특권 파일 데이터베이스입니다.
기존 UNIX 시스템의 많은 시스템 구성 파일은 루트 사용자에 의해 소유되고, 다른 사용자는 이를 직접 변경할 수 없습니다. RBAC는 역할을 활성화하고 명령을 실행하여 파일을 수정하는 데 필요한 특권을 확보함으로써 사용자가 이러한 시스템 구성 파일을 수정하도록 허용합니다.
파일을 수정할 수 있는 명령 인터페이스가 없는 AIX® 구성 파일이 일부 있습니다. 이러한 경우 적절한 권한이 있는 시스템 관리자가 액세스 권한이 없는 파일을 직접 편집하고 저장할 수 있는 도구가 있어야 합니다.
특권 파일 데이터베이스는 권한을 사용하여 시스템 구성 파일에 대한 액세스를 결정하는 메소드를 제공합니다. 데이터베이스를 로컬에 저장하는 경우
/etc/security/privfiles 파일에 포함됩니다. 이 데이터베이스는 해당 파일을 보거나 수정하는 데 필요한 권한에 구성 파일을 맵핑합니다. 구성 파일에 대한 액세스는 다음 속성을 사용하여 이 데이터베이스에서 제어됩니다.
- readauths
- 파일에서 읽기가 허용된 권한 리스트입니다.
- writeauths
- 파일에 쓰기가 허용된 권한 리스트입니다(이 경우 읽기 권한이 내재됨).
lssecattr 명령을 사용하여 특권 파일 데이터베이스의 항목을 나열하고
setsecattr 명령을 사용하여 특권 파일 데이터베이스의 항목을 작성하거나 수정할 수 있습니다. 특권 파일 데이터베이스에 정의된 파일은
/usr/bin/pvi 명령을 사용하여 권한 부여된 사용자에 의해 액세스될 수 있습니다. pvi 명령은
/usr/bin/tvi 명령을 기반으로 한 특권이 있고 제한된 버전의 vi 편집기입니다. pvi 명령은
tvi 명령과 동일한 보안 예방 조치를 취하고(예를 들어
–r 또는 -t 플래그 없음, 쉘 이스케이프 없음, 사용자 정의 매크로 없음) 다음 제한사항도 강제합니다.
- 시스템이 확장된 RBAC 모드여야 합니다.
- 특권 파일 데이터베이스에 정의된 파일만 열 수 있습니다.
- 한 번에 한 파일만 열 수 있습니다.
- 다른 파일 이름에 쓰면 명령행에 지정된 파일 이름을 사용할 수 없습니다.
- /etc/security/privfiles 파일은 pvi 명령을 사용하여 편집할 수 없습니다.
- 링크를 열려는 시도가 실패합니다. 일반 파일만 편집할 수 있습니다.
파일을 열기 전에 권한 검사가 수행됩니다. 권한이 일치하면 PV_DAC_R 또는 PV_DAC_W를 포함하도록 프로세스의 특권 세트를 올립니다(읽기 또는 쓰기를 위해 파일이 열리는지 여부에 따라). 권한이 일치하지 않으면 오류 메시지가 표시되고 pvi 명령을 사용하여 사용자가 파일에 액세스하지 못하도록 거부됩니다.