다른방법이 없는걸로 알고 있습니다.
일단 각 유저를 group별로 나누고 접근을 원하지 않는 디렉토리마다 chmod등으로
접근권한을 제어하는 방법을 사용하는걸로 알고 있습니다.
특히나 /usr/sbin이나 /sbin /boot등은 절대적으로 접근을 원천봉쇄하고
그 하위 디렉토리들도 중요도에따라서 권한을 바꿔야합니다.
각종 웹호스트업체들은 심지어 /usr/bin에있는 명령어들중에 top, ps, od등등
도 막아놓는걸로 알고 있습니다.
만일 원치않는 디렉토리로의 이동을 제어하고 싶다면 다른 방법은 없는걸로 알고
있습니다.
아니면... shell프로그램 소스를 가져다가 홈 디렉토리 이외에는 벗어나게 할 수
없도록 프로그램을 수정하는 방법도 있겠지만 변수가 너무 많아서... :-)
모든 유저에게 default 로 실행되는 파일이 있다면
umask 272 로 해결이 되지 않을까 합니다.
그러면 이후로 생기는 파일마다 권한이 505 내지는 404 이 됩니다.
(umask 272 하면 본래는 505로 생성되어야 하는데 자꾸 404로 생성되네요왜그런지 아시는분 계시나요??)
같은 그룹이라도 볼수 없겠지요.
권한
다른방법이 없는걸로 알고 있습니다.
일단 각 유저를 group별로 나누고 접근을 원하지 않는 디렉토리마다 chmod등으로
접근권한을 제어하는 방법을 사용하는걸로 알고 있습니다.
특히나 /usr/sbin이나 /sbin /boot등은 절대적으로 접근을 원천봉쇄하고
그 하위 디렉토리들도 중요도에따라서 권한을 바꿔야합니다.
각종 웹호스트업체들은 심지어 /usr/bin에있는 명령어들중에 top, ps, od등등
도 막아놓는걸로 알고 있습니다.
만일 원치않는 디렉토리로의 이동을 제어하고 싶다면 다른 방법은 없는걸로 알고
있습니다.
아니면... shell프로그램 소스를 가져다가 홈 디렉토리 이외에는 벗어나게 할 수
없도록 프로그램을 수정하는 방법도 있겠지만 변수가 너무 많아서... :-)
------------------------------
좋은 하루 되세요.
모든 유저에게 default 로 실행되는 파일이 있다면umask 27
모든 유저에게 default 로 실행되는 파일이 있다면
umask 272 로 해결이 되지 않을까 합니다.
그러면 이후로 생기는 파일마다 권한이 505 내지는 404 이 됩니다.
(umask 272 하면 본래는 505로 생성되어야 하는데 자꾸 404로 생성되네요왜그런지 아시는분 계시나요??)
같은 그룹이라도 볼수 없겠지요.
Re: 일반 계정이 ssh 로 로그인 했을때
로긴할 때 홈 디렉토리로 chroot를 시켜주면 될 수도 있겠네요. 대신에 /usr, /lib, /etc 등 그 사람이 쓸 프로그램들을 모조리 홈 밑에도 복사해주고 셸을 띄워줘야겠지요.
여기서 조금 까다로운 문제는.. chroot가 대부분 super-user만 할 수 있다는 것인데, setuid를 적절히 활용하면 피해갈 수 있을 것도 같네요.
그런데 그냥 앞서 다른 분이 올리신 글에서처럼 기본 umask를 주는게 좋아보입니다. 물론 사용자가 umask를 더 헐겁게 만들어버리면 무용지물이긴 하지만요..
505? 404?
디렉토리를 생성할 때는 777에 umask만 적용하지만 파일을 생성할 때는 (~111)을 & 한다고 하네요..
댓글 달기