터미널 명령에 대한 루트 요구 사항을 구별하는 메커니즘은 무엇입니까?

Question 1

예, 각 애플리케이션은 일반적으로 실제 애플리케이션의 "권한 비트"를 통해 자체 권한을 설정합니다. 실행하려는 다양한 실행 파일과 함께 명령을 사용 하면 ls -l이러한 내용을 볼 수 있습니다 .

$ ls -l /sbin/ | grep autrace
-rwxr-x---. 1 root root     15792 Aug 24 14:40 autrace
03:03:22-slm~ $ autrace
bash: /usr/sbin/autrace: Permission denied

그러나 터치/액세스하려는 "데이터"가 제한된 일부 명령이 있으므로 보기 권한만으로는 충분하지 않습니다.

$ ls -l /sbin/ | grep "\bfdisk"
-rwxr-xr-x. 1 root root    230512 Apr 25 05:19 fdisk
$ fdisk -l
$

여기의 명령은 내 사용자 ID로 실행되지만 해당 사용자는 내 시스템의 물리적 디스크에 대한 정보에 액세스할 수 없으므로 fdisk출력이 표시되지 않습니다. 다음 명령을 사용하여 루트로 권한을 높이면 sudo원하는 출력을 볼 수 있습니다.

$ sudo fdisk -l | head -10

Disk /dev/sda: 238.5 GiB, 256060514304 bytes, 500118192 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 5D1229E8-1234-1234-1234-ABCDEFG128790

Device           Start          End   Size Type
/dev/sda1         2048       411647   200M EFI System

이를 제어하는 메커니즘

중앙 집중식 제어가 없으며 모든 제어가 분산되어 응용 프로그램/실행 파일(위에 표시된 것처럼)의 파일과 함께 권한 비트로 저장되거나 이러한 도구가 사용할 데이터 파일 또는 파일이 있는 디렉터리에 저장됩니다. 위치한 것이 포함되어 있습니다.

명령 셸

Bash가 셸이고 터미널이 명령 전달을 위한 사용자 인터페이스라는 설명은 올바르지 않습니다. 대신 터미널은 내부에서 실행되는 쉘(보통 Bash)로 실행되는 애플리케이션이지만 쉘 수에는 제한이 없습니다.

예를 들어

ps다음은 현재 셸 프로세스의 구조를 보여주는 명령의 출력입니다 .

$ ps axf | less
...
 8549 ?        Sl     0:08 /usr/libexec/gnome-terminal-server
 8552 ?        S      0:00  \_ gnome-pty-helper
10286 pts/13   Ss     0:00  \_ bash
12783 pts/13   Sl+    5:49  |   \_ vinagre
12868 pts/14   Ss     0:00  \_ bash
15742 pts/14   R+     0:00      \_ ps axf
15743 pts/14   S+     0:00      \_ less -r

gnome-terminal여기에서는 상단에서 실행 중인 터미널과 아래의 하위 프로세스를 볼 수 있습니다 . 이러한 하위 프로세스는 2개의 bash셸로 구성되며, 그 중 하나는 이라는 애플리케이션을 실행 vinagre하고 다른 하나는 ps여기에 표시된 명령을 실행합니다.

추가 제한 사항

위에서 설명한 내용은 시스템 사용자가 실행 파일을 사용하는 방법에 대한 기본 사항입니다. 그러나 이것들은 단지 기본일 뿐입니다. 이 외에도 다양한 실행 파일에 대한 ACL(액세스 제어 목록) 및 액세스 제어 정책과 같은 다른 기술이 있습니다.

ACL은 매우 간단하며 소유자, 그룹 등의 기존 모델을 넘어 사용자에게 보다 세부적인 제어 기능을 제공합니다.

SELinux 및 AppArmor와 같은 도구는 동일한 접근 방식을 취하지만 Linux 커널 수준에서 규칙을 만들어 Application X가 전체 시스템과 상호 작용하는 방식을 제한하는 기능을 도입합니다. 예를 들어, Samba 서버를 실행 중인 경우 이 응용 프로그램이 일반적으로 작동하는 일반 영역 외부의 파일 시스템에 대한 액세스 권한을 부여해야 합니다. 이를 허용하려면 추가 정책을 추가해야 합니다.

SELinux 매뉴얼 페이지에서 발췌

SELinux(NSA Security Enhanced Linux)는 Linux 운영 체제에서 유연한 필수 액세스 제어 아키텍처를 구현한 것입니다. SELinux 아키텍처는 Type Enforcement® 기반 정책, 역할 기반 액세스 제어 및 다단계 보안 개념을 포함하여 다양한 필수 액세스 제어 정책 시행을 위한 일반적인 지원을 제공합니다. SELinux에 대한 배경 정보 및 기술 문서는 다음에서 찾을 수 있습니다. http://www.nsa.gov/research/selinux.

명령 부분은 무엇입니까?

응용 프로그램이 시스템에 있는 실제 파일인지, 아니면 다른 파일인지 확실하지 않은 경우 이 명령을 사용하여 type이를 확인할 수 있습니다.

$ type pwd
pwd is a shell builtin

$ type fdisk
fdisk is /usr/sbin/fdisk

따라서 위의 예에서는 pwdBash에 내장 fdisk되지 않고 /usr/sbin/fdisk.

노트:내장된 모든 것과 마찬가지로 이를 호출하는 Bash 셸의 권한에 의해 제어됩니다!

Answer

예, 각 애플리케이션은 일반적으로 실제 애플리케이션의 "권한 비트"를 통해 자체 권한을 설정합니다. 실행하려는 다양한 실행 파일과 함께 명령을 사용 하면 ls -l이러한 내용을 볼 수 있습니다 .

$ ls -l /sbin/ | grep autrace
-rwxr-x---. 1 root root     15792 Aug 24 14:40 autrace
03:03:22-slm~ $ autrace
bash: /usr/sbin/autrace: Permission denied

그러나 터치/액세스하려는 "데이터"가 제한된 일부 명령이 있으므로 보기 권한만으로는 충분하지 않습니다.

$ ls -l /sbin/ | grep "\bfdisk"
-rwxr-xr-x. 1 root root    230512 Apr 25 05:19 fdisk
$ fdisk -l
$

여기의 명령은 내 사용자 ID로 실행되지만 해당 사용자는 내 시스템의 물리적 디스크에 대한 정보에 액세스할 수 없으므로 fdisk출력이 표시되지 않습니다. 다음 명령을 사용하여 루트로 권한을 높이면 sudo원하는 출력을 볼 수 있습니다.

$ sudo fdisk -l | head -10

Disk /dev/sda: 238.5 GiB, 256060514304 bytes, 500118192 sectors
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 512 bytes
I/O size (minimum/optimal): 512 bytes / 512 bytes
Disklabel type: gpt
Disk identifier: 5D1229E8-1234-1234-1234-ABCDEFG128790

Device           Start          End   Size Type
/dev/sda1         2048       411647   200M EFI System

이를 제어하는 메커니즘

중앙 집중식 제어가 없으며 모든 제어가 분산되어 응용 프로그램/실행 파일(위에 표시된 것처럼)의 파일과 함께 권한 비트로 저장되거나 이러한 도구가 사용할 데이터 파일 또는 파일이 있는 디렉터리에 저장됩니다. 위치한 것이 포함되어 있습니다.

명령 셸

Bash가 셸이고 터미널이 명령 전달을 위한 사용자 인터페이스라는 설명은 올바르지 않습니다. 대신 터미널은 내부에서 실행되는 쉘(보통 Bash)로 실행되는 애플리케이션이지만 쉘 수에는 제한이 없습니다.

예를 들어

ps다음은 현재 셸 프로세스의 구조를 보여주는 명령의 출력입니다 .

$ ps axf | less
...
 8549 ?        Sl     0:08 /usr/libexec/gnome-terminal-server
 8552 ?        S      0:00  \_ gnome-pty-helper
10286 pts/13   Ss     0:00  \_ bash
12783 pts/13   Sl+    5:49  |   \_ vinagre
12868 pts/14   Ss     0:00  \_ bash
15742 pts/14   R+     0:00      \_ ps axf
15743 pts/14   S+     0:00      \_ less -r

gnome-terminal여기에서는 상단에서 실행 중인 터미널과 아래의 하위 프로세스를 볼 수 있습니다 . 이러한 하위 프로세스는 2개의 bash셸로 구성되며, 그 중 하나는 이라는 애플리케이션을 실행 vinagre하고 다른 하나는 ps여기에 표시된 명령을 실행합니다.

추가 제한 사항

위에서 설명한 내용은 시스템 사용자가 실행 파일을 사용하는 방법에 대한 기본 사항입니다. 그러나 이것들은 단지 기본일 뿐입니다. 이 외에도 다양한 실행 파일에 대한 ACL(액세스 제어 목록) 및 액세스 제어 정책과 같은 다른 기술이 있습니다.

ACL은 매우 간단하며 소유자, 그룹 등의 기존 모델을 넘어 사용자에게 보다 세부적인 제어 기능을 제공합니다.

SELinux 및 AppArmor와 같은 도구는 동일한 접근 방식을 취하지만 Linux 커널 수준에서 규칙을 만들어 Application X가 전체 시스템과 상호 작용하는 방식을 제한하는 기능을 도입합니다. 예를 들어, Samba 서버를 실행 중인 경우 이 응용 프로그램이 일반적으로 작동하는 일반 영역 외부의 파일 시스템에 대한 액세스 권한을 부여해야 합니다. 이를 허용하려면 추가 정책을 추가해야 합니다.

SELinux 매뉴얼 페이지에서 발췌

SELinux(NSA Security Enhanced Linux)는 Linux 운영 체제에서 유연한 필수 액세스 제어 아키텍처를 구현한 것입니다. SELinux 아키텍처는 Type Enforcement® 기반 정책, 역할 기반 액세스 제어 및 다단계 보안 개념을 포함하여 다양한 필수 액세스 제어 정책 시행을 위한 일반적인 지원을 제공합니다. SELinux에 대한 배경 정보 및 기술 문서는 다음에서 찾을 수 있습니다. http://www.nsa.gov/research/selinux.

명령 부분은 무엇입니까?

응용 프로그램이 시스템에 있는 실제 파일인지, 아니면 다른 파일인지 확실하지 않은 경우 이 명령을 사용하여 type이를 확인할 수 있습니다.

$ type pwd
pwd is a shell builtin

$ type fdisk
fdisk is /usr/sbin/fdisk

따라서 위의 예에서는 pwdBash에 내장 fdisk되지 않고 /usr/sbin/fdisk.

노트:내장된 모든 것과 마찬가지로 이를 호출하는 Bash 셸의 권한에 의해 제어됩니다!

Question 2

기본적으로 애플리케이션은 루트 액세스가 필요한지 여부를 대부분 결정합니다. 이는 일반적으로 (1) 명시적으로 인코딩을 확인하거나 (2) 루트 액세스가 필요하거나 실패하는 파일, 디렉터리 또는 기타 특수 파일을 사용하는 두 가지 방법 중 하나로 수행됩니다.

이에 대한 중앙 통제는 전혀 없습니다.

Answer

기본적으로 애플리케이션은 루트 액세스가 필요한지 여부를 대부분 결정합니다. 이는 일반적으로 (1) 명시적으로 인코딩을 확인하거나 (2) 루트 액세스가 필요하거나 실패하는 파일, 디렉터리 또는 기타 특수 파일을 사용하는 두 가지 방법 중 하나로 수행됩니다.

이에 대한 중앙 통제는 전혀 없습니다.

Question 3

사용자가 명령을 실행하지 못하게 할 수 있는 몇 가지 요인이 있습니다.

파일 권한

ls -l <file>소유자, 그룹 및 기타 사용자의 파일에 대한 읽기, 쓰기 및 실행 권한을 정의하는 "rwxr-xrw-"와 같은 형식을 사용하여 이를 확인할 수 있습니다.
액세스 제어 목록

설치된 장치에 ACL이 활성화된 경우 해당 속성을 가져오고 getfacl위와 동일한 권한이나 다른 사용자에 대한 제한 사항을 확인할 수 있습니다. 한 가지 예:

[root]# getfacl <file>

# file: <file>

# owner: <owner>

# group: <group>

user::rw-

user:<different_user>:rwx

group::r-

mask::rwx

other::r-
환경 변수

PATH 변수는 bash가 명령을 찾을 디렉터리 목록을 정의합니다. 를 사용하여 내용을 검사할 수 있습니다 echo $PATH.
SELinux

SElinux는 이 목표를 달성하는 또 다른 방법입니다. 를 사용하여 SElinux 권한을 확인할 수 있습니다 ls -Z <file>.

이는 단지 몇 가지 예일 뿐이므로 도움이 되기를 바랍니다.

Answer

사용자가 명령을 실행하지 못하게 할 수 있는 몇 가지 요인이 있습니다.

파일 권한

ls -l <file>소유자, 그룹 및 기타 사용자의 파일에 대한 읽기, 쓰기 및 실행 권한을 정의하는 "rwxr-xrw-"와 같은 형식을 사용하여 이를 확인할 수 있습니다.
액세스 제어 목록

설치된 장치에 ACL이 활성화된 경우 해당 속성을 가져오고 getfacl위와 동일한 권한이나 다른 사용자에 대한 제한 사항을 확인할 수 있습니다. 한 가지 예:

[root]# getfacl <file>

# file: <file>

# owner: <owner>

# group: <group>

user::rw-

user:<different_user>:rwx

group::r-

mask::rwx

other::r-
환경 변수

PATH 변수는 bash가 명령을 찾을 디렉터리 목록을 정의합니다. 를 사용하여 내용을 검사할 수 있습니다 echo $PATH.
SELinux

SElinux는 이 목표를 달성하는 또 다른 방법입니다. 를 사용하여 SElinux 권한을 확인할 수 있습니다 ls -Z <file>.

이는 단지 몇 가지 예일 뿐이므로 도움이 되기를 바랍니다.

터미널 명령에 대한 루트 요구 사항을 구별하는 메커니즘은 무엇입니까?

답변1

이를 제어하는 메커니즘

명령 셸

추가 제한 사항

명령 부분은 무엇입니까?

답변2

답변3

관련 정보

답변1

이를 제어하는 ​​메커니즘

명령 셸

추가 제한 사항

명령 부분은 무엇입니까?

답변2

답변3

관련 정보

이를 제어하는 메커니즘