반응형
User Authentication
- 사용자 인증
등록된 사용자를 증명해준다.
주로 ID/PW
첫번째 보안 수단이다.
인증에 기반하여 접근권한을 부여한다. - 기기 인증
client가 server에게 접속할 수 있는 권한을 가진 기기라고 증명해준다.
따라서, 아무나 server에 접근할 수 없다.
ex) 인터넷 뱅킹시 특정 기기 등록하는 경우 - linux에서
- /etc/passwd
login:x:userid:groupid:gecos:homedir:shell - root:x:0:0:root:/root:/bin/bash
- /etc/shadow
login:password:password aging fields - root:pB3ijlksa28hdkl93h:13904:0:99999:7:::
(유저네임)(암호화된 PW)(PW가 언제 변경되었는지 1970.1.1기준)(99999일 안에는 변경해야)(이후에 얼마나 지나야 변경가능?) - /etc/groups
groupname:grouppassword:groupid:secondarymembers - daemon:x:2:root,bin,daemon
Password가 X로 표시된 이유는 초창기에는 저 영역에 PW가 있었지만, /etc/shadow 위치로 옮겼고, 암호화된 PW가 저장됨 따라서 아무나 접근 할 수 없음,
Access Control
관리하는 자원이 많다. 따라서 이 자원을 어떻게 접근하고 누가 접근할 것인지 등 설정해주어야함
유저는 주체이고 자원은 객체가 된다.
OS가 해야할 중요한 일 중 하나는 log를 남기는 것이다.(시스템 자원에 대한 유저 접근을 기록한다.)
- DAC
Discretionary Access Control : 임의 접근 제어
But, 문제가 있음 => 바이러스나 멀웨이들이 permission 수정 가능하다.
공유적인 측면에서는 좋으나, 보안적인 측면에서는 좋지 않음 - MAC
Mandatory Access Control : 강제 접근 제어
악성코드가 permission 수정 불가하다.
공유적인 측면에서는 좋지 않으나, 보안적인 측면에서는 좋음 - Priviledged Users
- Root와 Normal의 차이?
- root : 권한을 가진 사용자(root만이 쓸 수 있는 명령어 따로 있음)
User mode <-> Kernel mode
특권 명령어 X 특별한 권한이 있는 명령어 사용가능
Normal user <-> Root user
쓸 수 있는 명령어 제한 권한 가짐, DAC 기반
(ex) sudo, 디스크 포맷 X) File 권한 임의 변경 가능, 자원 접근 마음대로 함
Secure OS는 Super user 개념이 없다 why? Super User가 공격자가 되었을때의 보호기법이 없기 때문
File Permissions
- 읽기 보호 : 기밀성 제공 -> read를 막음으로써 암호화가 필요없어도됨
- 쓰기 보호 : 무결성 제공 -> write를 막음으로써 무결성 제공
- 명령어
id : 현재 로그인한 계정 정보 출력
touch : 시간 정보 현재로 변경(날짜 정보), 파일이 없을 결우 새 파일 만듦 - File permission bit는 9bit? -> 12bit이다
- Directory 권한이 X? 실행이 아니라 디렉토리 접근 권한이다. 디렉토리가 접근 불가능하면 디렉토리 내 파일에 접근이 불가하다.
728x90
반응형
'공부 > 보안' 카테고리의 다른 글
set-UID Privileged programs (0) | 2020.10.15 |
---|---|
운영체제보안 4 (0) | 2020.09.22 |
운영체제 보안 2 (0) | 2020.09.10 |
운영체제 보안 1 (0) | 2020.09.10 |
사이버 킬체인 연습(자동차 해킹 예시) (0) | 2020.07.17 |