Month: December 2015

■ SELinux 상태 확인
○ SELinux 현재 상태 확인 : sestatus  -v
○ 모든 SELinux boolean 값 확인 : getsebool  -a
○ 파일/디렉토리 컨텍스트 확인 : ls -Z
○ 메모리 프로세스 컨텍스트 확인 : ps -Z
 
 
■ 로그파일
○ 기본적으로 권한이 거부되었을 때만 기록되도록 설정되어 있다.
○ auditd 서비스 데몬이 작동 중일 경우 로그 경로 : /var/log/audit/audit.log
○ auditd가 작동 안할 경우 로그 경로 : /var/log/messages
 
 
■ SELinux 중지/작동
○ 일시적임.  재부팅하면 설정파일대로 다시 되돌아옴.
○ 중지 : setenforce  0
○ 작동 : setenforce  1
 
  
– 컨텍스트 설정 복원 : /sbin/restorecon  -R  -v  /opt/cubrid/lib/libcubridcs.so
– 컨텍스트 타입 변경 : /usr/bin/chcon  -t  texrel_shlib_t  /opt/cubrid/lib/libcubridcs.so​
 
 
 
 
○ SELinux 설정 : 웹서버가 사용자별 웹 디렉토리에 접근할 수 있도록 권한을 설정한다.
    – 상태확인 : getsebool  httpd_enable_homedirs
       — 확인결과 : httpd_enable_homedirs –> off
    – 상태설정 : setsebool -P httpd_enable_homedirs  on
 -P : 설정을 설정파일에 기록해서 재부팅되어도 계속 유지되도록 한다.
 
 
 
 
○ SELinux 설정 : 웹서버가 사용자의 컨텐츠에 대한 접근을 할 수 있도록 설정한다.
    – 설정 : chcon  -R  -t  httpd_user_content_t  /home/account/public_html
    – 확인 : ls  -aldZ  /home/account/public_html
    ※ httpd가 httpd_t type으로 실행되며 httpd_user_content_t, httpd_sys_content_t type으로 설정된 파일만 접근할 수 있다.
 -R : 디렉토리 하위 객체에도 동일하게 적용한다.
 -t : context type을 설정한다.
 
 
 
setsebool -P httpd_read_user_content 1

1. 퍼미션(Permission)의 이해 

 – 리눅스 시스템과 같은 다중 사용자 운영체제에서 파일이나 디렉토를 읽거나(read), 쓰거나(write), 실행(execute) 하는 등의 행위를 말함 

 – 파일 시스템과 같은 자원에 액세스할 수 있는 자격 또는 접근 허가를 의미

 – 일반적으로 각 파일은 서로 다른 종류의 액세스나 사용자, 사용자 그룹, 나머지 사용자들에게 대해 각각 다른 퍼미션을 부여할 수 있음.

2. 파일과 디렉토리의 속성 값 확인

파일 형태	사용권한	하드링크 번호	owner 이름	group 이름	파일 크기	시간	파일명
–	rw-r–r–	1	root	root	31904

 

 

3. 파일 유형

기호	설명
–	일반 파일의 의미
d	디렉토리 파일을 의미
l	심볼릭 링크 파일을 의미
b	Block Device 파일을 의미
c	Character Device 파일을 의미

4. 파일 퍼미션

 1) 소유자(uesr) 

  – 첫 3개의 문자(상위 rw-) 

  – 소유자는 해당 파일이나 디렉토리를 생성하거나 해당 파일을 소유한 사용자를 의미

 2) 그룹 소유자(group)

  – 소유자 퍼미션 다음 3개의 문자(상위 r–)

  – 시스템 운영 시 필요에 따른 그룹을 생성하고 각 그룹에 사용자 계정을 포함시키게 됨. 

  – 그룹에 포함됨. 

  – 그룹에 포함되어 있는 사용자들이 해당 파일이나 디렉토리에 대한 권한을 의미

 3) 나머지 사용자(other) 

  – 마지막 3개 문자(상위 r–).

  – 소유자와 그룹 소유자에 포함되지 않는 모든 사용자가 해당 파일이나 데렉토리에 가지는 권한을 의미

기호	퍼미션	일반 파일	디렉토리
r	읽기 권한	내용을 읽을 수 있는 권한	ls 등의 명령어를 이용하여 디렉토리 내의 리스트를 확인할 수 있는 권한
w	쓰기 권한	파일을 쓰거나 지울 수 있는 권한	디렉토리 내에 파일을 생성, 삭제할 수 있는 권한
x	실행 권한	바이너리 파일(실행 파일)에 대한 실행 권한	디렉토리 위치를 변경하거나 디렉토리 내의 항복들을 읽을 수 있는 권한

5. 퍼미션의 예

 1) drwxrw-r– : 디렉토리이며 소유자는 모든 권한(읽기, 쓰기, 실행), 그룹에 포함된 사용자는 읽거나 쓸 수 있는 권한, 나머지 사용자는 는 읽기만 가능

 2) drw-r—– : 디렉토리이며 소유자는 읽기와 쓰기 권한, 그룹에 속한 사용자는 읽기 권한만, 나머지 사용자는 접근 권한이 없음

 3) -rwxrwxr– : 일반 파일이며 소유자는 모든 권한, 그룹 사용자도 모든 권한, 나머지 사용자는 읽기만 가능

6. 퍼미션 인증 절차

 – LINUX의 모든 파일과 디렉토리는 소유자와 그룹소유자를 가지고 있으며 이는 ls-l 혹은 ls-n 명령을 통해 확인이 가능

 – ls -l : 소유자와 그룹소유자를 계정명과 그룹명으로 표현

 – ls -n : 소유자와 그룹소유자를 uid, gid로 표현

 – 계정명과 uid는 동일하게 취급되며 그룹명과 gid도 동일하게 취급됨

 

7. 퍼미션 인증 절차 예

 1) 사용자가 install.log 파일을 수정하기 위해 쓰기 권한을 요청

 2) install.log 파일의 uid를 이용하여 사용자 계정과 uid와 비교

 3) 일치하면 소유자로 인정하여 소유자의 퍼미션을 부여

 4) 일치하지 않으면 다음 단계인 gid와 비교

 5) 일치하면 그룹소유자로 인정하여 그룹소유자의 퍼미션을 부여 

 6) gid도 일치하지 않은 경우 other에 해당하는 퍼미션을 부여

8. 파일 소유권 및 소유권 그룹 변경(chown)

사용 방법
chown [계정명] [파일명]	파일의 소유자를 변경
chown [계정명]:[그룹명] [파일이름]	파일의 그룹명을 변경
chown uid.gid [파일이름]	파일의 소유자와 그룹소유자를 변경
옵션
-r	하위 디렉토리까지 소유자와 그룹 소유자를 변경

1) 파일의 소유자 및 소유 그룹 변경 방법

 – useradd tester : tester라는 계정 생성

 – groupadd test : test라는 그룹 생성

 – touch file1 : touch 명령어를 이용한 file1이라는 파일 생성

 – ls -l : 파일 목록의 형태, 권한, 소유자, 그룹, 크기, 시간, 파일명을 나열함.

 – ls -n : ls -l과 비슷하며 소유자를 UID로 소유주 그룹을 GID로 표시하여 나열함.

 – chown tester.test file1 : file1의 소유주를 tester로 소유주 그룹을 test로 변경함

 

2) 하위 디렉토리 전체의 소유자 및 소유 그룹 변경

 – mkdir tmp : tmp라는 디렉토리 생성

 – touch tmp/test : tmp 디렉토리 하위에 test라는 파일 생성

 – chown -R tester.test tmp/ : tmp 디렉토리 하위에 있는 전체를 소유주를 tester로 소유주 그룹은 test로 변경

 

9. 파일의 그룹 소유권 변경 (chgrp)

옵션	설명
-r	하위 디렉토리까지 그룹 소유권 변경

 

10. 파일의 퍼미션 변경 (chmod)

1) 상대 모드 (Symbolic method)

명령어	설명
chmod [mode] [파일이름]	상대모드, 절대모드를 통해 파일의 퍼미션 변경
기호	의미
u	user
g	group
o	other
a	all
기호	의미
+	추가
–	삭제
=	지정 (현재의 권한을 제거하고 설정한 권한으로 설정된다.)
s	소유자 또는 그룹만 실행
기호	의미
r	읽기(read)
w	쓰기(write)
x	실행(execute)

2) 상대 모드를 이용한 퍼미션 변경

– touch file1 file2 file3 : touch 명령어를 이용한 file1,file2,file3 생성

– chmod a+x file1 : file1의 user, group, other 퍼미션 실행(execute)권한 추가

– chmod u+x,g+w,o-r  file2 : file2의 user에는 실행권한 추가, 그룹에는 쓰기권한 추가, other에는 읽기권한 삭제  

 

3) 절대모드

소유자(user)			그룹(group)			나머지(other)
r	w	x	r	w	x	r	w	x
4	2	1	4	2	1	4	2	1
2＾2	2＾1	2＾0	2＾2	2＾1	2＾0	2＾2	2＾1	2＾0

4) 절대모드를 이용한 표현 방법

# rwxrw-r–

# chmod 764 file1

소유자(user)			그룹(group)			나머지(other)
r	w	x	r	w	x	r	w	x
4	2	1	4	2	1	4	2	1
4+2+1			4+2			4
764

# rw-r-xr-x

# chmod 655 file2

소유자(user)			그룹(group)			나머지(other)
r	w	x	r	w	x	r	w	x
4	2	1	4	2	1	4	2	1
4+2			4+1			4+1
655

# r-xr–r–

# chmod 544 file3

소유자(user)			그룹(group)			나머지(other)
r	w	x	r	w	x	r	w	x
4	2	1	4	2	1	4	2	1
4+1			4			4
544

# r——–

# chmod 400 file4

소유자(user)			그룹(group)			나머지(other)
r	w	x	r	w	x	r	w	x
4	2	1	4	2	1	4	2	1
4			0			0
400

 

11. 특별한 퍼미션

– 리눅스의 권한은 소유자, 그룹 소유자, 나머지 사용자의 세 부류로 나누며 각각 파일에 대한 권한을 읽기, 쓰기, 실행의 세 가지로 나타낸다.

– 관리자의 입장에서 시스템의 모든 상황을 고려해야 하기 때문에 이런한 권한 외에 몇가지 특별한 권한을 사용하여 시스템 관리의 효율성을 높인다.

특별한 퍼미션	절대 모드 표현
SetUID	4000
SetGID	2000
sticky bit	1000

1) SetUID(4000) 퍼미션

 – 일반적으로 x 권한으로 실행되면 실행한 사용자의 권한으로 실행된다.

 – SetUID가 적용되면 파일이 실행되는 동안 실행한 사용자가 아닌 파일의 소유자의 권한을 부여하게 된다.

 – SetUID는 실행 파일에만 명시할 수 있음

 – 적용되면 소유자의 퍼미션 값에 실행권한에 x가 아닌 s로 명시

▶ SetUID가 부여된 대표적인 명령어 : passwd

 – passwd를 변경하는 과정에서 /etc/shadow 파일의 내용을 읽거나 쓸 수 있어야 변경한 패스워드를 기록할 수 있기 때문에 passwd 파일에는 SetUID가 걸려 있고 소유주가 root로 설정되어 있음.

 – passwd 파일을 보면은 root 권한으로 설정되어 있는 것을 볼 수 있다. 관리자 외의 일반 사용자들이 자신의 비밀번호를 변경할려면 관리자 권한이 필요하는데 있때 SetUID를 부여함으로써 일반 사용자가 패스워드를 변경할려고 실행하는 동안 일반 사용자한테 관리자 관한을 주는 것 이다. 이 후 다시 회수 한다.

 

▶ SetUID 설정

# chmod 4644 file1

# chmod u+s file2

 

2) SetGID(2000) 퍼미션

 – SetGID 퍼미션은 SetUID와 비듯한 권한으로 파일이 실행되는 동안 그룹 소유주의 권한을 갖게 된다.

 – 실행 파일 뿐만 아니라 디렉토리에도 명시될 수 있다.

 – 적용되면 그룹 소유자의 퍼미션 값에 실행권한에 x가 아닌 s로 명시

▶ 디렉토리에 적용될 경우?

 – 명시된 디렉토리 하위에 생성되는 디렉토리는 동일한 SetGID 권한을 갖게된다.

 – 시스템에 어떤한 사용자가 SetGID 권한이 부여된 디렉토리 내에서 디렉토리를 생성 하더라도 SetGID 권한이 적용된 디렉토리와 동일한 그룹 소유주가 된다. 

#chmod u+s dir1

※ 하위 디렉토리도 적용된다고 했는데 그림을 보면 알다시피 상위 디렉토리만 SetGID가 적용 되었다. 그럼 어떨 경우에 하위 디렉토리도 적용 된다는 것일까? 아래 테스트 그림을 보면서 확인해보자!

#chmod g+s dir2

※ 아래 그림과 같이 하위 디렉토리도 설정이 될려면은 상위 디렉토리에 SetGID가 설정이 된 이 후에 SetGID가 적용된 디렉토리 위치에 하위 디렉토리를 생성 하였을 경우 하위 디렉토리도 SetGID가 적용이 된다. 

3) Sticky Bit(1000) 퍼미션

 – 디렉토리에 부여되는 권한으로 적용 시 모든 사용자가 읽고, 쓰고, 삭제가 가능하다. 단, 삭제는 오르지 소유주만 가능하다.

 – 권한의 적용되면 other의 퍼미션에 실행권한이 x가 아닌 t로 명시된다.

 

▶ 대표적인 Sticky Bit가 적용된 디렉토리는 /tmp와 /var/tmp가 있음

▶ Sticky Bit 적용 되었을 경우 

# su tester : tester 계정으로 접속

# cd /home : /home 디렉토리로 이동

# ls -l : /home 디렉토리 안에 있는 자원 및 tester 디렉토리 퍼미션 확인

# chmod 755 tester : tester 디렉토리 퍼미션을 775 변경

# ls -l : 변경한 tester 디렉토리 퍼미션 확인

# cd tester : tester 디렉토리로 이동

# ls : tester 디렉토리 안에 있는 자원 확인

# touch file1 : file1이라는 파일 생성

# vim file1 : file1이라는 파일 안에 데이터 입력 (입력 데이터는 다음 그림 확인)

# ls -l : file1의 퍼미션 확인

# chmod 1777 file1 : file1이라는 파일 퍼미션 변경 (Sticky Bit 적용)

# ls -l : 퍼미션이 변경된 file1 확인

# su – : 관리자 계정으로 접속

# 암호 : 관리자 암호 입력

 

# file1 안에 입력한 데이터 값

# useradd tester2 : tester2라는 계정 생성

# su tester2 : tester2 계정 접속

# cd /home : /home 디렉토리로 이동

# ls -l : home 디렉토리 안에 있는 자원 확인

# cd tester : tester 디렉토리로 이동

# ls -l : tester 디렉토리 안에 있는 자원 확인

# rm file1 : 삭제 시도 ( 다른 계정으로 삭제를 시도 해보았지만 거부 당함)

# vim file1 : 수정 시도 ( 다른 계정으로 수정을 시도 하였는데 결과는 다음 그림으로 확인)

# file1이라는 파일 안에 tester2 사용자가 데이터를 수정 (자세히 보면 숫자가 위아래로 변경 된 것을 알 수 있다.)

# wq : 저장 후 종료

# whoami : 접속한 계정 확인 

# su – : 관리자 계정으로 다시 접속

# cd /home/tester : /home/tester 디렉토리로 이동

# ls -l : 자원 확인

# vim file1 : tester2가 수정에 성공 하였는지 관리자 모드로 직접 확인

 

# tester2 사용자에 이해서 수정 되었습니다. 

 

​

​1. 기초 프로그램 설치