접근권한

위키원
dudrb0106 (토론 | 기여)님의 2021년 8월 12일 (목) 17:17 판
이동: 둘러보기, 검색

접근 권한이란 판독(read), 기록(write), 실행(execution) 등 디렉토리나 파일에 대해 사용자가 접근 및 수행할 수 있는 작업 권한. 불법 접근이나 오동작으로부터 시스템을 보호하거나 사용자의 파일을 보호하기 위해 각 파일에 대해 판독, 기록, 실행 등의 권한이 사용자, 또는 그룹마다 정해져 있는 것이다.[1]

개요

파일의 보안을 위해 접근 범위를 말하는 것이다.

운영체재

각 운영채제마다. 접근 권한종류는 각자 다 다르다 다음은 각 운영채제(리눅스(Linux), 유닉스(Unix), 윈도우(Windows), 맥 OS(Mac OS))의 접근 방법이다.

리눅스

리눅스는 접근 권한을 부여하기 위해 사용자를 파일의 소유자, 파일이 속한 그룹, 그 외 기타 사용자의 세 카테고리로 구분하여 적용한다.사용자가 파일을 생성하면 그 파일의 소유자가 되는데, 일반적으로 사용자가 속한 기본 그룹이 파일과 관련된 그룹이 되고 만약 상위 디렉터리에 특수한 권한이 부여되어 있으면 다른 그룹으로 지정될 수도 있는 것이다. 파일의 소속 그룹은 시스템 관리자가 명령을 이용하여 강제로 변경할 수도 있다. 그리고 소유자도 아니고 그룹에 속한 사용자도 아닌 나머지 사용자는 모두 기타 사용자가 된다.카테고리별로 접근 권한을 다르게 부여하여 파일을 보호할 수 있는 것이다.[2]

종류

리눅스에서 접근 권한은 읽기 권한, 쓰기 권한, 실행 권한 등 세 가지로 이뤄져 있다. 읽기 권한은 파일을 변경할 수는 없지만 내용은 볼 수 있는 권한이므로, 파일 내용을 공개하면 안 될 경우 읽기 권한도 줘서는 안되는 것이며, 쓰기 권한은 파일의 내용을 보는 것 뿐만이 아니라 수정이나 삭제도 가능한 권한이어서 이 권한을 다른 사용자에게 부여한다는 것은 파일을 마음대로 수정해도 된다는 의미이므로 신중하게 결정해야 하는 것이다.

  • 읽기 : 파일을 읽거나 복사가 가능하고, ls 명령으로 디렉터리 목록을 볼 수 있이다(단 ls명령어 옵션은 실행 권한이 있어야 한다.)
  • 쓰기 : 파일을 수정, 이동, 삭제할 수 있으며(단 ,디랙터리에 쓰기 권한이 있어야 가능하다.),파일을 생성과 삭제가 가능한 것이다.
  • 실행 : 파일을 실행할 수 있고 cd 명령을 사용할 수 있고 파일을 디렉터리로 이동하거나 복사할 수 있는 기능이다.[2]

표기 방법

접근 권한의 표기는 사용자 카테고리별로 누가 파일을 읽고 쓰고 실행할 수 있는지를 문자로 나타낸 것이다. 읽기 권한은 r, 쓰기 권한은 w, 실행 권한은 x로 표기하며, 해당 권한이 없는 경우에는 -로 표기하며, 사용자 카테고리별로 세 가지 권한의 부여 여부를 rwx와 같이 세 문자를 묶어서 표기 즉 사용자 카테고리가 세 개이고 권한도 세 개이므로 총 아홉 개의 문자로 나타내는 것이다.

  • 예시, rw- : 소유자, r-- : 그룹, r-- : 기타 사용자

위의 예시 중 맨 앞의 -는 파일의 종류를 나타내는 부분으로 접근 권한과는 관계가 없고 실제 접근 권한은 -를 제외한 rw-r--r--이며 이것은 사용자 카테고리별로 세 문자씩 한 세트로 표기한 것이며, 소유자의 권한은 rw- 이고, 그룹의 권한은 중간의 r--이며, 기타 사용자의 권한은 마지막의 r--이다.

  • 각 카테고리 별로 접근 권한은 읽기(r)-쓰기(w)-실행(x)의 순서로 표기하고 해당 권한이 없을 경우 -로 표기 즉 그러므로 위에서 제시된 예는 소유자가 읽기와 쓰기 권한을 가지고 있고 그룹과 기타 사용자는 읽기 권한만 가지고 있다는 것만 나오는 것이다.[2]

변경 명령

파일의 소유자시스템 관리자는 접근 권한을 바꿀 수 있으며, 일반 사용자는 소유자 자신의 접근 권한뿐 아니라 그룹과 기타 사용자의 권한도 변경할 수 있지만 다른 사용자가 소유한 파일의 접근 권한은 손댈 수는 없는 것이며, 접근권한을 바꿀때 사용하는 명령어 : chmod이다.

  • chmod(change mod) 기능 : 파일이나 디렉터리의 접근 권한을 변경하는 것이다.
  • 형식 : chmod [옵션] 권한 모드 파일 또는 디렉터리명
  • 옵션 -R : 하위 디렉터리까지 모두 변경할 수 있는 것이다.
  • 기호모드 : 문자와 기호를 사용하여 권한을 표시하는 것이다.
  • 숫자모드 : 숫자를 사용하여 변경하는 것이다.[2]

유닉스

유닉스는 접근 권한을 부여하기 위해 사용자를 세 카테고리로 구분해 적용하며, 세 카테고리는 파일의 소유자와 파일이 속한 그룹, 그 외의 기타 사용자로 구분하는 것이다.[3]

  • 파일종류 : [소유자][그룹][기타 사용자]
  • 소유자 : 파일을 생성한 사용자가 일반적으로 파일의 소유자가 된다. 파일의 소유자나 시스템 관리자가 명령을 이용하여 소유자를 변경할 수도 있는 것이다.
  • 그룹 : 파일과 동일한 그룹에 속한 사용자들이 이 카테고리에 속한다. 일반적으로 파일이 속한 그룹은 보통, 파일을 생성한 사용자의 기본 그룹으로 지정되나 상위 디렉토리에 특수한 권한이 부여되어 있으면, 다른 그룹으로 지정된다. 파일 소속 그룹은 root가 명령을 이용해 강제로 변경할 수도 있는 것이다.
  • 기타 사용자 : 소유자나 그룹 카테고리에 속하지 않은 사용자는 모두 이 카테고리이다.[3]

종류

  • 파일. 읽기 : 파일을 읽거나 복사할 수 있는 것이다.
  • 쓰기 : 파일을 수정, 이동, 삭제할 수 있는 것이다. (디렉토리에 쓰기 권한이 있어야 한다)
  • 실행 : 파일을 실행할 수 있는 것이다.(쉘 스크립트나 실행 파일의 경우)
  • 디렉토리. 읽기 : ls명령으로 디렉토리 목록을 볼 수 있는 것이다.(ls 명령의 옵션은 실행 권한이 있어야 사용할 수 있다)
  • 쓰기 : 파일을 생성하거나 삭제할 수 있는 것이다.
  • 실행 : cd 명령의 사용이 가능하다 파일을 디렉토리로 이동하거나 복사할 수 없는 것이다.

표기 방법

  • r : 읽기 권한
  • w : 쓰기 권한
  • x : 실행 권한
  • rwxr-xr-x : 소유자는 읽기,쓰기,실행 권한을 모두 갖고, 그룹과 기타 사용자는 읽기와 실행 권한만 가지는 것이다.
  • r-xr-xr-x : 소유자, 그룹, 기타 사용자 모두 읽기와 실행 권한만 가지는 것이다.
  • rw------ : 소유자만 읽기, 쓰기 권한을 갖고, 그룹과 기타 사용자는 아무 권한도 없는 것이다.
  • rw-rw-rw- : 소유자와 그룹, 기타 사용자 모두 읽기와 쓰기 권한을 갖고 있는 것이다.
  • rwxrwxrwx : 소유자, 그룹, 기타 사용자 모두 읽기, 쓰기, 실행 권한을 갖고 있는 것이다.
  • rwx------ : 소유자만 읽기, 쓰기, 실행 권한을 갖고, 그룹과 기타 사용자는 아무 권한도 없는 것이다.[3]

윈도우

윈도우(WINDOWS)는 자원에 대한 접근 권한을 부여 하는 여러가지 방법이 있는데 자원에 대한 접근 권한이란 말 그대로 특정 폴더/파일에 접근을 금지하거나 혹은 수정/삭제 금지 등등과 같은 개념을 뜻하는 거고 자세히 설명하자면 컴퓨터, 사용자, 그룹 중 인증에 사용되거나 자원에 대한 접근을 부여 할 수있는 것들을 보안 주체라 한다 각각의 보안 주체는 WINDOWS 내부에서 SID라는 값으로 구분하고 있으며 이 보안 주체들에게 접근을 허가 거부하기 위해 사용되는 일련의 규칙을 접근 권한이라 한다. 무엇을 보고 이러한 접근을 허가하거나 거부하는 것은 ACL이라는 것을 기준으로 허가/거부 한다. ACL은 크게 두 가지로 나누며 보안 주체의 리소스 접근 제어 규칙이 있는 DACL리소스와 연결된 감사메시지를 제어하는 SACL이 있다.[4]

방법

접근권한을 부여하는 방법에는 2가지인데 공유 폴더, NTFS이다

  • 첫번 째 공유 폴더 : 자원을 공유하기 위해 네트워크 상에서 접근을 허용해놓은 폴더를 뜻하는 것으로 순서는 다음과 같은 순서로 진행된다.
  1. 실행-fsmgmt.msc 입력
  2. 공유tab에 가면 현재 사용하는 공유폴더 항목을 볼 수 있는 것이다.(참고 : C$, ADMIN$, IPC$ 등등의 폴더들을 볼 수 있을 것이다.이 해당 폴더들은 그냥 윈도우 자체에서 관리 목적으로 생성한 공유폴더 보면 되고($ : 숨김 공유 폴더), C$ -> C : 드라이브 관리 공유 폴더, 도메인(ADMIN)$ -> 윈도우 설치 관련 공유폴더, IPC $-> 서버 간의 이벤트 로그와 같은 특정 통신에 관한 공유 폴더 등등 각각 폴더에 대한 역할이 있다.(과정 같은 자세한 것은 링크 참조))[4]
  • 공유 폴더 권한 의미 : 읽기(Read) -> 폴더 내 특정 파일을 조회하거나 실행
  • 교체(change)-> 폴더 내 특정 파일을 변경/삭제/추가
  • 전체적인 통제(Full control) -> Read+Change 권한에다가 해당 파일의 보안 설정
  • 두번째 접근 권한 부여 방법은 NTFS이다. NTFS는 윈도우에서 제공하는 파일 시스템(파일을 관리하는 방법)중 하나이다. 이 NTFS는 강력한 보안 기능을 제공한다. 크게 기본 권한과 특수권한이다.
  1. 기본권한은 특정 폴더를 우클릭-속성 들어가기
  2. 보안 탭에서 확인하기
  • 기본권한의 종류 : 모든 권한, 수정, 읽기 및 실행, 폴더 내용 보기(폴더만 존재), 읽기, 쓰기이다.
  • 특수권한 순서
  1. 고급 설정
  2. 특정 개체를 선택 후 편집
  3. 고급 권한 표시클릭
  4. 여러가지 권한확인하는 것이다.(다른 자세한 사항은 링크를 참조한다.)[4]

맥 OS

맥 OS의 접근 권한의 대표적인 접근 권한은 전체 디스크 접근 권한(Full Disk Access)이다.[5]

전체 디스크

전체 디스크 접근 권한(Full Disk Access)은 맥OS모하비(macOS Mojave)에서 나온 새로운 보안 기능이며, 사용자들의 파일들을 보호하기 위해서 애플리케이션이 임의로 사용자 동의 없이 사용자의 파일에 접근하지 못하도록 제한하고 있으며 파일에 접근해기 위해서는 전체 디스크 접근 권한을 통해서 접근 권한을 얻어야한다. 이 버전에서는 모든 애플리케이션은 설치시 자동으로 사용자 파일에 대한 권한이 주어졌으며 특히 사용자 파일을 수집하는 프로그램 또는 멀웨어(malware) 탐지 기능을 수행하는 안티바이러스(anti virus) 프로그램에게 필수적인 기능이다.

  • 설정 방법
  1. 시스템 환경 설정 실행
  2. 보안 및 개인 정보 보호 실행
  3. 개인정보보호 탭 클릭 후 전체 디스크 접근 권한 선택
  4. 자물쇠 버튼 클릭(잠금해제)
  5. +버튼을 통하여 전체디스크 접근 권한이 필요한 애플리케이션을 선택하는 것이다.
  6. 자물쇠 버튼 클릭(잠금설정)
  7. 전체 디스크 접근 권한 애플리케이션 다시 실행하는 것이다.(자세한 것은 링크 참조)[5]

웹 이미지 모니터

웹 이미지 모니터에서 "접근 권한"이란 웹 브라우저를 통해 각 기능에 대한 사용자의 접근을 허용 또는 차단하는 설정이다.[6]

유형

  • R (Read) : 읽기 전용 권한 장치 및 작업 상태와 기타 관련 정보에 대해 확인할 수 있는 기능이다.
  • W (Write) : 쓰기 전용 권한 편집은 가능하나 설정을 확인할 수는 없다. 웹 이미지 모니터에서는 PDF 인쇄시 필요한 암호를 입력하면 각 사용자 유형 별로 권한이 부여되는 것이다.
  • RW (Read and Write) : 읽기 및 쓰기 권한 내용 확인 및 편집이 가능하며, 여러 기능 즉, 인쇄, 파일 다운로드, 작업 삭제, 장치 구성 등 설정 및 관련 정보에 대해 관리할 수 있는 것이다.
  • — : 권한 없음 설정 편집 및 기타 정보 등 모든 내용에 대한 확인이 불가능한 것이다.[6]

사용자

사용자는 사용자 인증 가능 유무 및 일반 사용자와 관리자 이냐에 따라 분류된 것이다.

  • 사용자 (사용자 인증 불가능) : 사용자 인증이 불가능할 경우 사용자는 장치를 웹 브라우저에 연결하면 장치를 사용할 수 있다.사용자는 장치 및 작업 상태, 기타 설정을 확인할 수 있고 파일에 설정된 접근 권한에 따라 문서 관리 서버에 저장된 파일을 확인, 변경, 인쇄 및 삭제할 수 있는 권한이 부여될 수 있다 또한 인쇄 작업 기능이 사용 가능이면 기기에 저장된 시험 인쇄, 비밀 인쇄, 제한 인쇄, 저장후 인쇄 목록에 표시된 작업을 인쇄 또는 삭제할 수 있지만 장치 설정은 변경할 수 없는 사람이다.[6]
  • 사용자 (사용자 인증 가능) : 사용자 인증이 가능할 경우 사용자로 로그온 하지 않을 경우 사용할 수 있는 기능이 제한된다.장치 상태 및 문의 정보를 확인할 수 있다.헤더 영역에서 [로그인]을 클릭하여 로그인하면, 작업 상태를 확인할 수 있으며 문서 관리 서버에 저장된 파일 관리 및 주소록 편집이 가능하고, 관리 레벨이 "Low"로 설정되어 있을 경우에는 관리자 설정 항목에서 사용자가 네트워크 또는 장치 설정을 지정할 수 있는 사람이다.[6]
  • 사용자 관리자 : 주소록을 관리한다, 비록 암호를 몰라도 주소록에 등록된 사용자 암호를 변경 또는 삭제하는 것이 가능한 사람이다.
  • 기기 관리자 : 장치 설정을 관리하고, 문서 관리 서버에 저장된 인쇄 작업을 관리할 수 있으며 [구성] - [장치 설정]을 선택할 때 나타나는 페이지에 대해 설정을 지정할 수 있고 또한 프린터 및 팩스 기능을 설정할 수 있는 사람이다.
  • 네트워크 관리자 : 장치 네트워크 구성을 설정하고, [구성] - [네트워크]를 선택하면 표시되는 페이지 설정을 주로 담당하며 팩스 기능 설정도 할 수 있는 사람이다.
  • 파일 관리자 : 장치에 저장된 파일에 대해 설정하고, 문서 관리 서버에 저장된 파일의 암호 변경 및 삭제, 접근 권한을 변경할 수 있다. 인쇄 작업 기능이 가능할 경우에는 장치에 저장된 시험 인쇄, 비밀 인쇄, 제한 인쇄 또는 저장후 인쇄 목록에 표시된 작업의 잠금 해제 또는 삭제할 수 있는 사람이다.
  • 감시자 : 감시자는 [구성: 장치 설정: 관리자 등록/변경 페이지]에서 관리자 또는 감시자의 암호를 변경 및 삭제할 수 있으며, 필요할 때마다 암호를 변경할 책임이 있지만, 기타 다른 작업은 수행할 수는 없다. 암호는 장치 관리를 위한 필수 조건이며, 관리자가 암호를 잊어버렸을 경우 설정 변경을 위해 장치에 로그온 할 수 없지만, 감시자는 이 문제를 해결할 수 있어서, 관리자 암호를 변경할 수 있는 권한이 있는 사람이나 장치 설정 변경은 관리자만이 가능한 것이다.[6]

각주

  1. 접근 권한〉, 《네이버 지식백과》
  2. 2.0 2.1 2.2 2.3 Andrew Shin, 〈파일의 접근 권한〉, 《티스토리》, 2015-05-06
  3. 3.0 3.1 3.2 언어를 연구하는 모임, 〈(유닉스강좌)파일의 접근 권한〉, 《네이버 블로그》, 2013-12-03
  4. 4.0 4.1 4.2 서버/윈도우 서버 2012 기초, 〈윈도우 서버 2012-8. 자원 액세스 관리-공유폴더/NTFS〉, 《티스토리》, 2018-06-29
  5. 5.0 5.1 Dev.Yang Dev.Yang, 〈[OS - macOS 전체 디스크 접근 권한 (Full Disk Access)]〉, 《서포트다운로드》, 2020-02-03
  6. 6.0 6.1 6.2 6.3 6.4 접근 권한에 관하여〉, 《서포트다운로드》

참고자료

같이보기