[1] 운영체제의 권한 관리
(1) 윈도우의 권한 관리
: 윈도우는 NTFS(New Technology File System)를 기본 파일 시스템으로 사용
1) NTFS의 권한 종류
: 그룹 또는 개별 사용자에 대해 설정할 수 있는 권한의 6가지 종류
① 모든 권한: 디렉터리에 대한 접근 권한과 소유권을 변경하고 하위에 있는 디렉터리와 파일을 삭제할 수 있음
② 수정: 디렉터리 삭제 가능. 읽기, 실행, 쓰기 권한이 주어진 것과 같음
③ 읽기 및 실행: 읽기를 수행하고 디렉터리나 파일을 옮길 수 있음
④ 디렉터리 내용 보기: 디렉터리 내의 파일이나 디렉터리의 이름을 볼 수 있음
⑤ 읽기: 디렉터리의 내용을 읽을 수만 있음
⑥ 쓰기: 해당 디렉터리에 하위 디렉터리와 파일을 생성하고 소유권이나 접근 권한의 설정 내용을 확인할 수 있음
2) 윈도우의 권한에 적용되는 3가지 규칙
■ 규칙1. 접근 권한이 누적된다.
: 개별 사용자가 여러 그룹에 속하면 특정 파일이나 디렉터리에 대한 접근 권한이 누적되어 속해있는 그룹에서 받은 권한을 모두 가짐
■ 규칙2. 파일 접근 권한이 디렉터리 접근 권한보다 우선한다.
: 파일을 포함하고 있는 디렉터리에 대한 접근 권한보다 파일에 대한 접근 권한이 우선함
■ 규칙3. '허용'보다 '거부'가 우선한다.
: 윈도우에서는 허용 권한 없음이 거부를 의미하지 않으며, 허용과 거부 중 반드시 하나만 선택할 필요가 없고 권한이 중첩되어 적용되므로 하나가 거부 설정이 되어있으면 허용보다 거부를 우선함
(2) 유닉스의 권한 관리
: 유닉스는 파일과 디렉터리에 대한 권한 설정 방법이 같음
ls -al
: 임의의 디렉터리에서 디렉터리의 내용 확인
1) etc 항목
| drw-r-xr-x | 117 | root | root | 12288 | Jul | 28 | 06:42 | etc |
| ① | ② | ③ | ||||||
| ① | 파일의 종류와 권한 | |||||||
| ② | 파일의 소유자 | |||||||
| ③ | 파일에 대한 그룹 | |||||||
2) ① 부분의 세분화
| - | rw- | r-- | r-- |
| ⓐ | ⓑ | ⓒ | ⓓ |
| ⓐ | 파일 및 디렉터리의 종류 - : 일반 파일 d : 디렉터리 l : 링크 |
||
| ⓑ | 파일 및 디렉터리 소유자의 권한 | ||
| ⓒ | 파일 및 디렉터리 그룹의 권한 | ||
| ⓓ | 해당 파일 및 디렉터리의 소유자도 그룹도 아닌제 3의 사용자에 대한 권한 | ||
- 읽기: r, read, 4
- 쓰기: w, write, 2
- 실행: x, execute, 1
[2] 데이터베이스의 권한 관리
(1) 질의문에 대한 권한 관리
: 질의문(query/쿼리: DDL, DML, DCL), DDL과 DML은 DCL에 의해 허용 또는 거부
1) 데이터베이스 질의문 종류
① DDL
: Data Definition Language, 데이터 구조를 정의하는 질의문
| 구분 | 설명 |
| CREATE | 데이터베이스 객체 생성 |
| DROP | 데이터베이스 객체 삭제 |
| ALTER | 기존 데이터베이스 객체 재정의 |
② DML
: Data Manipulation Language, 데이터의 검색과 수정 등을 처리하는 질의문
| 구분 | 설명 |
| SELECT | 사용자가 테이블이나 뷰에서 입력한 데이터를 조회 |
| INSERT | 데이터베이스 객체에 데이터 입력 |
| UPDATE | 기존 데이터베이스 객체에 있는 데이터 수정 |
| DELETE | 데이터베이스 객체에 있는 데이터 삭제 |
③ DCL
: Data Control Language, 권한 관리를 위한 질의문
| 구분 | 설명 |
| GRANT | 데이터베이스 객체에 권한 부여 |
| DENY | 사용자에게 해당 권한 금지 명령 |
| REVOKE | 이미 부여된 데이터베이스 객체의 권한을 취소 |
2) DCL 명령에 의한 권한 부여 구조
(2) 뷰에 대한 권한 관리
1) 뷰의 정의
: 참조 테이블의 각 열에 대해 사용자의 권한을 설정하는 것이 불편해서 만든 가상 테이블
2) 뷰를 사용한 테이블에 대한 접근 제어
(3) 응용 프로그램의 권한 관리
: 응용 프로그램마다 조금씩 다른 형태를 가지고 있음. 윈도우의 IIS(Internet Information Services: 웹 서비스 제공)에서는 실행 프로세스 권한을 별도로 만들어 사용하고, 유닉스에서는 nobody와 같이 제한된 계정 권한을 사용해야 함
'📋3-2 > 📌정보보안' 카테고리의 다른 글
| [정보 보안] 정보 보안 개론 2장 07. 취약점 관리 (0) | 2021.10.16 |
|---|---|
| [정보 보안] 정보 보안 개론 2장 06. 로그 관리 (0) | 2021.10.12 |
| [정보 보안] 정보 보안 개론 2장 04. 접근 제어 (0) | 2021.10.11 |
| [정보 보안] 정보 보안 개론 2장 03. 세션 관리 (0) | 2021.10.11 |
| [정보 보안] 정보 보안 개론 2장 02. 계정 관리 (0) | 2021.10.11 |
댓글