WindyHana's Solanara: ACL, SUDO, RBAC

Category: 솔라리스
Description: 솔라리스 10의 접근 제어(UFS, ZFS)및 롤기반접근제어 대해 설명
Update: 2009-05-18
You can found last updated documents at http://www.solanara.net/
@solanara(solanara on Twitter)
Sorry, for Korean only.

ACL(Access Control List)

Access Control List, 굳이 한역하자면 '접근제어목록'이 된다. chmod, chown, chgrp 명령을 이용한 고전적인 파일 접근 설정 방법에서 조금더 직관적인 파일 접근 권한 설정을 위해 나왔다. 사용자단위로 파일/디렉토리 권한 설정하기 쉽지만, 실행속도는 고전적인 방법 보다는 당연히 느리다. (고전적인 방법으로 한번 확인해보고 다음에 ACL확인해본다)
ACL설정에 대한 자세한 내용은 setacl(1) MAN페이지를 참고하자. 이 문서에는 매우 초보적인 수준만 다룬다.

UFS에서의 ACL

※ 아래의 예제에서 windy 는 staff 그룹의 사용자이다. file1, file2에 대해서 접근 권한을 주고 안주고를 확인할 것이다.

root@wl ~/test # vi file1
FILE1
root@wl ~/test # ls -l 1)
-rw-r--r--   1 root     other          6  3월 19일  16:17 file1
root@wl ~/test # getfacl file1 2)
# file: file1
# owner: root
# group: other
user::rw-
group::r--              #effective:r--
mask:r--
other:r--
root@wl ~/test # chmod 440 file1 3)
root@wl ~/test # ls -l
-r--r-----   1 root     other          6  3월 19일  16:17 file1
root@wl ~/test # setfacl -m u:windy:r-- file1 4)
root@wl ~/test # ls -l 5)
-r--r-----+  1 root     other          6  3월 19일  16:17 file1
root@wl ~/test # getfacl file1 6)
# file: file1
# owner: root
# group: other
user::r--
user:windy:r--          #effective:r--
group::r--              #effective:r--
mask:r--
other:---
root@wl ~/test # setfacl -d u:windy:r-- file1 7)
root@wl ~/test # vi file2
FILE2
root@wl ~/test # getfacl file1 | setfacl -f - file2 8)

1) file1을 생성하고 권한을 확인한다. root:other/644 권한이다. 이 상태에서 windy사용자는 이 파일을 읽을 수 있다.
2) getfacl 명령을 이용해 파일 권한을 확인해본다. acl을 이용해 설정하지 않은 상태이다.
3) file1을 440권한으로 변경한후 확인한다. 이 상태에서는 windy사용자는 이 파일을 읽을 수 없다.
4) file1의 acl을 [u:windy:r--]으로 수정(-m)한다. [u:windy:r--]의 의미는 windy라는 유저(u)에게 [r--]권한(읽기권한)을 준다는 뜻이다. 읽기/쓰기/실행권한을 주고 싶다면 [rwx]을 사용하면 된다. 사용자(u)외에 그룹(g)을 지정할 수도 있다. [u:windy:r--]부분을 ACL Entry이라 하는데 자세한 사항은 MAN페이지를 참고한다. 이 상태에서 windy사용자는 이 파일을 읽을 수 있다.
5) 권한필드에 + 가 붙은것을 알 수 있다. ACL이 있다는 뜻이다.
6) 변경된 부분을 확인할 수 있다.
7) 아까준 권한을 삭제한다. 이 상태에서는 windy사용자는 이 파일을 읽을 수 없다.
8) file1의 접근 정보(permissions과 acl정보)을 file2으로 복사하는 일종의 팁이다

ZFS에서의 ACL

ZFS에서 getfacl 명령을 주면 아래와 유사한 메시지를 볼 수 있다.

root@wl ~/test # getfacl file1
File system doesn't support aclent_t style ACL's.
See acl(5) for more information on Solaris ACL support.
root@wl ~/test #

ZFS가 도입되면서 ACL이 변경되었다. 솔라리스의 ACL은 POSIX 기반이지만, ZFS에서의 ACL은 오히려 NFSv4의 ACL과 유사하다. NT와도 비슷한 방법이다. ZFS의 ACL은 chmod 명령을 이용해 설정한다. 자세한 내용은 Solaris ZFS Administration Guide - Chapter 8 Using ACLs to Protect ZFS Files을 참조한다.

root@wl ~ # cat file1
TEST
root@wl ~ # ls -v file1
-rw-r--r--   1 root     root           5  5월 18일  18:21 file1
     0:owner@:execute:deny
     1:owner@:read_data/write_data/append_data/write_xattr/write_attributes
         /write_acl/write_owner:allow
     2:group@:write_data/append_data/execute:deny
     3:group@:read_data:allow
     4:everyone@:write_data/append_data/write_xattr/execute/write_attributes
         /write_acl/write_owner:deny
     5:everyone@:read_data/read_xattr/read_attributes/read_acl/synchronize
         :allow

										windy@wl ~ $ cat file1
										TEST

root@wl ~ # chmod 600 file1
root@wl ~ # ls -v file1
-rw-------   1 root     root           5  5월 18일  18:21 file1
     0:owner@:execute:deny
     1:owner@:read_data/write_data/append_data/write_xattr/write_attributes
         /write_acl/write_owner:allow
     2:group@:read_data/write_data/append_data/execute:deny
     3:group@::allow
     4:everyone@:read_data/write_data/append_data/write_xattr/execute
         /write_attributes/write_acl/write_owner:deny
     5:everyone@:read_xattr/read_attributes/read_acl/synchronize:allow

										windy@wl ~ $ cat file1
										cat: file1을(를) 열 수 없습니다

root@wl ~ # chmod A+user:windy:read_data/write_data/execute:allow file1
root@wl ~ # ls -v file1
-rw-------+  1 root     root           5  5월 18일  18:21 file1
     0:user:windy:read_data/write_data/execute:allow
     1:owner@:execute:deny
     2:owner@:read_data/write_data/append_data/write_xattr/write_attributes
         /write_acl/write_owner:allow
     3:group@:read_data/write_data/append_data/execute:deny
     4:group@::allow
     5:everyone@:read_data/write_data/append_data/write_xattr/execute
         /write_attributes/write_acl/write_owner:deny
     6:everyone@:read_xattr/read_attributes/read_acl/synchronize:allow

										windy@wl ~ $ cat file1
										TEST

root@wl ~ # chmod A0- file1
root@wl ~ # ls -v file1
-rw-------   1 root     root           5  5월 18일  18:21 file1
     0:owner@:execute:deny
     1:owner@:read_data/write_data/append_data/write_xattr/write_attributes
         /write_acl/write_owner:allow
     2:group@:read_data/write_data/append_data/execute:deny
     3:group@::allow
     4:everyone@:read_data/write_data/append_data/write_xattr/execute
         /write_attributes/write_acl/write_owner:deny
     5:everyone@:read_xattr/read_attributes/read_acl/synchronize:allow

										windy@wl ~ $ cat file1
										cat: file1을(를) 열 수 없습니다

RBAC(Role-Based Access Control)

[롤 기반 접근 제어] 줄여서 RBAC라 한다. 루트 권한의 일부를 일반 사용자에게 주는 것이다.
예를 들면 아파치라는 웹 서버의 시작은 루트로만 가능하다. 그러나 개발자들도 가끔 재시작을 원하는 경우가 있다. 그렇다고 개발자들에게 루트 권한을 주기엔 부담이 있다. 이때 RBAC를 이용하면 된다.
솔라리스 8에 새롭게 선보였지만, 그 이전부터 sudo라는 오픈 소스 프로그램으로 구현되었던 것이다. 여기서는 두가지 모두 다룬다. 실제로 오랜 역사로 인해, 리눅스나 BSD를 사용하던 사람들에겐 더 쉽다는 이유로 sudo가 더 많이 사용되고 있는 실정이다. RBAC는 Trusted Solaris 의 일환으로 미국방성의 요구로 인해 개발한것으로 알고 있다.

sudo

공식홈페이지: http://www.sudo.ws/
sudo는 [su 'do']라는 의미를 지닌다. su는 superuser라는 뜻. 즉 슈퍼유저가 하는 일을 (일반 사용자가) 한다는 뜻이다.

설치

sudo에 버그가 있는 경우 시스템에 치명적일 수 있다. (파일 소유자가 root이며, setuid가 설정되어있는 프로그램이다) 따라서 패치가 나왔으면 즉시 적용해주는 것이 좋다.

root@wl ~ # wget ftp://ftp.sudo.ws/pub/sudo/sudo-1.6.9p15.tar.gz
root@wl ~ # tar xvfz sudo-1.6.9p15.tar.gz
root@wl ~ # cd sudo-1.6.9p15
root@wl ~/sudo-1.6.9p15 # ./configure
root@wl ~/sudo-1.6.9p15 # make
root@wl ~/sudo-1.6.9p15 # make install

사용

아래의 예제는 [admin]사용자에게 [root]로 [/usr/local/apache2/bin/apachectl]을 실행시킬 권한을 줄 것이다.

root@wl ~ # vi /etc/sudoers 1)
root    ALL=(ALL) ALL
admin   ALL=/usr/local/apache2/bin/apachectl 
root@wl ~ # su - admin 2)
admin@wl ~ $ sudo -l 3)
Password:admin사용자의 패스워드를 입력한다
User admin may run the following commands on this host:
    (root) /usr/local/apache2/bin/apachectl
admin@wl ~ $ sudo /usr/local/apache2/bin/apachectl restart
We trust you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:

    #1) Respect the privacy of others.
    #2) Think before you type.
    #3) With great power comes great responsibility.

Password:admin사용자의 패스워드를 입력한다
admin@wl ~ $ man -M /usr/local/man sudoers 4)

1) sudoers 파일을 수정한다.
2) admin 계정으로 로그인 한다.
3) 현재 계정이 가지고 있는 sudo의 권한을 볼 수 있다.
4) man페이지에 더 자세한 내용이 나와있다.
※ sudoers 파일의 기본적인 문법은 [사용자명 호스트명=실행파일명] 이다. 호스트명과 실행파일명에 [ALL]을 써 주면 모든 호스트/모든 실행파일이라는 뜻이다. 즉 [admin ALL=/usr/local/apache2/bin/apachectl]의 내용은 admin이란 사용자는 (현재 호스트를 포함한) 모든 호스트에서 /usr/local/apache2/bin/apachectl 을 루트권한으로 실행시킬 수 있다는 뜻이다. 호스트명을 써주는 필드가 있다는건 하나의 설정 파일을 그대로 복사해 여러 호스트에 적용하기 위함이다. 한개의 파일에 모든 설정을 하는 것은 sudo 의 장점이자 단점일 것이다. 또한 솔라리스뿐만 아니라, 리눅스, BSD용도 있으니, 여러 OS를 사용해야 하는 서버 관리자에겐 sudo 만한 툴이 없다.
※ sudo 에 실패한 로그는 관련 설정을 바꾸지 않았다면 alert로 전송되기 때문에 /var/adm/messages 에 쌓인다. 성공한 로그는 notice 로 전송되는데 솔라리스에서는 기본적으로 이는 저장하지 않는다. 이 내용은 sudoers 에서 수정할 수 있다.

참고: http://lumitech.tistory.com/entry/sudoAndSudoer

RBAC on Solaris

sudo를 쓸 수 없는 경우 RBAC를 통해 같은 일을 할 수 있다.
아래의 예제는 [admin]사용자에게 [root]로 [/usr/local/apache2/bin/apachectl]을 실행시킬 권한을 줄 것이다. 위의 sudo와 비교해보는 것도 좋을 것이다.
자세한 내용은 RBAC in the Solaris™ Operating Environment를 참조하자.

root@wl ~ # vi /etc/security/exec_attr 1)
Apache Management:suser:cmd:::/usr/local/apache2/bin/apachectl:uid=0
root@wl ~ # vi /etc/security/prof_attr 2)
Apache Management:::Manage the Apache web server:
root@wl ~ # cat /etc/security/auth_attr 3)
root@wl ~ # roleadd -d /export/home/rapache -u 400 -m -P "Apache Management" rapache 4)
root@wl ~ # passwd rapache
새 암호:
새 암호를 다시 입력하십시오:
passwd: 암호(rapache용)가 성공적으로 변경되었습니다.
root@wl ~ # cat /etc/passwd
rapache:x:400:1::/export/home/rapache:/bin/pfsh
root@wl ~ # cat /etc/user_attr
rapache::::type=role;profiles=Apache Management
root@wl ~ # usermod -R rapache admin 5)
root@wl ~ # cat /etc/user_attr
admin::::type=normal;roles=rapache

root@wl ~ # su - rapache 6)
$ id
uid=400(rapache) gid=1(other)
# /usr/local/apache2/bin/apachectl start 7)
# exit

# su - admin 8)
$ id
uid=111(admin) gid=10(staff)
$ su - rapache
Password:
$ id
uid=400(rapache) gid=1(other)
$ /usr/local/apache2/bin/apachectl start

root@wl ~ # su - windy 9)
windy@wl ~ $ su - rapache
Password:
Roles can only be assumed by authorized users
su: 잘못되었습니다
windy@wl ~ $

1) exec_attr 파일을 수정한다. "Apache Management"라는 프로파일에 대한 실행커맨드/권한에 대한 내용이다.
2) prof_attr 파일을 수정한다. "Apache Management"라는 프로파일에 대한 설명이다. 이로써 프로파일 생성이 완료되었다.
3) auth_attr은 이번 작업에서 수정해야 할 필요 없다. 특별한 권한이 필요하지 않기 때문이다.
4) [롤계정]인 rapache를 추가한다. /etc/passwd, /etc/shadow, /etc/user_attr 파일이 수정된다. (직접 수정해도 된다) useradd대신 roleadd를 사용했고, -P옵션을 통해 위에서 생성한 프로파일을 지정한다. 셸이 /bin/pfsh 으로 되어있는데 이는 profile sh이라는 뜻이다. (불행이도 pfbash는 없는 듯 하다) 패스워드도 변경한다.
5) 롤계정 rapache 를 일반계정 admin 이사용할 수 있도록 지정해준다. /etc/user_attr 파일이 수정된다. (직접 수정해도 된다) 여기까지 설정이 모두 끝났다.
6) rapache 롤 계정으로 전환한다.
7) 아파치가 정상적으로 시작된다.
8) admin계정으로 전환한후 다시 rapache계정으로 전환해 아파치를 시작할 수 있다.
9) windy계정은 (rapache의 패스워드를 알아도) rapache계정으로 전환되지 않는다는 것을 알 수 있다.