프로세스 번호

- UNIX 시스템에서는 프로세스에 다섯 가지 번호 부여


1. 프로세스에 부여되는 번호들

1) 프로세스 식별자(PID)

2) 실제 사용자 ID(RUID)

3) 유효 사용자 ID(EUID)

4) 실제 사용자 그룹(RGID)

5) 유효 사용자 그룹 ID(EGID)


2. 사용 용도

- 계정 관리에 사용: RUID, RGID

- 접근 권한 결정에 사용: EUID, EGID (보안에 주의)

- 일반적으로 실제 번호와 유효 번호는 동일함


시스템에서 사용자가 명령 실행 시 명령어를 찾는 경로와 절차



접근 권한

- 권한 관리 명령 chmod, umask, 소유주 변경 명령 chown, chgrp (이전 글 참조)

- 접근 권한은 8진수 또는 r(읽기권한, 4), w(쓰기권한, 2), x(실행권한, 1) 문자로 표현 가능

- 8진수로 표현할 때는 권한의 합으로 표시함(예- 읽기+쓰기권한 6, 읽기+실행 권한 5 등)

- 8진수 3자리(3bit)로 소유자, 그룹 소유자, 기타 사용자를 위한 파일 모드를 설정


1. 접근 권한 설정 예제 

- 접근 권한을 755로 표현하는 것과 0755로 표현하는 것은 동일한 표현, 네 자리가 되지 않는 표현은 앞에 0이 생략됨


특수권한

1. 특수권한

- UNIX 시스템은 파일에 대한 접근 권한 및 파일 종류를 나타내기 위해 16bit를 사용한다. 

- 각 3bit씩 총 9bit는 소유자 접근권한(user), 그룹 소유자 접근권한(group), 기타 사용자 접근권한(other)의 권한을 기술하는데 사용

- 4bit는 파일의 종류 표현에 사용

- 3bit는 특수권한에 사용


2. 각 비트에 대한 설명

파일종류

 특수권한

 소유자 접근권한

 그룹 소유자 접근권한

 기타 사용자 접근 권한

 -,d,c,b,s,l,p

 4

2

 1

 4

 2

 1

 4

 2

 1

 4

 2

 1

 setuid

 setgid

 sticky bit

 r

 x

 w

 x

 r


setuid 비트

- setuid 비트: 8진수 4000

- setuid 비트를 실행 파일에 적용하면 실 사용자(프로그램을 실제 실행 중인 사용자)에서 프로그램 소유자의 ID로 유효사용자(EUID)가 변경됨


1. setuid 비트를 설정하여 사용하는 경우

- 슈퍼유저 root만 접근할 수 있는 파일이나 명령에 대해, 일반 사용자로 접근하는 것이 기능상 필요한 경우

(setuid 비트가 설정된 파일은 실행순간만 그 파일의 소유자 권한으로 실행, 

실행 순간만 권한을 빌려온다라고 이해하면 쉬움)

- 매번 슈퍼유저 root가 어떤 행위를 해주지 않아도 되고, 일반 사용자에게 root권한을 주지 않아도 되기때문에 setuid 비트를 적용하는 것이 시스템 운영면에서 효율적

- 대부분 슈퍼유저가 소유한 소수 프로그램들에만 주어짐, 일반 사용자가 그 프로그램을 실행하면 setuid root가 되고, 

슈퍼유저의 유효한 특권들을 가지고 실행되기때문에 일반 사용자의 접근이 금지된 파일과 디렉토리들에 접근 가능하게끔 

해줌


2. setuid 비트 설정 시 보안 취약점

- root권한이 필요없는 프로그램에 소유주가 root로 되어 있고 setuid가 설정된 경우는 보안상으로 매우 취약

- 일반 사용자로 접근하는 경우도 setuid 설정으로 실행 가능해지기 때문이다.

- 권한 상승 우려때문에 setuid 프로그램의 수는 반드시 최소화해야 함


3. setuid 비트 설정 방법

- 8진수(4000)나 기호(u+s)를 이용하여 setuid 비트를 설정할 수 있음(setuid 비트 설정 제거 u-s)

- 권한 변경을 위해 chmod 명령어를 이용함

- setuid 비트가 설정되어 있으면 사용자 접근권한의 실행 권한 자리에 실행 권한이 있으면 소문자 s로 실행권한이 없으면 대문자 S로 표시됨


4. setuid 비트 설정의 활용

1) 패스워드 설정, 변경시 사용

- 패스워드 지정, 변경에 사용하는 /usr/bin/passwd 명령의 경우 setuid 비트가 설정 되어 있음(접근권한: 4755)

- passwd 명령어(파일)로 패스워드 지정, 변경 시 /etc/passwd, /etc/shadow파일이 변경됨

- /etc/passwd의 접근권한: 0644 (슈퍼유저 root만 수정 가능)

- /etc/shadow의 접근권한: 0640 (슈퍼유저 root만 수정 가능)

- passwd 명령어(파일)은 setuid 비트가 설정되어 있으므로 실행 시 소유자인 root의 권한으로 실행됨

- 일반 사용자 계정에서 passwd 명령어 실행 시에 소유자 root 권한으로 실행되기댸문에 슈퍼유저 root만 수정가능한 /etc/passwd, /etc/shadow 파일의 수정이 가능해 짐



2) 일반 사용자가 읽을 수 없는 파일 읽기

- 설명을 위해 예제를 만든 것이기 때문에 조금 억지스러운 부분이 있을 수 있음

- /bin/cat 파일에 직접 setuid비트를 설정하지 않고 심볼릭 링크를 만들어 심볼릭링크 파일에 setuid 비트 설정,

해제 시에도 심볼릭링크 파일에 해제


setgid 비트

- setgid 비트: 8진수 2000

- setuid 비트처럼 유효 그룹 ID(EGID)를 사용자의 실제 그룹 ID에서 파일 소유자의 그룹 ID로 변경함

- setgid 비트가 디렉토리에 설정되어 있으면, 이 디렉토리에 새로 설정된 파일들은 디렉토리 그룹 소유권 보다 파일 생성자의 그룹 소유권을 얻게 될 것


- 일반 파일 그룹의 멤버가 파일 소유자의 그룹과 상관없이 디렉토리 내의 모든 파일에 접근이 필요한 공유 디렉토리에 유용


1. setgid 비트 설정방법

- 8진수(2xxx)나 기호(g+s)를 이용하여 setuid 비트를 설정할 수 있음(setgid 비트 설정 제거 g-s)

- 권한 변경을 위해 chmod 명령어를 이용함

- setgid 비트가 설정되어 있으면 그룹 소유자 접근 권한의 실행 권한 자리에 실행 권한이 있으면 소문자 s로 실행권한이 없으면 대문자 S로 표시됨


2. setgid 비트 설정의 활용

1) 사용자 계정 생성시 mail spool 파일 생성

- 사용자 계정 생성시 옵션에 따라 /var/mail 디렉토리 하위에 생성하는 사용자 계정명과 동일명으로 mail spool 파일 생성

- /var/mail 디렉토리에 setgid 비트가 설정되어 있음, 하위에 생성되는 mail spool 파일의 그룹 소유주가 mail이 됨


sticky 비트

- sticky 비트: 8진수 1000

- 리눅스는 파일의 sticky bit는 무시

- sticky 비트는 특정 디렉토리를 누구나 자유롭세 사용 할 수 있게 하기 위함 (공용 디렉토리에 사용)

- 단, sticky 비트가 디렉토리에 적용되면 디렉토리 소유자나 파일 소유자 또는 슈퍼유저가 아닌 사용자들은 파일을 삭제하거나 이름을 변경하지 못하도록 막음, 파일 또는 디렉토리 생성은 누구나 할 수 있음

- sticky 비트를 공유모드라고도 함


1. sticky 비트 설정방법 및 활용

- 8진수(1xxx)나 기호(o+t 또는 u+t)를 이용하여 sticky 비트를 설정할 수 있음(sticky 비트 설정 제거 o-t 또는 u-t)

- 리눅스의 경우 o+t, 유닉스(솔라리스)의 경우는 u+t로 설정

- 권한 변경을 위해 chmod 명령어를 이용함

- sticky 비트가 설정되어 있으면 기타 사용자 접근 권한의 실행 권한 자리에 실행 권한이 있으면 소문자 t로 실행권한이 없으면 대문자 T로 표시됨


- /tmp 디렉토리 처럼 공용 디렉토리 접근에 활용


특수권한 파일 검색

- 특수권한 비트가 설정되어 있을떄 접근권한을 이용한 find 명령으로 파일을 검색을 할 수 있음

- 파일 검색 find 명령에 대한 참조(이전 글 참조)


1. 특수권한 비트 설정 파일검색 시 명령문 형식

- find [파일을 검색할 디렉토리 경로] -perm [접근권한] [-ls]

1) 파일을 검색할 디렉토리 경로는 생략 가능

- 절대경로로 지정하면 결과도 절대경로로 출력, 상대경로로 지정시 결과도 상대경로로 출력

- 생략 시 현재 디렉토리가 기준

2) -ls는 생략가능

-ls 시 검색 결과를 대상으로 ls 명령을 수행한 결과로 보여줌


2. 특수권한 비트 설정 파일검색 예제

  1. 이민원 2015.08.12 17:37

    안녕하세요. 글 잘 봤습니다.
    한 가지 궁금한게 있어서요.

    /usr/bin/su 파일에 other 권한을 0(Octal)로 주면 아무리 setuid 설정되어있어도 권한이 없다고 나옵니다. 위에 글을 보면 setuid가 마치 권한이 '없는'사용자가 setuid나 setgid가 설정되어있는경우 그 권한이 effective권한이 되어 실행된단느 내용으로 보여집니다.

    하지만 그럴경우 두가지 의문점이 생깁니다.

    1. 권한이 없는 사용자가 suid/guid로 실행이 된다고 했는데, owner:group아닌 other 사용자가 suid/guid가 설정되어있는 파일을 실행하고자 할때 실행이 안되는 이유는 먼가요?

    2. owner도 group에도 포함되어있지 않은 other 사용자가 suid/guid가 동시에 설정되어있는 경우 suid,guid중 어느 것으로 실행이 되는건가요?

    답변 부탁드립니다 ㅜㅜ 감사합니다.

    • eunguru 2015.08.13 00:27 신고

      네. 안녕하세요^^
      부족한 글에 질문 주신 것을 살펴보았습니다만..
      질문에 대한 답변을 드리려면..
      질문의 상황에서 사용한 명령, 파일의 접근 권한을 어떻게 설정하셨는지
      파일 접근 권한을 기호나 8진수로 기입해서 적어 주셔야
      정확한 답변을 드릴 수 있을 것 같습니다.

      지금 질문에서 답변을 드리기에는 애매한 부분이 있는 것 같습니다..
      추가로 요청 드리는 이유는..
      예제를 보통 인위적인 상황을 만들어서 실습해보기 때문에
      올바르게 접근 권한을 설정해도 안되는 건지 아니면 실습 상황을 만들면서 잘못 적용한 부분이 있는지를 확인하기 위함입니다.
      물론 저도 혼자 공부하고 이해하고 정리한 내용은 답변을 드릴 실력은 안되지만;;
      구체적으로 댓글 남겨주시면 제가 아는한 답변 드리도록 하겠습니다.

  2. Q 2015.09.19 14:24

    안녕하세요~ 궁금한 점이 있는데
    특정 디렉토리 속성을 selinux에서 웹서버가 접근을 허용하도록 설정하려면 어떻게 해야하나요?

    • eunguru 2015.09.20 01:14 신고

      이건 제가 정확한 답을 드릴 수 없을 것 같아서 답변 드리지 않겠습니다.
      제 답변이 가이드에 맞는 답변인지 증명이 안되서요.
      추측성 답변을 드릴수는 없으니까요.
      다른 사이트를 검색해보시는게 좋을 것 같네요.

  3. 라디아 2016.03.30 21:01

    와 정말 잘 설명해주셨네요. 덕분에 고민해결 ㅠㅠ 감사합니다.

  4. 김병태 2017.02.10 11:15

    안녕하세요,
    Sticky-bit 제거 하려고 구글링하다가 들어왔는데... 수정할 내용이 있네요ㅡ

    특수권환은 3bit라고 적으두시고, 표현을 4bit로 표현되어 있습니다.
    잘아시겠지만,

    파일 종류 및 접근 권환을 나타내기 위해 총 16 bit로 표현합니다.
    파일종류: 4bit로 표현 + 특수권환: 3bit로 표현 + 유저: 3bit로 표현 + 그룹: 3bit로 표현 + other: 3bit로 표현

    추가 내용:
    혹시나, 8진수의 표현 범위는 000에서 111까지 입니다.

    자료 잘 봤습니다ㅡ

  5. 김병태 2017.02.10 11:36

    다시 한 번 보니,
    제가 오해 한 것 같네요ㅡ

    stick-bit: 8진수(1000)이렇게 적은 것을 보고, 작성 한 글인데....
    이표현을 천천히 다시 보니

    1이 stik-bit의 8진수 표현 즉, 001이고 뒤에 000은 유저/그룹/아더 에 대한 각 000,000,000 이군요ㅡ
    초보자 분들이 보기 좋은 자료 같은데... 좀 헷갈릴수 있겠구나 싶네요.

    그럼 좋은 하루 되세요ㅡ

  6. 좋아요! 2017.02.13 21:24

    설명 너무 잘해주셔서 감사합니다!

  7. 좋아요! 2017.02.13 21:24

    설명 너무 잘해주셔서 감사합니다!

  8. 2017.03.17 23:37

    비밀댓글입니다

    • eunguru 2017.03.20 22:01 신고

      아이고~~ 부족한 글에 도움을 받고 계시다니 고맙습니다^^ 네 저는 맥북을 사용하는데요.패러럴즈로 칼리리눅스 설치해서 맥북 터미널에서 ssh로 연결해서 실습을 합니다. 제 환경이 이런거구요. 그냥 리눅스 터미널 툴을 캡쳐해서 이미지 편집툴에다가 하나하나 그리고 쓰고 한다고 생각하시면 될것 같아요. 공부하다가 개념에 맞는 예제 같은걸 만들어서 정리해놓으면 까먹어도 나중에 보기 좋아서 저렇게 했었습니다. 요새는 통 생산하는것이 없지만요...답변이 되셨을지 모르겠네요~~

  9. 이상용 2018.02.01 09:01

    사족남깁니다. 좋은 글이네요..
    제일 처음 부분 "시스템에서 사용자가 명령 실행 시 명령어를 찾는 경로와 절차"
    부분에 "현재 디렉토리 확인" 부분이 있는데, 현재 디렉토리는 반드시 확인하는 게
    아닙니다. $PATH에 잡혀 있어야 확인하고 그것도 제일 처음에 있어야 확인을 하죠..

    현재 디렉토리가 $PATH에 잡혀 있지 않으면 현재 디렉토리에서 무엇을
    실행시키려면 명시적으로 ./ 를 명령어 이름 앞에 붙여야
    합니다.

    다음을 보시길...

    sylee@sylee-ubuntu:~$ ls -l test.sh
    -rwxrwxr-x 1 sylee sylee 39 2월 1 08:59 test.sh*
    sylee@sylee-ubuntu:~$ ./test.sh
    this is the test...
    sylee@sylee-ubuntu:~$ test.sh
    test.sh: 명령을 찾을 수 없습니다
    sylee@sylee-ubuntu:~$ echo $PATH
    /home/sylee/bin:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games
    sylee@sylee-ubuntu:~$

  10. 2019.02.21 23:55

    비밀댓글입니다

1···555657585960616263···182