권한 있는 시스템의 관리상 차이점
권한이 있는 시스템과 권한이 없는 시스템 간에는 몇 가지 눈에 띄는 차이점이 있습니다. 다음 표는 일부 차이점을 나열합니다.
표 1-2 권한 있는 시스템과 권한 없는 시스템 사이의 눈에 띄는 차이점
|
|
|
데몬
|
데몬이 root로 실행됩니다.
|
예를 들어, 제한된 권한이 지정되고 daemon으로 실행되는 데몬에는 lockd 및 rpcbind가 있습니다.
|
로그 파일 소유권
|
root가 로그 파일을 소유합니다.
|
로그 파일을 만든 daemon이 로그 파일을 소유합니다. root 사용자는 파일을 소유하지 않습니다.
|
오류 메시지
|
오류 메시지가 수퍼유저를 참조합니다.
예를 들어, chroot: not superuser입니다.
|
오류 메시지가 권한 사용을 반영합니다.
예를 들어, chroot 실패에 해당하는 오류 메시지는 chroot: exec failed입니다.
|
setuid 프로그램
|
프로그램이 setuid root를 사용하여 일반 사용자가 수행할 수 없는 작업을 완료합니다.
|
많은 setuid root 프로그램은 필요한 권한만으로 실행됩니다.
예를 들어, 권한을 사용하는 명령에는 audit, ikeadm, ipadm, ipsecconf, ping, traceroute, newtask 등이 있습니다.
|
파일 권한
|
장치 사용 권한을 DAC로 제어합니다. 예를 들어, sys 그룹의 구성원이 /dev/ip를 열 수 있습니다.
|
파일 사용 권한(DAC)이 장치를 열 수 있는 사람을 예측하지 않습니다. 장치는 DAC 및 장치 정책으로 보호됩니다.
예를 들어, /dev/ip 파일에 666 권한(permission)이 있지만 적절한 권한(privilege)을 가진 프로세스만 장치를 열 수 있습니다.
|
감사 이벤트
|
su 명령 사용의 감사에 많은 관리 기능이 관여합니다.
|
권한 사용의 감사에 대부분의 관리 기능이 관여합니다. cusa 감사 클래스에는 관리 기능을 모니터링하는 감사 이벤트가 포함됩니다.
|
프로세스
|
프로세스는 프로세스 소유자 권한으로 보호됩니다.
|
권한으로 프로세스를 보호합니다. 프로세스 권한 및 프로세스 플래그는 /proc/<pid>/priv 디렉토리에서 새 항목으로 표시됩니다.
|
디버깅
|
코어 덤프에 권한에 대한 참조가 없습니다.
|
코어 덤프의 ELF 노트 섹션은 NT_PRPRIV 및 NT_PRPRIVINFO 노트에 프로세스 권한 및 플래그에 대한 정보를 포함합니다.
ppriv 명령 및 기타 명령은 적절히 크기 조정된 세트의 적절한 개수를 보여줍니다. 정확히 비트 세트의 비트를 권한 이름에 매핑합니다.
|
|