모든 전략 허용

마지막 업데이트: 2022년 4월 11일 | 0개 댓글
  • 네이버 블로그 공유하기
  • 네이버 밴드에 공유하기
  • 페이스북 공유하기
  • 트위터 공유하기
  • 카카오스토리 공유하기

Robots.txt 파일 만들기

Wix, Blogger와 같은 사이트 호스팅 서비스를 사용하는 경우 robots.txt 파일을 직접 수정할 필요가 없거나 수정하지 못할 수 있습니다. 대신, 호스팅 업체에서 검색엔진이 페이지를 크롤링할 수 있게 할지 결정하는 검색 설정 페이지나 기타 메커니즘을 제공할 수 있습니다.

검색엔진에서 페이지 중 하나를 숨기거나 숨기기 해제하려면 검색엔진에서 페이지 공개 상태를 수정하는 방법에 관한 호스팅 서비스의 안내를 찾아보세요. 예를 들어 '검색엔진에서 wix 페이지 숨기기'를 검색합니다.

robots.txt 파일을 사용하여 사이트에서 크롤러가 액세스할 수 있는 파일을 제어할 수 있습니다. robots.txt 파일은 사이트의 루트에 위치합니다. 따라서 www.example.com 사이트의 경우 robots.txt 파일은 www.example.com/robots.txt 에 있습니다. robots.txt는 로봇 제외 표준을 따르는 일반 텍스트 파일입니다. robots.txt 파일은 하나 이상의 규칙으로 구성됩니다. 각 규칙은 특정 크롤러가 웹사이트에서 지정된 파일 경로에 액세스하는 것을 차단하거나 허용합니다. robots.txt 파일에서 다르게 지정하지 않는 한 모든 파일은 암시적으로 크롤링에 허용됩니다.

다음은 두 가지 규칙이 포함된 간단한 robots.txt 파일입니다.

이 robots.txt 파일의 의미는 다음과 같습니다.

  1. 이름이 Googlebot인 사용자 에이전트는 http://example.com/nogooglebot/ 으로 시작하는 URL을 크롤링할 수 없습니다.
  2. 그 외 모든 사용자 에이전트는 전체 사이트를 크롤링할 수 있습니다. 이 부분을 생략해도 결과는 동일합니다. 사용자 에이전트가 전체 사이트를 크롤링할 수 있도록 허용하는 것이 기본 동작입니다.
  3. 사이트의 사이트맵 파일은 http://www.example.com/sitemap.xml 에 있습니다.

더 많은 예는 구문 섹션을 참고하세요.

robots.txt 파일 만들기 기본 가이드라인

robots.txt 파일을 만들어 일반적으로 액세스 가능하고 유용하게 하려면 네 단계가 필요합니다.

Robots.txt 파일 만들기

거의 모든 텍스트 편집기를 사용하여 robots.txt 파일을 만들 수 있습니다. 예를 들어 메모장, TextEdit, vi, emacs는 유효한 robots.txt 파일을 만들 수 있습니다. 워드 프로세서는 사용하지 마세요. 워드 프로세서는 파일을 고유의 형식으로 저장하는 경우가 많고, 둥근 따옴표와 같은 예상치 못한 문자를 추가하여 크롤러에 문제를 일으킬 수 있습니다. 파일 저장 대화상자에서 메시지가 표시되면 UTF-8 인코딩으로 파일을 저장해야 합니다.

  • 파일 이름은 robots.txt로 지정해야 합니다.
  • 사이트에는 robots.txt 파일이 하나만 있어야 합니다.
  • robots.txt 파일은 파일이 적용되는 웹사이트 호스트의 루트에 있어야 합니다. 예를 들어, https://www.example.com/ 아래 모든 URL에 관한 크롤링을 제어하려면 robots.txt 파일이 https://www.example.com/robots.txt 에 있어야 합니다. 이 파일을 하위 디렉터리(예: https://example.com/pages/robots.txt )에 배치하면 안 됩니다. 웹사이트 루트에 액세스하는 방법을 잘 모르거나 액세스 권한이 필요한 경우 웹 호스팅 서비스 제공업체에 문의하세요. 웹사이트 루트에 액세스할 수 없다면 메타 태그와 같은 다른 차단 방법을 사용하세요.
  • robots.txt 파일을 하위 도메인(예: https://website.example.com/robots.txt ) 또는 비표준 포트(예: http://example.com:8181/robots.txt )에 게시할 수 있습니다.
  • 파일이 게시된 프로토콜, 호스트, 포트 내의 경로에만 robots.txt 파일이 적용됩니다. 즉, https://example.com/robots.txt 의 규칙은 https://example.com/ 의 파일에만 적용되며 https://m.example.com/ 와 같은 하위 도메인이나 http://example.com/ 와 같은 대체 프로토콜에는 적용되지 않습니다.
  • robots.txt 파일은 UTF-8로 인코딩된 텍스트 파일이어야 합니다(ASCII 포함). Google은 UTF-8 범위에 속하지 않는 문자를 무시할 수 있으므로 robots.txt 규칙이 무효화될 수 있습니다.

robots.txt 파일에 규칙 추가

규칙은 크롤러가 크롤링할 수 있는 사이트의 부분에 관한 지침입니다. robots.txt 파일에 규칙을 추가할 때 다음 가이드라인을 따르세요.

  • robots.txt 파일은 하나 이상의 그룹으로 구성됩니다.
  • 각 그룹은 여러 규칙 또는 지시어(지침)로 구성되며, 행마다 하나의 지시어가 있습니다. 각 그룹은 그룹의 대상을 지정하는 User-agent 행으로 시작합니다.
  • 그룹은 다음과 같은 정보를 제공합니다.
    • 그룹이 적용되는 대상(사용자 에이전트)
    • 에이전트가 액세스할 수 있는 디렉터리나 파일
    • 에이전트가 액세스할 수 없는 디렉터리나 파일

    Google 크롤러는 robots.txt 파일에서 다음 지시어를 지원합니다.

    • user-agent: [필수, 그룹당 하나 이상] 지시어는 규칙이 적용되는 검색엔진 크롤러(자동화 클라이언트)의 이름을 지정합니다. 이 명령은 모든 규칙 그룹의 첫 행입니다. Google 사용자 에이전트 이름은 Google 사용자 에이전트 목록에 나열되어 있습니다. 별표( * )를 사용하면 이름을 명시적으로 지정해야 하는 여러 AdsBot 크롤러를 제외한 모든 크롤러에 규칙을 적용할 수 있습니다. 예:
    • disallow: [규칙당 하나 이상의 disallow 또는 allow 항목 필요] 사용자 에이전트가 크롤링하지 않도록 하려는 루트 도메인 관련 디렉터리 또는 페이지입니다. 규칙이 페이지를 참조하는 경우 브라우저에 표시되는 전체 페이지 이름이어야 합니다. / 문자로 시작해야 하고 디렉터리를 참조하는 경우 / 기호로 끝나야 합니다.
    • allow: [규칙당 하나 이상의 disallow 또는 allow 항목 필요] 방금 언급한 사용자 에이전트가 크롤링할 수 있는 루트 도메인 관련 디렉터리 또는 페이지입니다. 이는 disallow 지시어를 재정의하여 허용되지 않은 디렉터리에 있는 하위 디렉터리 또는 페이지를 크롤링할 수 있도록 합니다. 단일 페이지의 경우 브라우저에 표시된 전체 페이지 이름을 지정합니다. 디렉터리의 경우 규칙은 / 기호로 끝나야 모든 전략 허용 합니다.
    • sitemap: [선택사항, 파일당 0개 이상] 웹사이트의 사이트맵 위치입니다. 사이트맵 URL은 정규화된 URL이어야 합니다. Google은 http, https, www를 포함하는 URL과 포함하지 않는 대체 URL을 가정하거나 확인하지 않습니다. 사이트맵은 Google에서 크롤링할 수 있거나할 수 없는 콘텐츠를 표시하는 것이 아니라 크롤링을 해야 하는 콘텐츠를 표시할 때 좋은 방법입니다. 사이트맵에 관해 자세히 알아보기예:

    sitemap 을 제외한 모든 지시어는 경로 접두사, 접미사 또는 전체 문자열에 * 와일드 카드를 지원합니다.

    다음 지시어와 일치하지 않는 행은 무시됩니다.

    각 지시어에 관한 자세한 내용은 Google의 robots.txt 사양 해석 페이지를 참고하세요.

    robots.txt 파일 업로드

    robots.txt 파일을 컴퓨터에 저장했다면 검색엔진 크롤러에서 사용할 수 있습니다. 이 작업에 도움이 되는 한 가지 도구는 없습니다. robots.txt 파일을 사이트에 업로드하는 방법은 사이트와 서버 아키텍처에 따라 달라지기 때문입니다. 호스팅 회사에 문의하거나 호스팅 회사의 문서를 검색하세요. 예를 들어 '업로드 파일 infomaniak'를 검색합니다.

    robots.txt 파일을 업로드한 후 공개적으로 액세스할 수 있는지, Google에서 파싱할 수 있는지 테스트합니다.

    robots.txt 마크업 테스트

    새로 업로드한 robots.txt 파일에 공개적으로 액세스할 수 있는지 테스트하려면 브라우저에서 시크릿 브라우징 창(또는 이에 상응하는 창)을 열고 robots.txt 파일 위치로 이동합니다. https://example.com/robots.txt 를 예로 들 수 있습니다. robots.txt 파일의 콘텐츠가 표시되면 마크업을 테스트할 수 있습니다.

    Google에서는 다음과 같이 robots.txt 마크업을 테스트하는 2가지 옵션을 제공합니다.

    1. Search Console의 robots.txt 테스터 이 모든 전략 허용 도구는 사이트에서 이미 액세스할 수 있는 robots.txt 파일에만 사용할 수 있습니다.
    2. 개발자는 Google 검색에서도 사용되는 Google의 오픈소스 robots.txt 라이브러리를 확인하고 빌드합니다. 이 도구는 컴퓨터에서 로컬로 robots.txt 파일을 테스트하는 데 사용할 수 있습니다.

    robots.txt 파일을 Google에 제출

    robots.txt 파일을 업로드하여 테스트한 후에는 Google 크롤러가 자동으로 robots.txt 파일을 찾아 사용하기 시작합니다. 다른 작업이 필요하지 않습니다. robots.txt 파일을 업데이트한 후 최대한 빨리 Google의 캐시된 사본을 새로고침해야 한다면 업데이트된 robots.txt 파일 제출 방법을 참고하세요.

    알아 두면 좋은 robots.txt 규칙

    다음은 알아 두면 좋은 몇 가지 일반적인 robots.txt 규칙입니다.

    크롤링된 적이 없어도 웹사이트 URL의 색인이 생성되는 경우가 있다는 점을 기억하시기 바랍니다.

    디렉터리 이름에 슬래시를 추가하여 전체 디렉터리의 크롤링을 금지합니다.

    googlebot-news 만 전체 사이트를 크롤링할 수 있습니다.

    Unnecessarybot 은 사이트를 크롤링하지 못할 수 있으며 다른 모든 크롤러는 크롤링할 수도 있습니다.

    예를 들어 https://example.com/useless_file.html 에 있는 useless_file.html 페이지와 junk 디렉터리에 other_useless_file.html 페이지의 크롤링을 금지합니다.

    Google 이미지의 특정 이미지 크롤링 차단

    예를 들어 dogs.jpg 이미지를 금지합니다.

    Google 이미지의 사이트 내 모든 이미지 크롤링 차단

    Google은 이미지와 동영상을 크롤링하지 않고는 색인을 생성할 수 없습니다.

    특정 형식의 파일 크롤링 금지

    예를 들어 모든 .gif 파일의 크롤링을 금지합니다.

    전체 사이트 크롤링은 금지하지만 Mediapartners-Google 크롤링은 허용

    이 구현으로 검색결과에서 페이지를 숨길 수 있지만 Mediapartners-Google 웹 크롤러는 여전히 페이지를 분석하여 사이트 방문자에게 표시할 광고를 결정할 수 있습니다.

    예를 들어 .xls 파일은 모두 금지합니다.

    Except as otherwise noted, the content of this page is licensed under the Creative Commons Attribution 4.0 License, and code samples are licensed under the Apache 2.0 License. For details, see the Google Developers Site Policies. Java is a registered trademark of Oracle and/or its affiliates.

    모든 전략 허용

    중국이 산아제한 정책의 일환으로 35년간 유지해온 한자녀 정책을 폐기하고 모든 부부에게 자녀 2명을 낳는 것을 허용했다.

    시진핑(習近平) 중국 국가주석이 이끄는 중국 지도부는 26일부터 29일까지 베이징 징시(京西)호텔에서 열린 공산당 제18기 중앙위원회 제5차 전체회의(18기 5중전회)에서 보편적으로 2명의 자녀를 허용하는 '전면적 2자녀 정책'을 채택했다고 신화통신이 보도했다. 중국 공산당은 1980년 9월 25일 공개서한을 통해 공식적으로 한자녀 정책을 채택, 인구증가를 억제해 왔다.

    중국 지도부는 이번 회의에서 "인구의 균형발전을 촉진하고 계획생육(가족계획)의 기본 국가정책을 견지하면서 인구 발전전략을 개선하기 위해 모든 부부에게 자녀 2명을 낳을 수 있도록 허용키로 했다"면서 "인구 고령화에도 적극적으로 대비할 것"이라고 밝혔다.

    중국 공산당은 2013년 11월 열린 3중전회에서 기존의 한자녀 정책을 완화한 단독 2자녀 정책 도입을 결정한 바 있다. 부부 가운데 한쪽이라도 독자일 경우는 2명의 자녀를 낳을 수 있도록 허용하는 단독 2자녀 정책은 지난해부터 각 지방 정부별로 도입된 바 있다.

    중국 지도부는 이번 회의에서 중국 정부가 향후 5년간 추진할 경제와 사회발전의 '로드맵'인 '국민경제 및 사회발전에 관한 제13차 5개년계획(13·5규획, 2016∼2020년)'을 통과시켰다.

    중국 지도부는 구체적으로 '신창타이'(新常態·New Normal) 시대에 맞는 경제시스템과 발전방식 모색을 가속화하고 '온중구진'(穩中求進: 안정 속 발전) 기조를 유지하면서 경제·정치·문화·사회건설, 생태문명과 당의 건설을 통합적으로 추진키로 했다. 이를 통해 예정기한 내에 전면적 샤오캉(小康·모든 국민이 편안하고 풍족한 생활을 누리는 상태) 사회 건설 목표와 '2개의 100년'(兩個一百年)의 꿈, 중화민족의 위대한 부흥이라는 '중국의 꿈'을 실현하겠다고 밝혔다.

    중국은 공산당 창건 100주년이 되는 2021년에 샤오캉 사회를 전면 실현하고, 신중국 성립 100주년이 되는 2049년에 사회주의 현대화 국가를 완성하겠다는 '중국의 꿈'을 목표로 삼고 있다.

    그러나 이날 회의 결과자료에는 중국의 향후 5년간 경제성장률 목표치는 들어있지 않았다. 당초 전문가들 사이에서는 중국이 향후 5년간의 경제성장률 목표치를 기존의 7%에서 6%대로 낮출 것이란 전망이 나왔었다.

    중국 지도부는 이번 회의에서 지난 7월 부패혐의로 당적과 공직이 박탈된 링지화(令計劃) 전 통일전선공작부장의 중앙위원 퇴출을 공식화했다.

    또 조선족 김진길(56·중국명 진전지) 지린(吉林)성 정법위원회 서기, 류샤오카이(劉曉凱·53) 구이저우(貴州)성 통일전선부장, 천즈룽(陳志榮·58) 하이난(海南)성 정법위 서기를 중앙위원으로 선출했다.

    지린성 옌지(延吉)시 출신의 김 서기는 옌볜사범대를 졸업한 뒤 조선족 거주지인 룽징(龍井)현 부서기, 옌볜(延邊) 조선족자치주 주장, 지린성 부성장 등을 거친 공산주의청년단 출신 관료다.

    Hybrid를 허용하는 Google Cloud URL

    외부 도메인을 허용해야 하는 제한된 VPC 환경이 있는 경우 다음은 설치 및 런타임 중에 Apigee Hybrid를 연결해야 할 수 있는 Google Cloud URL 목록입니다.

    모든 Apigee Hybrid 설치에 사용되는 Google Cloud URL

    이러한 URL은 모든 Apigee 하이브리드 설치에서 사용됩니다.

    • accounts.google.com
    • apigee.googleapis.com
    • apigeeconnect.googleapis.com
    • binaryauthorization.googleapis.com
    • cloudresourcemanager.googleapis.com
    • compute.googleapis.com
    • container.googleapis.com
    • deploymentmanager.googleapis.com
    • gkeconnect.googleapis.com
    • gkehub.googleapis.com
    • iam.googleapis.com
    • iamcredentials.googleapis.com
    • logging.googleapis.com
    • monitoring.googleapis.com
    • oauth2.googleapis.com
    • pubsub.googleapis.com
    • runtimeconfig.googleapis.com
    • servicecontrol.googleapis.com
    • serviceusage.googleapis.com
    • stackdriver.googleapis.com
    • storage.googleapis.com
    • www.googleapis.com
    • googlecode.I.googleusercontent.com
    • storage.I.googleusercontent.com
    • gcr.io

    모든 Anthos 설치에 사용되는 추가 Google Cloud URL

    이러한 URL은 Anthos의 Apigee 하이브리드 설치에서 사용됩니다.

    Anthos에 대한 자세한 내용은 다음을 참조하세요.

    Kubernetes 및 Docker의 컨테이너 및 이미지

    • *.docker.io
    • *.k8s.io
    • quay.io

    Google API 및 리소스

    • console.cloud.google.com
    • packages.cloud.google.com
    • accounts.google.com
    • *.googleapis.com

    관리 워크스테이션 Linux 라이브러리 업데이트

    • ppa.launchpad.net
    • us-west1.gce.archive.ubuntu.com

    Terraform 구성요소

    • checkpoint-api.hashicorp.com
    • releases.hashicorp.com

    추가 Cloud 유틸리티

    • *.googleusercontent.com

    Except as otherwise noted, the content of this page is licensed under the Creative Commons Attribution 4.0 License, and code samples are licensed under the Apache 2.0 License. For details, see the Google Developers Site Policies. Java is a registered trademark of Oracle and/or its affiliates.

    Trusted Software 관리 이해

    표준 UNIX 시스템에서는 루트(수퍼유저)에게 모든 권한이 있으므로 모든 파일을 읽고 쓰고 모든 프로그램을 실행하며 모든 프로세스에 종료 신호를 보낼 수 있습니다. Trusted Solaris 환경에서는 루트의 시스템 보호 무시 권한이 별개의 사용 권한- 즉, 사용자에게 할당되는 인증 및 응용프로그램에게 할당되는 특권으로 분리되어 있습니다. 특권, 인증 또는 유효 UID/GID를 사용하는 응용프로그램을 트러스트 응용프로그램이라고 합니다. 다른 응용프로그램에서와 같이 트러스트 응용프로그램은 실행 프로파일이라는 번들형 체계를 통해 사용자 및 역할에 할당됩니다. 실행 모든 전략 허용 프로파일에는 응용프로그램, 인증, 특권 및 유효 UID/GID가 포함될 수 있습니다. 특정 트러스트 응용프로그램을 실행하려면 인증과 특권의 권한 조합이 필요합니다.

    그림 1-9 다음 그림은 사용자와 역할이 Trusted Solaris 환경에서 실행 프로파일을 사용하여 트러스트 응용프로그램에 액세스하는 방식을 나타내고 있습니다. 사용자는 직접 또는 역할을 모든 전략 허용 통해 프로파일에 액세스할 수 있습니다. 프로파일에는 이름이 있으며 CDE 동작, 명령, 인증, 특권 및 유효 UID/GID 등의 조합이 일부 포함되어 있습니다. 이들 개념은 다음 절에서 더 자세히 설명합니다.

    그림 1-9 Trusted Solaris에서 트러스트 응용프로그램이 할당되는 방식

    실행 프로파일 이해

    실행 프로파일은 개별 사용자나 역할에게 트러스트 응용프로그램과 기능을 할당하기 위한 기초 구실을 하는 번들형 체계입니다. 실행 프로파일은 다음과 같은 내용을 포함할 수 있습니다.

    최대 및 최소 민감도 레이블에 의해 정의된 레이블 범위

    최대 및 최소 민감도 레이블에 의해 정의된 레이블 범위

    실행 프로파일의 주 목적은 특권, 유효 UID/GID 또는 두 가지 모두를 행사하는 인증 및 응용프로그램을 확인하여 필요로 하는 사용자만이 액세스할 수 있도록 하는 데 있습니다. 프로파일 관리자라는 도구를 사용하여 프로파일을 편집합니다("프로파일 관리자 사용" 참조).

    Trusted Solaris에서 사용할 수 있는 프로파일

    Trusted Solaris는 아래 표에 수록된 실행 프로파일을 제공합니다. 이 표에는 네 가지 기본값 역할에 대한 할당도 수록됩니다.

    모든 실행 가능 항목에 액세스할 수 있지만 특권은 없습니다.

    모든 실행 항목에 액세스할 수 있지만 특권은 없습니다.

    모든 인증을 제공합니다. 시험용

    모든 명령에 액세스할 수 있지만 특권은 없습니다.

    감사 하위 시스템 관리용이지만 파일을 읽을 모든 전략 허용 수는 없습니다.

    필요한 특권을 사용하여 프론트 패널의 응용프로그램에 액세스할 수 있습니다.

    모든 역할에 필요한 기본 명령에 액세스할 수 있습니다.

    일반 사용자에게 인증을 제공합니다.

    크론 작업에 필요한 명령을 제공합니다.

    관리 역할을 위한 크론 및 작업 관리

    Customs Admin Role

    비어 있는 프로파일이며, 기본 Admin 역할에 보안 속성을 추가합니다.

    Custom Oper Role

    비어 있는 프로파일이며, 기본 Oper 역할에 보안 속성을 추가합니다.

    Custom Root Role

    비어 있는 프로파일이며, 기본 Root 역할에 보안 속성을 추가합니다.

    Custom Secadmin Role

    비어 있는 프로파일이며, 기본 Secadmin 역할에 보안 속성을 추가합니다.

    장치를 할당 및 해제하고 오류 조건을 수정합니다.

    부팅 후 관리자와 다른 사용자가 로그인할 수 있는 인증을 제공합니다.

    File System Management

    File System Security

    파일 시스템 레이블 및 기타 보안 속성 관리

    inetd 대몬에 의해 실행되는 프로그램

    우편 전송의 구성, 별명의 구성 및 우편 대기열 점검

    Maintenance and Repair

    시스템의 유지보수 또는 수리에 필요한 명령을 제공합니다.

    호스트 및 네트워크 구성 관리

    트러스트 네트워크 데이터베이스 수정을 위한 인증으로 네트워크 및 호스트 보안 관리

    보안에 관련하지 않은 NIS+ 스크립트/명령에 액세스할 수 있습니다.

    NIS+ Security Administration

    NIS+ 보안 관련 스크립트/명령에 액세스할 수 있습니다.

    Object Access Management

    파일에 대한 소유권 및 허용 변경

    Object Label Management

    파일의 레이블 변경 및 전체 시스템에 있는 레이블 설정

    Object Privilege Management

    실행 파일에 대한 특권 변경

    외부 시스템 인가 범위를 운영합니다.

    개발자들이 모든 특권을 사용하여 Bourne 쉘, Korn 쉘 및 C 쉘을 실행하게 합니다. 보안 환경용이 아닙니다.

    크론 및 작업을 포함한 현재 프로세스 관리

    응용프로그램 소프트웨어을 시스템에 추가

    사용자 생성 및 수정. (보안 조치로서) 자체적으로 수정할 수는 없습니다.

    사용자 보안 속성 생성 및 수정. (보안 조치로서) 자체적으로 수정할 수는 없습니다.

    실행 프로파일의 내용은 Trusted Solaris Administror's Procedure 의 부록 A "Profile Summary table "을 참조하십시오.

    보완 프로파일 쌍

    표 1-4를 보면 다음의 실행 프로파일 쌍들이 상호 보완적임을 알 수 있습니다. 즉, 서로가 논리적으로 관련되어 있지만 보안 목적을 위해 Trusted Solaris 환경에서는 서로 분리되어 있습니다.

    Audit Control 및 Audit Review

    Media Backup 및 Media Restore

    NIS+ Administration 및 NIS+ Security Administration

    System Management 및 System Security

    User Management 및 User Security

    실행 프로파일 재구성

    관리자의 작업 중 하나는 사용 가능한 트러스트 프로그램을 확인하여 그 프로그램의 민감도 레이블 범위, 작업을 수행하는 데 필요한 특권 및 그 프로그램이 수록된 프로파일을 파악하는 일입니다. 관리자는 이 정보를 사용하여 사용자 및 역할에게 프로파일을 할당하기 위한 전략을 수립할 수 있습니다. 기본 프로파일 및 프로파일 내용에 관한 전체 목록은 tsolprof(4)나 Trusted Solaris Administrator's Procedures 의 부록 A "Profiles"를 참조하십시오.

    역할 재구성

    사이트에서 네 개의 기본 역할을 사용하지 않는 경우, 관리자는 사용자 관리자의 프로파일 대화 상자를 사용하여 다른 역할에 프로파일을 재할당할 수 있습니다( Trusted Solaris Administrator's Procedures 의 제4장 "사용자의 실행 프로파일 지정" 참조).

    사용자가 실행 프로파일에서 응용프로그램에 액세스하는 방법

    사용자는 프론트 패널, 응용프로그램 관리자 및 파일 관리자를 통해 프로파일의 CDE 동작에 액세스할 수 있습니다. 사용자는 사용자 및 역할 각자에 대한 프로파일의 응용프로그램으로 제한하도록 수정된 프로파일 쉘이라는 Bourne 쉘 버전을 통해 프로파일의 명령에 액세스합니다. 관리자는 사용자 관리자를 통해 사용자 또는 역할에 프로파일 쉘을 할당합니다("사용자의 실행 프로파일 지정" 참조). 프로파일 쉘은 사용자 활성화를 위해, 즉 일반 사용자는 사용할 수 없는 명령, 특권 및 인증에 대한 액세스를 사용자에게 제공하기 위해 사용되거나 또는 사용자를 제한하기 위해, 즉 사용자의 특정 명령 집합에 대한 액세스를 제한하기 위해 사용됩니다. 프로파일 쉘은 관리자가 특권이나 인증을 포함한 프로파일을 가진 역할 계정 또는 사용자를 설정할 때 필요합니다.

    사용자로서 운영하거나 또는 트러스트 역할을 가정함으로써 사용자는 해당 사용자 또는 역할의 프로파일을 통해 사용할 수 있는 응용프로그램 및 보안 속성에 액세스할 수 있습니다. 두 개의 프로파일이 하나의 응용프로그램에 액세스하지만 특권 및 인증에 따라 서로 다른 기능 레벨을 통해 액세스합니다. 예를 들어, Basic 실행 프로파일에서 파일 관리자로 액세스하는 사용자에게는 별도의 특권이나 인증이 없습니다. Object Label Management 프로파일에서 파일 관리자로 액세스하는 사용자는 파일에 쓸 때 file_mac_write 특권을 행사하여 MAC 보호를 무시하거나 또는 file_dac_read 특권을 행사하여 기본 UNIX 사용 권한 없이도 파일을 읽을 수 있습니다.

    역할 이해

    역할은 사용자가 특정 응용프로그램과 실행에 필요한 인증 및 특권에 액세스하기 위해 일반적으로 사용되는 특수 사용자 계정입니다. 동일한 역할을 담당할 수 있는 모든 사용자는 동일한 역할 홈 디렉토리를 가지며, 동일한 환경에서 운영하고 동일한 파일에 액세스합니다. 사용자는 역할로 직접 로그인하는 것이 불가능하며 역할을 모든 전략 허용 담당하기 전에 자신의 사용자 계정으로 로그인해야 합니다(이 요구 사항은 감사를 위해 사용자의 실제 UID가 기록되도록 하기 위함입니다). 각각의 역할에는 프론트 패널에서 버튼을 누르면 액세스할 수 있는 각자의 작업 공간이 있습니다. 사용자는 역할을 담당하기 전에 역할 암호를 입력하여 허가를 받아야 합니다.

    관리자에게는 세 개의 사전 정의된 관리 역할 이외에도 새로운 역할을 작성해야 할 경우가 있습니다(실제로 시스템 운영자는 비관리 역할입니다). 역할을 작성하는 주요 이유는 특수 명령, 동작 및 필요한 특권을 사용할 수 있고, 일반 사용자와 구분할 필요가 있으며, 공유 홈 디렉토리, 파일 및 환경을 사용하는 명확한 작업 책임을 정의하기 위함입니다.(명령과 특권을 다른 사용자의 홈 디렉토리와 파일로부터 분리해야 하는 경우, 역할이 아닌 특수 실행 프로파일을 작성해야 합니다. "실행 프로파일 이해" 참조)

    역할에는 관리 및 비관리라는 두 가지 유형이 있습니다. 관리 역할은 보안 관련 작업에 사용됩니다. 관리 모든 전략 허용 역할은 시스템 관리 그룹 14에 할당된 특권 NIS+ 원칙들로서, 대부분의 관리 응용프로그램의 실행에 모두 필요한 트러스트 경로 속성을 포함하고 있는 프로세스를 시작할 수 있습니다. 비관리 역할은 보안에 관련하지 않는 작업과 공유 파일 및 디렉토리의 장점을 활용하는 작업에 사용됩니다. 소유권 순환 작업은 비관리 역할을 응용한 좋은 예입니다.

    인증 이해

    인증은 사용자 또는 역할이 Trusted Solaris가 금지한 작업을 수행하도록 허가하는 별도의 권한입니다. 예를 들어, 정상적인 경우 사용자는 특정 윈도우로부터 민감도 레이블이 그 특정 윈도우의 민감도 레이블에 대해 지배 관계에 있는 다른 윈도우로 정보를 붙여 넣을 수 없습니다. 업그레이드된 윈도우에 붙여넣기를 승인하면 사용자는 이러한 상황에서도 정보를 붙여 넣을 수 있습니다.

    Trusted Solaris에서는 관리자가 40번 이상의 인증을 할당할 수 있습니다. 이들 인증은 아래의 표에 수록된 범주 중 하나에 속합니다.

    로그인 활성화 - 재부팅 후 사용자가 로그인을 할 수 있습니다.

    원격 로그인 - 사용자가 Telnet이나 FTP 등의 프로그램을 사용하여 원격으로 로그인할 수 있습니다.

    파일 민감도 레이블의 업그레이드 - 사용자가 파일의 민감도 레이블을 업그레이드할 수 있습니다.

    파일 감사 플래그의 설정 - 사용자가 파일에 대해 감사 플래그를 설정할 수 있습니다.

    장치 할당 - 사용자가 장치, 장치의 민감도 레이블 및 정보 레이블을 할당할 수 있습니다.

    다운그레이드된 윈도우에 붙여넣기 - 사용자가 다운그레이드된 윈도우로 정보를 붙여 넣을 수 있습니다.

    다른 SL 작업 공간 사용 - 사용자가 응용프로그램 윈도우를 다른 민감도 레이블을 가진 작업 공간으로 이동할 수 있습니다.

    정의된 모든 레이블의 사용 - 사용자가 시스템 인가 범위에서 모든 레이블을 사용할 수 있습니다.

    끌어 놓기로 파일 내용을 우회하여 보기 - 사용자가 끌어 놓기로 파일의 내용을 볼 수 있습니다.

    응용프로그램 검색 경로 설정 - 사용자가 CDE 실행 가능 동작을 위한 응용프로그램의 읽어들이기 경로를 변경할 수 있습니다.

    사용자 ID 설정 - 사용자가 사용자 ID 정보를 설정할 수 있습니다.

    사용자 프로파일 설정 - 사용자가 실행 프로파일을 설정할 수 있습니다.

    전체 인증 목록은 auth_desc(4)의 온라인 참조 페이지를 참고하십시오. 인증은 "프로파일 관리자 사용"에 설명된 프로파일 관리자를 통해 실행 프로파일에 할당됩니다.

    특권 이해

    특권은 Trusted Solaris가 금지한 작업을 프로세스가 수행하도록 허가하는 권한입니다. 예를 들어 정상적인 경우 프로세스는 적절한 파일 사용 권한이 없으면 데이터 파일을 열 수 없습니다. Trusted Solaris 환경에서, file_dac_read 특권은 파일을 읽기 위해 UNIX 파일 사용 권한에 모든 전략 허용 우선하는 기능을 프로세스에 부여합니다.

    Trusted Solaris는 응용프로그램의 실행 파일에 할당된 특권 및 응용프로그램 프로세스나 상위 프로세스에 관련된 특권에 기초하여 프로세스가 행사할 수 있는 특권을 결정합니다. 응용프로그램이 특권을 사용하게 만들려면 관리자는 사용자가 응용프로그램을 사용하는 방법에 따라 다음 특권 중 두 개 집합 이상을 할당해야 합니다.

    허용 집합 - 응용프로그램의 실행 파일과 관련이 있습니다. 허용 특권은 다른 조건을 충족시킨다는 조건 하에서 응용프로그램과 함께 사용될 수 있는 특권입니다("프로세스는 특권을 획득하는 방법" 참조). 허용 집합은 가장 일반적인 인수로서, 프로세스의 특권 행사 여부를 결정합니다. 허용 특권 집합에서 특권을 제외한다는 것은 이 응용프로그램으로는 어떤 사용자도 이 특권을 행사할 수 없음을 의미합니다. 관리자는 파일 관리자 또는 setfpriv 명령 중 하나를 사용하여 허용 특권을 지정할 수 있습니다. getfpriv 명령을 사용하면 현재 허용 집합에 있는 특권을 볼 수 있습니다.

    강제 집합 - 응용프로그램의 실행 파일과 관련이 있습니다. 강제 특권은 응용프로그램이 액세스가 허용된 사용자에 의해 실행될 때 조건 없이 활성화되는 특권입니다. 관리자는 파일 관리자 또는 setfpriv 를 사용하여 강제 특권을 지정하며 그 방식은 허용 특권과 유사합니다. 허용 집합에 없는 경우 특권을 강제 집합에 추가할 수 없음을 유의하십시오.

    상속 집합 - 응용프로그램 프로세스와 관련이 있으며, 상위 프로세스에서 상속된 실행 프로파일 및 특권에 있어 응용프로그램에 할당되는 특권들의 조합입니다. 상속 가능한 특권은 프로세스가 시작될 때 활성화되는 특권입니다(단, 그 특권이 응용프로그램의 허용 집합에도 있는 경우). 관리자는 프로파일 관리자를 통해 프로세스의 상속 집합에 특권을 직접 할당할 수 있습니다. 또한 프로세스는 상위 프로세스로부터 상속 가능한 특권을 획득할 수 있습니다. 상위 프로세스가 exec 를 사용하여 하위 프로세스를 시작하는 경우, 하위 프로세스의 허용 집합은 상속받을 수 있는 특권을 제한합니다.

    하위 프로세스는 강제 특권을 상속하지 않습니다. 단, Trusted Solaris 환경으로 특정 기능을 가지도록 사용자가 특별히 정의한 응용프로그램은 예외입니다.

    프로세스는 특권을 획득하는 방법

    프로세스는 다음 조건을 충족하는 경우 특권을 행사할 수 있습니다.

    특권은 실행 파일(또는 스크립트 해석기)의 허용 특권 집합에 포함되어야 합니다.

    응용프로그램에 액세스하는 사용자가 이 특권을 행사해야 모든 전략 허용 할 경우 실행 파일의 강제 특권 집합에 특권이 포함되어야 합니다.

    특정 실행 프로파일을 가진 사용자나 역할만 이 특권을 행사할 경우 실행 프로파일의 상속 가능한 특권 집합 또는 응용프로그램을 시작할 수 있는 상위 프로세스의 상속 가능한 특권 집합에 특권이 포함되어야 합니다.

    Trusted Solaris에서 제공하는 기본 특권

    Trusted Solaris는 보안 정책에 우선하여 응용프로그램에 적용할 수 있는 80 가지 이상의 특권을 제공합니다. 전체 특권 목록은 priv_desc(4)온라인 참조 페이지를 참조하십시오. 각 특권들은 아래 표에 표시된 범주별로 분류됩니다.

    사용자와 그룹 ID에 대한 파일 시스템 제한, 액세스 권한, 레이블 설정, 소유권 및 파일 특권 집합을 무시합니다.

    file_dac_chown - 프로세스가 파일의 소유권 사용자를 변경합니다.

    시스템 V 프로세스 상호 통신(IPC) 보안

    메시지 대기열, 신호 장치 집합 또는 공유 메모리 영역에 대한 제한을 무시합니다.

    ipc_dac_read - 사용 권한 비트나 ACL로 인해 허용을 읽지 못하는 경우, 프로세스가 System V IPC 메시지 대기열, 신호 장치 집합 또는 공유 메모리 역역을 읽을 수 있습니다.

    예약된 포트 바인딩이나 다중 레벨 포트 바인딩, 브로드캐스트 메시지 전송 또는 보안 속성(레이블, 메시지의 특권 또는 네트워크 종단점 기본값 등의) 지정에 대한 제한을 무시합니다.

    net_broadcast - 프로세스가 지정된 네트워크에서 브로드캐스트 패킷을 전송합니다.

    감사, 레이블 설정, 위장 채널 지연, 소유권, 클리어런스, 사용자 ID 또는 그룹 ID에 대한 제한을 무시합니다.

    proc_mac_read - 프로세스의 민감도 레이블을 읽는 것이 다른 프로세스의 민감도 레이블에 의해 지배되는 경우 프로세스가 다른 프로세스를 읽습니다.

    감사, 워크스테이션 부팅, 워크스테이션 구성 관리, 콘솔 출력 방향 재조정, 장치 관리, 파일 시스템, 디렉토리에 하드 링크 생성, 메시지 대기열 크기 증가, 프로세스 수 증가, 워크스테이션 네트워크 구성, 제삼자의 읽어들일 수 있는 모듈 또는 레이블 변환 등에 대한 제한을 무시합니다.

    sys_boot - 프로세스가 Trusted Solaris 워크스테이션을 정지 또는 재부팅합니다.

    색상 맵, 윈도우에 읽기와 쓰기, 입력 장치, 레이블 설정, 글꼴 경로, 윈도우 이동, X 서버 자원 관리 또는 DGA(직접 그래픽 액세스) X 프로토콜 확장 등에 대한 제한을 무시합니다.

    win_selection - 선택 중재자의 개입 없이 프로세스가 윈도우 사이의 데이터 이동을 요청할 수 있습니다.

    허용 특권 및 강제 특권 할당

    관리자는 파일 관리자를 통해 실행 파일에 허용 특권 및 강제 특권을 할당합니다. 대개의 경우, 관리자는 허용 집합에 모든 특권을 포함시키고 있습니다. 이 응용프로그램에 행사할 수 없는 특권이 있는 경우 그러한 특권을 허용 집합에서 제외하십시오. 일반적으로 관리자는 해당 응용프로그램에 필수적일 때만 강제 특권을 사용합니다. 허용되었지만 강제되지 않는 특권은 프로세스의 상속 집합에 동일한 특권이 있는 경우에만 사용할 수 있습니다.

    파일 관리자(File Manager) 팝업 메뉴의 특권 변경(Change Privileges)을 선택하면 해당 응용프로그램 아이콘에 대한 파일 관리자 특권(File Manager Privileges) 대화 상자가 나타납니다(다음 그림 참조). 특권 대화 상자는 실행 파일의 경로, 소유자, 그룹 및 파일 유형(실행 파일 또는 스크립트)을 식별하고 관리자가 특권 집합의 유형(허용 특권 또는 강제 특권)을 선택하게 하며, 제외(Excluded) 집합으로 특권을 이동하고, 그 집합으로부터 특권을 이동하기 위해 사용되는 두 개의 목록 필드를 제공합니다. 설명(Description) 필드는 선택한 특권을 설명합니다. 관리자는 세 개의 선택 제어를 사용하여 전체 특권 그룹을 지정할 수 있습니다.

    그림 1-10 파일에 특권 할당

    상속 가능한 특권 할당

    관리자는 프로파일 관리자를 사용하여 상속 가능한 특권을 실행 프로파일 내의 CDE 동작 및 명령에 할당합니다. 프로파일에 있는 응용프로그램의 상속 집합 특권은, 그 특권이 해당 실행 파일에 대한 허용 집합에서 허용된 경우에만 사용할 수 있습니다. 응용프로그램 프로세스는 다른 상속 가능한 특권과 함께 이 특권을, 응용프로그램이 분기하는 하위 프로세스에 상속할 수 있습니다.

    다른 상속 가능한 특권 집합을 가진 다른 프로파일에 의해 동일한 응용프로그램이 포함될 수 있습니다.

    특권 가용성의 예제

    다음 표는 프로세스에 특권을 사용하는 방법을 나타냅니다. 이 표는 가정 응용프로그램에 대한 허용 모든 전략 허용 특권 집합(A = 허용함, N = 허용하지 않음), 강제 특권 집합(F 표시) 및 상속 가능한 특권 집합(I 표시)을 나타냅니다.

    중국 정부가 미국 은행들에 중국본토에서 투자은행 사업을 허용하는 방안을 검토하고 있다고 월스트릿저널이 7일 복수의 소식통을 인용해 보도했다.

    이는 발붙이기 어려웠던 중국시장에 더욱 접근할 수 있는 중요한 조치로 미국과 중국의 무역투자 협정의 일부로 논의되고 있다고 이 신문은 전했다.

    중국 정부가 미국의 투자은행을 전면 허용하면 골드만삭스나 JP모건같은 회사들은 중국에서 독자적으로 기업의 상장을 주관하는 등 투자은행 사업을 할 수 있게 된다. 현재는 외국 금융회사들이 중국 내에서 현지 파트너와 조인트벤처를 세워소수지분을 가지게 돼 있으므로 이익을 나눠야 하고 사업에도 제약이있다.

    중국의 외국 투자은행 사업 허용은 미국에만 한정되는 것은 아니고 궁극적으로 모든 외국 은행까지 확대될 것이라고 소식통은 전했다.

    월스트릿 은행들은 20년 넘게 중국의 투자은행 시장 진입을 원해 왔다. 중국 은행들은 이 기간 자국 내투자은행 사업에서 지배력을 굳혔다.

    글로벌 은행들은 7조4,800억달러 규모의 상하이와 선전의 주식시장과 본토의 채권시장에 제한된 접근을하고 있다.

    컨설팅회사 맥킨지 추산에 따르면 외국 투자은행들은 중국 내 투자은행, 거래, 다른 증권 사업의 시장 점유율이 5%에 못 미친다.

    이 같은 문제는 우선 중국 라이벌들이 부상해 매출 순위를 지배하기 때문이다. 당국의 규제 또한 외국 은행들에는 어려움이다. 게다가 외국투자은행들이 자체적으로 사업할 수없는 한계 역시 사업 확대에 걸림돌이다. 조인트벤처 구조에서는 영업과자금 이동, 전략 수립 등을 제대로할 수 없다는 것이 외국 은행들의 불평이다.


0 개 댓글

답장을 남겨주세요