위키원
"접근권한"의 두 판 사이의 차이
| 103번째 줄: | 103번째 줄: | ||
==같이보기== | ==같이보기== | ||
| + | * [[시스템 관리자]] | ||
| + | * [[ACL]] | ||
| + | * [[DACL]] | ||
| + | * [[리소스]] | ||
| + | * [[SACL]] | ||
2021년 8월 12일 (목) 16:37 판
목차
접근 권한
접근 권한이란 판독(read), 기록(write), 실행(execution) 등 디렉토리나 파일에 대해 사용자가 접근 및 수행할 수 있는 작업 권한. 불법 접근이나 오동작으로부터 시스템을 보호하거나 사용자의 파일을 보호하기 위해 각 파일에 대해 판독, 기록, 실행 등의 권한이 사용자, 또는 그룹마다 정해져 있는 것이다.[1]
개요
파일의 보안을 위해 접근 범위를 말하는 것이다.
운영체재
각 운영채제마다. 접근 권한종류는 각자 다 다르다 다음은 각 운영채제(리눅스(Linux), 유닉스(Unix), 윈도우(Windows), 맥 OS(Mac OS))의 접근 방법이다.
리눅스
리눅스는 접근 권한을 부여하기 위해 사용자를 파일의 소유자, 파일이 속한 그룹, 그 외 기타 사용자의 세 카테고리로 구분하여 적용한다.사용자가 파일을 생성하면 그 파일의 소유자가 되는데, 일반적으로 사용자가 속한 기본 그룹이 파일과 관련된 그룹이 되고 만약 상위 디렉터리에 특수한 권한이 부여되어 있으면 다른 그룹으로 지정될 수도 있는 것이다. 파일의 소속 그룹은 시스템 관리자가 명령을 이용하여 강제로 변경할 수도 있다. 그리고 소유자도 아니고 그룹에 속한 사용자도 아닌 나머지 사용자는 모두 기타 사용자가 된다.카테고리별로 접근 권한을 다르게 부여하여 파일을 보호할 수 있는 것이다.[2]
종류
리눅스에서 접근 권한은 읽기 권한, 쓰기 권한, 실행 권한 등 세 가지로 이뤄져 있다. 읽기 권한은 파일을 변경할 수는 없지만 내용은 볼 수 있는 권한이므로, 파일 내용을 공개하면 안 될 경우 읽기 권한도 줘서는 안되는 것이며, 쓰기 권한은 파일의 내용을 보는 것 뿐만이 아니라 수정이나 삭제도 가능한 권한이어서 이 권한을 다른 사용자에게 부여한다는 것은 파일을 마음대로 수정해도 된다는 의미이므로 신중하게 결정해야 하는 것이다.
- 읽기 : 파일을 읽거나 복사가 가능하고, ls 명령으로 디렉터리 목록을 볼 수 있이다(단 ls명령어 옵션은 실행 권한이 있어야 한다.)
- 쓰기 : 파일을 수정, 이동, 삭제할 수 있으며(단 ,디랙터리에 쓰기 권한이 있어야 가능하다.),파일을 생성과 삭제가 가능한 것이다.
- 실행 : 파일을 실행할 수 있고 cd 명령을 사용할 수 있고 파일을 디렉터리로 이동하거나 복사할 수 있는 기능이다.[2]
표기 방법
접근 권한의 표기는 사용자 카테고리별로 누가 파일을 읽고 쓰고 실행할 수 있는지를 문자로 나타낸 것이다. 읽기 권한은 r, 쓰기 권한은 w, 실행 권한은 x로 표기하며, 해당 권한이 없는 경우에는 -로 표기하며, 사용자 카테고리별로 세 가지 권한의 부여 여부를 rwx와 같이 세 문자를 묶어서 표기 즉 사용자 카테고리가 세 개이고 권한도 세 개이므로 총 아홉 개의 문자로 나타내는 것이다.
- 예시, rw- : 소유자, r-- : 그룹, r-- : 기타 사용자
위의 예시 중 맨 앞의 -는 파일의 종류를 나타내는 부분으로 접근 권한과는 관계가 없고 실제 접근 권한은 -를 제외한 rw-r--r--이며 이것은 사용자 카테고리별로 세 문자씩 한 세트로 표기한 것이며, 소유자의 권한은 rw- 이고, 그룹의 권한은 중간의 r--이며, 기타 사용자의 권한은 마지막의 r--이다.
- 각 카테고리 별로 접근 권한은 읽기(r)-쓰기(w)-실행(x)의 순서로 표기하고 해당 권한이 없을 경우 -로 표기 즉 그러므로 위에서 제시된 예는 소유자가 읽기와 쓰기 권한을 가지고 있고 그룹과 기타 사용자는 읽기 권한만 가지고 있다는 것만 나오는 것이다.[2]
변경 명령
파일의 소유자나 시스템 관리자는 접근 권한을 바꿀 수 있으며, 일반 사용자는 소유자 자신의 접근 권한뿐 아니라 그룹과 기타 사용자의 권한도 변경할 수 있지만 다른 사용자가 소유한 파일의 접근 권한은 손댈 수는 없는 것이며, 접근권한을 바꿀때 사용하는 명령어 : chmod이다.
- chmod(change mod) 기능 : 파일이나 디렉터리의 접근 권한을 변경하는 것이다.
- 형식 : chmod [옵션] 권한 모드 파일 또는 디렉터리명
- 옵션 -R : 하위 디렉터리까지 모두 변경할 수 있는 것이다.
- 기호모드 : 문자와 기호를 사용하여 권한을 표시하는 것이다.
- 숫자모드 : 숫자를 사용하여 변경하는 것이다.[2]
유닉스
유닉스는 접근 권한을 부여하기 위해 사용자를 세 카테고리로 구분해 적용하며, 세 카테고리는 파일의 소유자와 파일이 속한 그룹, 그 외의 기타 사용자로 구분하는 것이다.[3]
- 파일종류 : [소유자][그룹][기타 사용자]
- 소유자 : 파일을 생성한 사용자가 일반적으로 파일의 소유자가 된다. 파일의 소유자나 시스템 관리자가 명령을 이용하여 소유자를 변경할 수도 있는 것이다.
- 그룹 : 파일과 동일한 그룹에 속한 사용자들이 이 카테고리에 속한다. 일반적으로 파일이 속한 그룹은 보통, 파일을 생성한 사용자의 기본 그룹으로 지정되나 상위 디렉토리에 특수한 권한이 부여되어 있으면, 다른 그룹으로 지정된다. 파일 소속 그룹은 root가 명령을 이용해 강제로 변경할 수도 있는 것이다.
- 기타 사용자 : 소유자나 그룹 카테고리에 속하지 않은 사용자는 모두 이 카테고리이다.[3]
종류
- 파일. 읽기 : 파일을 읽거나 복사할 수 있는 것이다.
- 쓰기 : 파일을 수정, 이동, 삭제할 수 있는 것이다. (디렉토리에 쓰기 권한이 있어야 한다)
- 실행 : 파일을 실행할 수 있는 것이다.(쉘 스크립트나 실행 파일의 경우)
- 디렉토리. 읽기 : ls명령으로 디렉토리 목록을 볼 수 있는 것이다.(ls 명령의 옵션은 실행 권한이 있어야 사용할 수 있다)
- 쓰기 : 파일을 생성하거나 삭제할 수 있는 것이다.
- 실행 : cd 명령의 사용이 가능하다 파일을 디렉토리로 이동하거나 복사할 수 없는 것이다.
표기 방법
- r : 읽기 권한
- w : 쓰기 권한
- x : 실행 권한
- rwxr-xr-x : 소유자는 읽기,쓰기,실행 권한을 모두 갖고, 그룹과 기타 사용자는 읽기와 실행 권한만 가지는 것이다.
- r-xr-xr-x : 소유자, 그룹, 기타 사용자 모두 읽기와 실행 권한만 가지는 것이다.
- rw------ : 소유자만 읽기, 쓰기 권한을 갖고, 그룹과 기타 사용자는 아무 권한도 없는 것이다.
- rw-rw-rw- : 소유자와 그룹, 기타 사용자 모두 읽기와 쓰기 권한을 갖고 있는 것이다.
- rwxrwxrwx : 소유자, 그룹, 기타 사용자 모두 읽기, 쓰기, 실행 권한을 갖고 있는 것이다.
- rwx------ : 소유자만 읽기, 쓰기, 실행 권한을 갖고, 그룹과 기타 사용자는 아무 권한도 없는 것이다.[3]
윈도우
윈도우(WINDOWS)는 자원에 대한 접근 권한을 부여 하는 여러가지 방법이 있는데 자원에 대한 접근 권한이란 말 그대로 특정 폴더/파일에 접근을 금지하거나 혹은 수정/삭제 금지 등등과 같은 개념을 뜻하는 거고 자세히 설명하자면 컴퓨터, 사용자, 그룹 중 인증에 사용되거나 자원에 대한 접근을 부여 할 수있는 것들을 보안 주체라 한다 각각의 보안 주체는 WINDOWS 내부에서 SID라는 값으로 구분하고 있으며 이 보안 주체들에게 접근을 허가 거부하기 위해 사용되는 일련의 규칙을 접근 권한이라 한다. 무엇을 보고 이러한 접근을 허가하거나 거부하는 것은 ACL이라는 것을 기준으로 허가/거부 한다. ACL은 크게 두 가지로 나누며 보안 주체의 리소스 접근 제어 규칙이 있는 DACL과 리소스와 연결된 감사메시지를 제어하는 SACL이 있다.[4]
방법
접근권한을 부여하는 방법에는 2가지인데 공유 폴더, NTFS이다
- 첫번 째 공유 폴더 : 자원을 공유하기 위해 네트워크 상에서 접근을 허용해놓은 폴더를 뜻하는 것으로 순서는 다음과 같은 순서로 진행된다.
- 실행-fsmgmt.msc 입력
- 공유tab에 가면 현재 사용하는 공유폴더 항목을 볼 수 있는 것이다.(참고 : C$, ADMIN$, IPC$ 등등의 폴더들을 볼 수 있을 것이다.이 해당 폴더들은 그냥 윈도우 자체에서 관리 목적으로 생성한 공유폴더 보면 되고($ : 숨김 공유 폴더), C$ -> C : 드라이브 관리 공유 폴더, 도메인(ADMIN)$ -> 윈도우 설치 관련 공유폴더, IPC $-> 서버 간의 이벤트 로그와 같은 특정 통신에 관한 공유 폴더 등등 각각 폴더에 대한 역할이 있다.(과정 같은 자세한 것은 링크 참조))[4]
- 공유 폴더 권한 의미 : 읽기(Read) -> 폴더 내 특정 파일을 조회하거나 실행
- 교체(change)-> 폴더 내 특정 파일을 변경/삭제/추가
- 전체적인 통제(Full control) -> Read+Change 권한에다가 해당 파일의 보안 설정
두번째 접근 권한 부여 방법은 NTFS이다. NTFS는 윈도우에서 제공하는 파일 시스템(파일을 관리하는 방법)중 하나이다. 이 NTFS는 강력한 보안 기능을 제공한다. 크게 기본 권한과 특수권한이다.
- 기본권한은 특정 폴더를 우클릭-속성 들어가기
- 보안 탭에서 확인하기
- 기본권한의 종류 : 모든 권한, 수정, 읽기 및 실행, 폴더 내용 보기(폴더만 존재), 읽기, 쓰기이다.
- 특수권한 순서
- 고급 설정
- 특정 개체를 선택 후 편집
- 고급 권한 표시클릭
- 여러가지 권한확인하는 것이다.(다른 자세한 사항은 링크를 참조한다.)[4]
맥 OS
맥 OS의 접근 권한의 대표적인 접근 권한은 전체 디스크 접근 권한(Full Disk Access)이다.[5]
전체 디스크
전체 디스크 접근 권한(Full Disk Access)은 맥OS모하비(macOS Mojave)에서 나온 새로운 보안 기능이며, 사용자들의 파일들을 보호하기 위해서 애플리케이션이 임의로 사용자 동의 없이 사용자의 파일에 접근하지 못하도록 제한하고 있으며 파일에 접근해기 위해서는 전체 디스크 접근 권한을 통해서 접근 권한을 얻어야한다. 이 버전에서는 모든 애플리케이션은 설치시 자동으로 사용자 파일에 대한 권한이 주어졌으며 특히 사용자 파일을 수집하는 프로그램 또는 멀웨어(malware) 탐지 기능을 수행하는 안티바이러스(anti virus) 프로그램에게 필수적인 기능이다.
- 설정 방법
- 시스템 환경 설정 실행
- 보안 및 개인 정보 보호 실행
- 개인정보보호 탭 클릭 후 전체 디스크 접근 권한 선택
- 자물쇠 버튼 클릭(잠금해제)
- +버튼을 통하여 전체디스크 접근 권한이 필요한 애플리케이션을 선택하는 것이다.
- 자물쇠 버튼 클릭(잠금설정)
- 전체 디스크 접근 권한 애플리케이션 다시 실행하는 것이다.(자세한 것은 링크 참조)<ref name="맥 OS">
각주
- ↑ 〈접근 권한〉, 《네이버 지식백과》
- ↑ 2.0 2.1 2.2 2.3 Andrew Shin, 〈파일의 접근 권한〉, 《티스토리》, 2015-05-06
- ↑ 3.0 3.1 3.2 언어를 연구하는 모임, 〈(유닉스강좌)파일의 접근 권한〉, 《네이버 블로그》, 2013-12-03
- ↑ 4.0 4.1 4.2 서버/윈도우 서버 2012 기초, 〈윈도우 서버 2012-8. 자원 액세스 관리-공유폴더/NTFS〉, 《티스토리》, 2018-06-29
- ↑ Dev.Yang Dev.Yang, 〈[OS - macOS 전체 디스크 접근 권한 (Full Disk Access)]〉, 《티스토리》, 2020-02-03
참고자료
- 〈접근 권한〉, 《네이버 지식백과》
- 〈파일의 접근 권한〉, 《티스토리》
- 〈(유닉스강좌)파일의 접근 권한〉, 《네이버 블로그》
- 〈윈도우 서버 2012-8. 자원 액세스 관리-공유폴더/NTFS〉, 《티스토리》
- 〈[OS - macOS 전체 디스크 접근 권한 (Full Disk Access)]〉, 《티스토리》
