음 명령을 사용합니다.
  extended permissions enabled permit rw- u: joe. 그룹 사용자 허용하기
joegroup에서 이 파일을 읽습니다. 다음 명령을 사용하십시오.
rermit r-g:joegroup 같은 줄에 여러 항목을 합쳐서 권한을 조정할 수 있습니다.하면, 만약, 만약...
pete는 읽기 및 쓰기 권한을 제공하며 시스템 그룹의 일부인 경우 다음 명령을 사용합니다.
permit rw-u:pete, g:system은 몇 명의 사용자나 그룹에 허가 권한을 추가하려면 지점 명령을 사용합니다
 :
permit rw-u: joe permit rw-u:pete 사용
ls -el 명령, 보기
ACL이 파일에 설정되어 있는지 여부예컨대
ls -el profile 명령 표시:
  ―
rwxw------+마지막
+ 파일이 이미 있음
유효하다
ACL .
주의: 디지털 쟁의가 있는
chmod 명령은 파일이나 디렉터리의
잘못된 ACL
 
setuid
및 setgid
대부분의 경우 허가권 체제는 자원에 대한 효과적인 접근 제어를 허용한다.그러나 더 정확한 접근 제어에 대해 운영체제는 setuid와 setgid 프로그램을 제공했다.
대부분의 프로그램은 사용자의 사용자와 그룹 접근권을 호출해서 실행합니다.프로그램 소유자는 이 프로그램을 setuid 또는 setgid 프로그램으로 만들어 사용자의 접근권을 호출할 수 있도록 한다.프로그램이 허가권 필드에 setuid나 setgid 비트를 설정한 것이다.프로세스가 프로그램을 실행할 때, 프로세스는 프로그램 소유자의 접근권을 가져옵니다.setuid 프로그램은 소유자의 접근권을 사용하고 setgid 프로그램은 그룹의 접근권을 가지며 두 자리 모두 허가권 메커니즘에 따라 설정할 수 있습니다.
파일 및 디렉토리에 대한 액세스 라이센스
파일과 디렉터리에는 세 가지 등급의 허가권이 있습니다: 사용자 (파일 소유자), 그룹과 다른 사람. 그리고 세 가지 허가권은 SUID, SGID, SVTX (접착 비트) 입니다.
SUID 비트가 있는 실행 파일은 파일이 실행될 때 해당 프로세스가 파일의 유효한 UID로 실행됨을 의미합니다.셸 프로그램은 SUID를 지원하지 않으며 SUID는 디렉토리에 의미가 없습니다.SGID 비트가 있는 실행 가능한 파일은 파일이 실행될 때 그 프로세스가 파일 속 그룹의 유효한 GID로 실행된다는 것을 의미한다.SGID가 있는 디렉터리는 이 디렉터리 아래에 생성된 파일/디렉터리가 디렉터리의 그룹 ID를 계승하고 창설자의 속조를 무시한다는 것을 나타낸다.AIX의 점착 위치는 파일에 의미가 없고 점착 위치가 있는 디렉터리는 디렉터리에 쓰기 허가권(예를 들어/tmp)이 있어도 사용자가 디렉터리 아래의 파일을 마음대로 삭제할 수 없다는 것을 의미한다.
허가권
서류
카탈로그
R
사용자가 읽기 허가권을 가지다
사용자가 디렉토리의 컨텐트를 나열합니다.
W
파일 내용 수정 가능
디렉토리에서 파일을 생성하거나 삭제할 수 있습니다.
X
사용자가 수행할 수 있는 파일
디렉토리에 cd를 입력하고 PATH에서 참조할 수 있음
SUID
이 프로그램을 실행할 때 파일 소유자가 있는 유효한 UID
――
SGID
프로그램 실행 시 파일 그룹이 있는 유효한 GID
디렉토리에 생성된 파일은 디렉토리의 GID를 상속합니다.
SVTX
――
파일이나 디렉터리 소유자만 이 디렉터리에서 파일을 삭제할 수 있습니다
 
 
네트워크 서비스
클라이언트 서버 응용 프로그램은 서버에서 통신 포트를 열어 응용 프로그램이 수신한 클라이언트 요청을 탐지할 수 있도록 한다.열려 있는 포트는 잠재적인 보안 공격을 받기 쉬우므로 열려 있는 응용 프로그램을 식별하고 열려 있지 않은 포트를 닫아야 한다.인터넷을 방문하는 사람들에게 어떤 시스템이 유용한지 알 수 있기 때문에 이런 습관은 매우 유용하다.