권한(RUID, SUID, EUID) & Sticky Bit

<aside> 💡

일반적으로 파일 및 디렉토리의 권한을 표기할 때 3자리 숫자로 표현한다.(ex : 777, 755 등)

</aside>

 

SUID와 SGID, sticky bit는 기존 퍼미션(rwx)에서 실행 및 삭제 권한을 보완하는 요소이다. SUID와 SGID는 실행될 때 실행자의 ID로 실행되는 것이 아니라 소유자나 소유 그룹의 ID로 실행되게… sticky bit는 파일에 대해서 퍼미션과 관계없이 소유자만 삭제 가능하게 할 때 디렉터리에 other 권한을 제한한다.

 

이러한 권한의 체계가 만들어진 이유는, 특수 권한을 이용 시 다른 계정에서 읽기, 쓰기, 실행 권한을 줄 수 있으며,

다른 계정(A)에서 만든 파일을 내 계정(B)에서 실행하는 동안 A의 권한을 얻어 해당 파일을 읽거나 쓰거나 실행하는 것이 가능해진다. (SetUID와 SetGID에 해당하는 내용이다.)

특수 권한에는 SUID, SGID, Sticky bit가 있다.

---

RUID (Real User ID)

단순한 유저명이 아니라 “초기 로그인한 사용자의 ID”임.

이는 시스템이 사용자의 실제 신원을 추적하고, 어떤 사용자가 어떤 작업을 수행했는지 로그를 남길 수 있도록 하기 위함임.

     임의 변경 시엔 Mallory에 의한 권한 탈취 및 작업 흔적을 숨기는 데 악용될 수 있음.

 

예외적으로, setuid(SUID)를 통한 시스템 호출과 suid flag가 설정된 실행파일을 실행할 때 RUID가 파일 소유자의 UID로 변경될 수 있음.

 

su - 즉, su --login은 전환된 계정의 환경 변수와 초기 설정까지는 불러오지만 여전히 RUID는 변경되지 않음.

     프로세스를 실행시킨 실제 사용자의 ID로 user가 시스템에 로그인할 때 할당. 대부분은 변경되지 않고 유지됨. 즉, user가 process를 실행하거나 타 작업을 수행해도 RUID는 유지.

 

 

<aside> 💡

su와 su -의 차이

su는 단순히 사용자 전환을 수행.

기존 사용자의 환경 변수와 경로(PATH)가 그대로 유지됨.

즉, EUID만 바뀌고 기존 환경은 유지됨.

su -는 로그인 쉘 환경을 초기화하여 전환된 사용자의 전체 환경을 로드함.

전환된 사용자의 환경 변수, 초기화 스크립트(~/.bashrc, ~/.bash_profile)가 로드됨.

전환된 사용자의 기본 경로(PATH)도 적용됨.

새로 해당 사용자로 로그인한 것과 동일한 환경을 제공.

사용자의 홈 디렉토리로 이동하며, 전환된 계정의 기본 설정을 사용.

</aside>

 

 

SUID (Set-user-ID) 표기값: 4000

특정 사용자의 권한이 있어야만 실행을 할 수 있는 파일의 경우, 그 권한을 일시적으로 파일을 실행하는 일반 사용자들에게 부여하기 위해 사용 한다.

 

특수한 접근 권한으로, 파일을 실행할 때 실행 파일의 소유자 권한으로 실행되게 함.

 

명확히는, 루트가 아닌 사용자들이 잠시동안 루트 등의 다른 계정의 권한을 빌려서 프로그램을 실행할 필요가 있을 때를 대비하여 부여하는 권한 설정.

    예를 들어, root 권한으로 설정된 실행 파일을 일반 사용자가 실행하면 이 프로세스는 root의 EUID로 실행됨

 

이를 통해 프로그램은 필요 시 높은 권한을 가지고 작업을 수행할 수 있음.

 

chmod u+s 혹은 4000을 통해 부여 가능 (o+s는 이상함.)

 

 

SGID (Set-group-ID) 표기값: 2000

SUID와 같이 잠시동안 다른 그룹의 권한으로 프로그램을 실행할 필요가 있을 때를 대비하여 부여하는 권한 설정.

chmod g+s 혹은 2000을 통해 부여가능

 

SetGID 설정 시 그룹 권한 내의 실행 권한 자리에 x가 아닌 s가 오게 됨. (이건 suid도 오지 않나…?)

 

 

EUID (Effective User ID)

프로세스가 시스템 리소스에 접근할 때 사용하는 ID.

EUID는 특히 파일이나 다른 시스템 리소스에 접근 권한을 체크할 때 중요하게 사용됨. 즉, 다르게 말하면 현재 사용되고 있는 유저의 ID.

 

만약 어떤 프로그램이 SUID 비트가 설정된 상태로 실행된다면, 그 프로그램의 EUID는 프로그램의 소유자 ID로 설정됨.

 

유지되지 않는 경우는 su <유저명>등을 통해 유저 자체를 바꾼 경우

.

 

Sticky Bit = 공유모드, 표기값: 1000

공유 폴더의 경우 소유자와 소유그룹이 root이지만, 다른 User도 읽고 쓸 수 있는 경우가 있는데, 이유는 Permission이 t로 설정되어있기 때문이다.

 

sticky bit가 적용된 디렉터리에서 파일을 생성하면 해당 파일은 생성한 사람의 소유가 되며 소유자와 root 계정만이 해당 파일에 대한 삭제와 수정에 대한 권한을 가진다. sticky bit가 적용된 디렉터리는 root가 아닌 일반 사용자들은 파일을 삭제하거나 이름을 변경하지는 못하고, 파일이나 디렉터리의 생성은 가능

 

chmod o+t, u+t 혹은 1000 를 사용하여 Sticky Bit을 설정할 수 있다.

제거는 o-t / u-t 혹은 000

     이때 o는 others이고, u는 user이다.

의미상으로는 Sticky Bit는 **다른 사용자들(others)**의 파일 삭제 권한을 제한하는 데 사용되므로, 의미적으로 o+t가 더 적합하다.

즉, “공유 디렉토리”와 같이 특정 디렉토리를 누구나 자유롭게 사용할 수 있게 하기 위해 Sticky Bit가 사용됨.

Sticky Bit가 설정된 디렉토리에 파일을 생성하면 해당 파일은 생성한 사람의 소유가 되며, 오직 소유자와 root에게만 해당 파일에 대한 삭제 및 변경의 권한이 있다. 공유디렉토리로 사용하고자 할 때 쓰인다.

 

 

참고로 SetUID, SetGID, Sticky Bit는 해당 자리의 퍼미션에 실행퍼미션이 있어야만 적용이 된다.

가령 SUID (4000)는 단독으로 4000만 지정하면 실행 비트가 없으므로, 파일이 실행되지 않아 SUID 효과가 나타나지 않기에,

보통은 4000과 사용자 실행 비트(예: 0700 또는 0100 등)를 합쳐 4700, 4100 등으로 설정한다.

다르게 말하면 4는 100, 300, 700처럼 사용하는 편이며

2는 010, 030, 070, 1은 001, 003, 007처럼 사용하는 편이다.

어차피 다른 자리는 설정해봤자 의미가 없기 때문이다.

특수 권한은 일반 퍼미션과 결합하여 사용되며, 보통 자신이 적용될 사용자/그룹/기타에 맞는 실행 퍼미션과 함께 설정하는 것이 올바른 사용법이다.

만약 특수퍼미션이 대문자로 표기될 경우 이는 특수퍼미션이 설정은 되어있지만 일반퍼미션 자리에 실행퍼미션이 설정되어있지 않기 때문이다.

즉, 2, 4, 6과 같은 execute 권한(1)은 적용되어있지 않은 경우에 대문자가 표기된다.

---

• 특수권한 파일 검색하기

  $ find [검색할 디렉토리 경로] -perm [접근권한값]
  $ find [검색할 디렉토리 경로] -perm [접근권한값] -ls
  

  • ls를 옵션으로 붙여주면 검색 결과를 ls명령의 형태로 출력해준다.
  • perm 옵션에서도 -값과 +값을 입력할 수 있다.
  예를 들어 -을 입력하면 입력한 권한이 설정된 파일을 모두 검색하고아래는 perm 명령어의 사용법으로, 1번에서 3번으로 갈수록 검색 결과가 더 넓어진다는 것을 알 수 있다.
  1. -perm modemode로 명시한 권한과 정확히 일치하는 파일을 검색 한다.
  2. -perm 6000으로 검색 시 이 때 mode를 bit로 표현하면 110/000/000/000 이 된다. 왼쪽 bit부터 인덱싱을 해서 0번째 비트, 1번째 비트, ... , 11번째 비트로 표기한다고 하자. 이 옵션으로 파일이 검색되기 위해서는, 1) 파일 권한의 0번째 ~ 11번째 비트가 mode와 정확히 일치해야 한다.
  3. File's permission bits are exactly mode (octal or symbolic).
  4. -perm -modemode로 명시한 권한을 모두 포함하는 파일을 검색 한다.

     -perm -6000으로 검색 시 이 때 mode를 bit로 표현하면 110/000/000/000 이 된다.
     왼쪽 bit부터 인덱싱을 해서 0번째 비트, 1번째 비트, ... , 11번째 비트로 표기한다고 하자.
     
     이 옵션으로 파일이 검색되기 위해서는,
     1) 파일 권한의 0번째 bit와 1번째 비트가 모두 1이어야 한다. (and)
     2) 나머지 위치의 bit들은 어떤 값을 가지던 검색 결과에 포함 된다.
     

  5. 검색되는 파일은 mode로 명시한 권한을 최소한 모두 가지고있으며, 그 외에도 추가적인 권한을 가지고 있을 수 있다.
  6. All of the permission bits mode are set for the file.
  7. -perm /modemode로 명시한 권한을 하나 이상 포함하는 파일을 검색 한다.

     -perm /6000으로 검색 시 이 때 mode를 bit로 표현하면 110/000/000/000 이 된다.
     왼쪽 bit부터 인덱싱을 해서 0번째 비트, 1번째 비트, ... , 11번째 비트로 표기한다고 하자.
     
     이 옵션으로 파일이 검색되기 위해서는,
     1) 파일 권한의 0번째 bit 또는 1번째 bit가 1이어야 한다. (or)
     2) 나머지 위치의 bit들은 어떤 값을 가지던 검색 결과에 포함 된다.
     

  8. 검색되는 파일은 mode로 명시한 권한을 최소한 1개는가지고 있으며, 그 외에도 추가적인 권한을 가지고 있을 수 있다.
  9. Any of the permission bits mode are set for the file.
  (참고로 원래는 -perm +mode 가 3번에 해당되는 옵션이었는데, +mode 대신 /mode를 사용하는 것으로 바뀌었다고 한다)
• +을 입력하면 입력한 권한만 설정된 파일만 검색한다.
• find 명령을 이용하여 특수권한이 설정된 파일과 디렉토리를 검색할 수 있다.
• 권한 부여 (chmod)

8진수 권한 표기는 다음과 같은 구조를 가집니다:

1. 특수 권한 비트 (첫 번째 자리)
   • 4xxx: suid (Set User ID)
   • 2xxx: sgid (Set Group ID)
   • 1xxx: Sticky Bit
2. 기본 권한 비트 (나머지 세 자리)
   • xxx는 소유자, 그룹, 기타 사용자(others)의 읽기, 쓰기, 실행 권한을 나타냅니다.
   • 각 자리는 3비트로 구성되며, 권한은 다음과 같이 표현됩니다:
     • 4: 읽기 (read, r)
     • 2: 쓰기 (write, w)
     • 1: 실행 (execute, x)
     • 0: 권한 없음

7 (4+2+1): 읽기, 쓰기, 실행 (rwx)
6 (4+2): 읽기, 쓰기 (rw-)
5 (4+1): 읽기, 실행 (r-x)
4 (4): 읽기 (r--)
3 (2+1): 쓰기, 실행 (-wx)
2 (2): 쓰기 (-w-)
1 (1): 실행 (--x)
0: 없음 (---)

<aside> 💡

suid 설정 예시

1. chmod 4755 filename

• 4: suid 설정
• 755:
  • 7 (rwx): 소유자 권한 (읽기, 쓰기, 실행)
  • 5 (r-x): 그룹 권한 (읽기, 실행)
  • 5 (r-x): 기타 사용자 권한 (읽기, 실행)
• 결과: rwsr-xr-x
  • s: suid가 설정되어 실행 시 파일 소유자의 권한으로 실행

2. chmod 4711 filename

• 4: suid 설정
• 711:
  • 7 (rwx): 소유자 권한
  • 1 (-x): 그룹 권한 (실행만)
  • 1 (-x): 기타 사용자 권한 (실행만)
• 결과: rws--x--x
  • 이 설정은 파일을 실행할 수만 있게 하며, 실행 시 파일 소유자의 권한을 사용

3. chmod 4000 filename

• 4: suid 설정
• 000:
  • 0 (--): 소유자 권한 없음
  • 0 (--): 그룹 권한 없음
  • 0 (--): 기타 사용자 권한 없음
• 결과: -S------
  • S: 실행 권한이 없는 상태에서 suid가 설정됨 (비정상적인 설정)

---

특수 권한 비트 조합

• 4755: rwsr-xr-x (suid + rwxr-xr-x)
• 2755: rwxr-sr-x (sgid + rwxr-xr-x)
• 1755: rwxr-xr-t (Sticky Bit + rwxr-xr-x)
• 6755: rwsr-sr-x (suid + sgid + rwxr-xr-x)
• 5755: rwsr-xr-t (suid + Sticky Bit + rwxr-xr-x)
• 7755: rwsr-sr-t (suid + sgid + Sticky Bit + rwxr-xr-x) </aside>