유닉스에서는 그룹을 소유하고 있더라도 파일의 그룹 소유자를 해당 그룹으로 변경하려면 그룹의 구성원이어야 한다는 것을 알고 있지만 누군가 그 이유를 말해 줄 수 있습니까? 해당 그룹이 귀하의 구성원이 아닌 경우 파일에 대한 특별 액세스 권한을 가진 그룹을 변경할 수 없는 이유를 이해할 수 없습니다.
답변1
악의적으로 또는 실수로 파일의 소유권을 다른 그룹으로 변경할 수 있는 경우 실제 관계가 없는 다른 사람들에게 피해를 입힐 수 있기 때문입니다. 그러나 귀하가 그룹의 구성원이라면 이는 귀하가 참여할 권리가 있음을 의미합니다. 이 그룹에 해를 끼치는 것이 무엇이든 결국에는 당신에게도 해를 끼칠 수 있습니다. 이는 루트만이 파일 소유권을 한 사용자에서 다른 사용자로 변경할 수 있는 것과 동일한 원칙입니다. 이는 안전 조치입니다.
답변2
@Melburslan 그의 설명은 정확하지만 핵심 요소도 누락되었습니다. 몫. 그룹 멤버십을 자신이 소유하지 않은 것으로 변경할 수 있는 경우 가능한 할당량 제한을 효과적으로 우회할 수 있습니다. 또한 이는 "setgid" 비트의 보안 허점을 방지합니다. 즉, 파일에 "setgid" 비트를 설정한 다음 구성원이 아닌 관리 권한이 있는 그룹으로 그룹을 변경하면 일반적으로 권한이 없는 프로세스를 시작할 수 있습니다.