안지현

[ 요약 ]

위 그림과 같이 하드 링크는 원본 파일과 동일한 inode를 직접적으로 가리키기 때문에 원본 파일이 사라지더라도

데이터만 살아 있다면 원본 파일에 접근이 가능하다.

반면, 심볼릭 링크는 또 다른 inode를 생성하여 생성된 iode는 포인터를 가리키고 포인터는 원본 파일을 가리킨다.

따라서 심볼릭 링크를 통해 데이터에 접근할 경우 원본 파일을 거치기 때문에 원본 파일이 사라질 경우

해당 데이터에 접근할 수 없다.

 < 하드링크 > 

- ln [원본파일명] [하드링크파일명]

- 파일이 물리적으로 저장된 주소를 가리키는 링크

- 원본파일의 inode를 참조하는 파일이다.

- 하드링크 파일은 파일의 정보를 담고 있는 원본 파일의 inode를 공유하기 때문에 사실상 파일명만 다를뿐

같은 파일을 가리킨다고 할 수 있다.

- 하드링크파일의 내용을 수정하게 되면 원본파일의 내용도 수정되고, 원본파일을 수정해도

하드링크 파일의 내용이 수정된 것을 볼 수 있다.

- 원본 또는 하드링크에서 권한 변경 시 둘 다 동일한 권한으로 변경된다.

- 하드링크의 파일을 지우고자 한다면 원본과 링크 파일 두 개를 모두 지워야 한다.

- 자원을 공유하면서도 데이터를 안전하게 관리하고자 할 때 주로 사용된다.

 < 심볼릭 링크 > 

- ln -s [원본파일명] [심볼릭링크파일명]

- 파일 또는 디렉토리를 가리키고 있는 포인터

- 소프트링크라고도 하며, 원본파일과 별개의 inode를 갖는다.

- 심볼릭링크가 가리키는 실제 파일은 일반 파일과는 다르게 포인터 역할을 하며, 해당 포인터는 실제 원본 파일을 가리킨다.

- 윈도우의 바로가기파일과 비슷하다.

- 원본 파일이 삭제되면 링크 파일의 포인터가 가리키는 내용이 사라지게 되기 때문에

각 파일의 inode를 조회해보면 서로 다른 내용임을 알 수 있다.

- 만약 원본 파일을 다른 장소로 이동시키면 심볼릭 링크가 깨지기 때문에 삭제와 비슷한 결과를 받을 수 있다.

- 링크파일의 권한 변경 시 링크파일의 권한이 변경되는 것이 아니라 원본파일의 권한이 변경된다.

- 파일의 불필요한 반복적 복사를 방지하여 파일 시스템을 유연하게 활용하거나

비슷한 역할을 담당하는 여러 파일 중 하나를 선택하여 대표적으로 사용하려 할 때 유용하게 쓸 수 있다.

 < 하드링크와 심볼릭링크 비교> 

 < 파일 시스템 > 

: 파일이나 자료를 쉽게 발견하고 접근할 수 있도록 보관 또는 조직하는 체제

  → 리눅스에서는 주로 파티션을 나누고 정리하는데 사용된다.

: 파일 + 디렉토리 구조

: 파일 구조

①  부트 블록 ( boot block ) 

     - 운영체제를 주기억장치에 올리는 역할을 하는 프로그램이 들어 있는 영역

          → 윈도우의 부트 레코드와 유사

     - 운영체제를 부팅시키기 위해 필요한 코드를 저장한다.

     - 대부분의 파일 시스템들은 부트블록으로 시작한다.

     - 하드웨어가 부팅에 필요한 코드를 부트블록에서 찾는다.

②  슈퍼 블록 ( super block ) 

     - 디스크에 대한 다양한 정보(파일 시스템의 전체적인 정보)를 저장하고 있는 곳

     - 블록 그룹의 가장 앞에 위치한다.

     - 리눅스 운영체제는 슈퍼블록의 정보를 사용하여 파일 시스템을 관리한다.

     - 슈퍼블록이 소유한 정보

③  아이노드 블록 ( inode) 

     - inode들을 모아놓은 곳; 한 블록에 여러 개의 inode를 저장하고 있다.

     - 파일이나 디렉토리에 대한 모든 정보를 가지고 있는 구조체

     - 파일 하나당 하나의 아이노드가 사용되며 여러 파일의 참조(link)가 가능하다.

     - 파일을 처리할 때 파일 이름이 아닌 아이노드 번호를 이용한다.

     - 아이노드가 소유한 정보

      - 아이노드의 기능

      - 아이노드 블록 관리 방법

           → 단일/이중/삼중 간접 블록 포인터

           → 아이노드 블록을 몇번 거쳐가냐의 차이 (링크로 연결하여 관리)

④  데이터 블록 ( data block ) 

     - 일반적인 파일과 디렉토리, 간접 블록을 저장하는 디스크 영역

     - 실제 데이터가 파일의 형태로 저장되는 공간

     - 간접 블록 : 추가적인 데이터 블록을 위한 포인터들이 사용할 동적으로 할당되는 공간

     - 홀 : 아이노드나 간접 블록 안의 데이터 블록의 주소로 특별한 값을 저장

     - 파일 이름과 아이노드 번호를 저장하기 위해서 사용된다.

swing 계정으로 c 언어 코드 작성하여, 컴파일 한다. 

swing 계정으로 touch를 이용하여 test.c라는 파일을 만든다.

vi로 C언어 코드를 작성한 후 cat명령어를 이용하여 test.c파일에 vi로 작성한 내용을 확인할 수 있다.

gcc를 이용하여 컴파일한 후 a.out을 실행시키면 hello world를 출력하는 것을 볼 수 있다.

1-1. apple 계정으로 a.out 파일 실행

apple 계정으로 a.out을 실행시키면 hello world를 출력하는 것을 볼 수 있다.

위에서 a.out의 기타 사용자는 실행 권한이 있었기 때문에 apple 계정에서 실행시키는 것이 가능한 것이다.

1-2. swing 계정으로 다른 사람이 실행할 수 없게 바꾸기

swing 계정으로 들어가 chmod를 이용하여 권한을 수정한다.

8진수 754는 2진수로 111 101 100이고 이는 기타 사용자가 읽기 권한만 있다는 의미이다.

1-3. apple 계정으로 a.out 실행해 보기

swing계정에서 기타 사용자의 실행 권한을 삭제했기 때문에 apple 계정에서 a.out은 실행되지 않는다.

2-1. swing 계정으로 소스코드에 실행권한 부여

소스코드는 test.c 파일에 있고 chmod를 이용하여 이 파일의 권한을 수정한다.

8진수 755는 2진수로 111 101 101이고 이로 인해 모든 사용자에게 실행권한이 부여된다.

2-2. swing 계정으로 해당파일 실행 해보기

swing 계정으로 a.out을 실행해보면 실행이 가능하다.

위에서 모든 사용자가 실행할 수 있도록 권한을 수정해주었기 때문에 실행이 가능한 것이다.

2-3. swing 계정으로 소스코드를 누구나 쓸 수 있게 바꾼다.

8진수 777은 2진수로 111 111 111이다.

이는 모든 사용자가 모든 권한을 가질 수 있음을 의미하고 이로 인해 소스코드를 누구나 쓰는 것이 가능하다.

3. apple 계정으로 소스코드 파일을 apple의 홈 디렉토리 (/home/apple)로 옮긴다.
(안 되면 권한을 변경하여, 옮긴다. )

apple 계정으로 test.c 소스코드 파일을 apple의 홈 디렉토리로 옮기기 위해 mv 명령어를 사용한다.

하지만 허가 거부라는 오류가 난다.

안 되는 이유는 파일을 이동하려면 해당 파일의 디렉토리에 쓰기 권한이 있어야 하는데 swing의 홈 디렉토리에는 다른 사용자에 대한 w권한이 없기 때문이다.

chmod 777로 swing의 홈 디렉토리의 권한을 변경한다.

따라서 모든 사용자가 모든 권한을 가질 수 있고 이로 인해 소스코드 파일을 다른 사용자도 옮길 수 있게 된다.

권한 변경 후 apple 계정으로 가서 파일을 옮겼더니 잘 옮겨진 것을 볼 수 있다.

 1. ls –l로 /usr/bin/passwd 파일 속성보기 

ls -l로 /usr/bin/passwd 파일의 속성을 보면 사용자는 모든 권한, 그룹과 기타사용자는 읽기와 실행 권한이 있음을 알 수 있다.

현재 /usr/bin/passwd는 setuid가 설정되어 있음을 확인할 수 있다.

( 이 때 소문자 s는 setuid와 실행권한이 둘 다 있음을 의미한다. )

 2. 일반 사용자로 passwd 명령어 실행 

일반 사용자로 passwd 명령어를 실행시키면 passwd 변경이 가능하다.

이 때 /etc/passwd로 접근하여 비밀번호를 변경하고 setuid의 퍼미션으로 root 권한으로 실행이 된다.

따라서 /etc/passwd 파일이 root 소유임에도 불구하고 일반 사용자가 변경 가능하다.

 3. /usr/bin/passwd 의 setuid 권한을 제거한다. 

수정을 할 때는 root계정만 변경이 가능하므로 root계정으로 들어간다.

chmod를 이용하여 /usr/bin/passwd 파일 사용자의 setuid 권한을 제거하는 명령을 입력한다.

ls -l로 파일의 속성을 확인해보면 setuid 권한이 제거된 것을 확인할 수 있다.

 4. 일반 사용자로 passwd 명령어 실행한다. 

일반 사용자로 swing 계정에 들어가서 passwd 명령어를 실행하면 허가 거부 오류가 난다.

 < 파일의 접근권한 > 

1. 파일이 속한 그룹 명령어 groups

- 사용자명 없으면 자신이 속한 그룹 이름 출력

- 사용자명 있으면 입력한 사용자가 속한 그룹 이름 출력

2. ls -l 결과

- 파일 종류

- 위의 실습 예제

 < 실습1 > 

1. 홈디렉토리 밑에 study 디렉토리 만들고, 그 안에 test 파일 vi로 만들기 (파일 내용은 echo “Hello world”)

mkdir을 이용하여 study 디렉토리를 만든다.

vi로 test파일을 만들고 그 안에 파일 내용을 입력한다.

cat명령어를 이용하여 test파일을 보면 vi에 입력했던 파일 내용을 볼 수 있다.

2. ls –l 로 파일 속성 확인

ls -l로 파일 속성을 확인한다.

현재 test 파일은 일반 파일로 소유자는 읽기와 쓰기가 허가되어 있고 그룹과 기타사용자는 읽기만 허가된 상태이다.

3. chmod 로 권한 변경하기

1)test파일 소유자의 권한에 읽기,쓰기 추가

chmod로 소유자에게 읽기, 쓰기 권한을 추가한 것을 볼 수 있다.

2) 그룹과 기타 사용자에게 쓰기권한 추가

그룹과 기타 사용자는 읽기 권한만 있었는데 chmod로 쓰기 권한을 추가한 것을 볼 수 있다.

( 여러 사용자에게 같은 권한을 추가하는 것은 가능하다. )

3) 모든 권한 제거

chmod로 모든 사용자의 허가권을 제거하여 ----------로 나타나는 것을 볼 수 있다.

4) 소유자에게 읽기,실행권한만 지정

chmod로 소유자에게 읽기, 실행권한만 지정한 것을 볼 수 있다.

( 같은 사용자에게 여러 권한을 지정하는 것은 가능하다. )

5) test 실행

6) 그룹에겐 읽기권한을, 기타에게 쓰기권한만 주고 싶다. 한 번에 될까?

→ chmod는 하나씩밖에 사용을 못하기 때문에 한 번에 안된다.

 < 실습2 > 

1. chmod 646 test

8진수 646을 2진수로 변환하면 110 100 110이다.

따라서 소유자와 기타 사용자는 읽기와 쓰기 권한이 있고 그룹은 읽기 권한만 있음을 확인할 수 있다.

2. chmod 450 test

8진수 450을 2진수로 변환하면 100 101 000이다.

따라서 소유자는 읽기 권한, 그룹은 읽기와 실행 권한, 기타 사용자는 아무 권한이 없음을 확인할 수 있다.

3. chmod 777 test

8진수 777을 2진수로 변환하면 111 111 111이다.

따라서 모든 사용자가 읽기, 쓰기, 실행 권한이 모두 있음을 확인할 수 있다.

4. chmod 000 test

8진수 000을 2진수로 변환하면 000 000 000이다.

따라서 모든 사용자가 읽기, 쓰기, 실행 권한이 모두 없음을 확인할 수 있다.

5. 소유자에겐 읽기와 실행권한을, 그룹에겐 읽기권한을, 기타에게 쓰기권한만 주고 싶다. 한 번에 될까?

→ chmod는 하나씩밖에 사용을 못하기 때문에 한 번에 안된다.

 < 실습3 > 

1. swing 계정으로 /home/swing 디렉토리 접근 권한을 700으로 수정
→ apple 계정으로 접근
→ apple계정으로 cd ls 될까?

8진수 700은 2진수로 111 000 000이다.

cd와 ls를 하려면 기타 사용자에게 쓰기 권한을 부여해야한다.

현재 기타 사용자는 쓰기 권한이 없으므로 허가 거부 오류가 난다.

2. apple계정으로 /home/swing 디렉토리 접근권한으로 711로 수정
→ apple 계정으로 cd ls 될까?

기타 사용자는 수정권한이 없으므로 허가 거부 오류가 뜬다. ( 수정권한은 root에만 있음 )

8진수 711은 2진수로 111 001 001이다.

cd와 ls를 하려면 사용자에게 쓰기 권한을 부여해야한다.

현재 기타 사용자는 쓰기 권한이 없으므로 허가 거부 오류가 난다.

3. swing 계정으로 /home/swing 디렉토리 접근권한으로 744로 수정
→ apple 계정으로 cd ls 될까?

8진수 744은 2진수로 111 100 100이다.

cd와 ls를 하려면 사용자에게 쓰기 권한을 부여해야한다.

현재 기타 사용자는 쓰기 권한이 없으므로 허가 거부 오류가 난다.

 < setuid > 

1. /usr/bin/passwd

패스워드를 변경하는 명령어 실행파일로 /etc/passwd로 접근하여 비밀번호를 변경한다.

2. /etc/passwd

패스워드 보관 파일로 수정은 root만 변경 가능하다.

3. setuid 설정

1) setuid 파일 만들기

touch를 이용하여 setuid 파일을 만든다.

2) chmol로 setuid 설정해주기

- 기호를 이용한 파일접근권한

기호를 이용하여 권한을 부여한다. 소유자에게 setuid 권한이 추가된 것을 볼 수 있다.

대문자 S는 setuid 권한만 있고 실행권한은 없는 것을 의미한다.

- 숫자를 이용한 파일접근권한

숫자를 이용하여 권한을 부여한다. 소유자에게 setuid 권한이 추가된 것을 볼 수 있다.

소문자 s는 setuid 권한과 실행권한이 둘 다 있는 것을 의미한다.

1) ctrl + alt + F7에서 adduser로 id는 swing, pw는 swing인 계정을 생성한다.

adduser을 이용하여 swing이라는 계정을 생성한다.

※ 이 때, 현재 계정에서 다른 계정의 권한을 잠깐 빌리기 위해 sudo 명령어를 이용한다.

2) ctrl + alt + F1에서 swing으로 로그인하여, apple 계정을 생성한다.(adduser)

ctrl + alt + F1을 이용하여 tty1으로 접속 후 앞에서 만든 swing 계정으로 로그인한 후 adduser을 이용하여 apple 계정을 생성한다.

(※ 마찬가지로 sudo 명령어 이용)

3) w, who, whoami, who am I 결과는?

w, who, whoami, who am i의 결과는 위와 같다.

4) su apple하여 pwd, w, who, whoami, who am I 결과확인

apple 계정에서의 pwd, w, who, whoami, who am i의 결과는 위와 같다.

※ (과제수정) 처음 과제 시 su - apple이라고 입력했었는데 su apple과 어떻게 다른지 보자.

su apple을 이용했더니 루트 계정으로 되어있음을 알 수 있다.

su[-][사용자명] : 사용자 계정 변경

                         : 옵션을 지정하지 않으면 root 계정으로 변경되고 사용자명을 지정하면 지정한 사용자로 변경된다.

※ [-] : 루트 혹은 사용자의 초기화 파일을 실행하고 작업디렉토리도 사용자의 홈디렉토리로 변경된다.

5) exit 하고 sudo su 하여 pwd, w, who, whoami, who am I 결과확인  

 + /etc/shadow파일을 볼 수 있는가?

sudo su로 루트 계정으로 이동한 후 pwd, w, who, whoami, who am i의 결과는 위와 같다.

sudo cat /etc/shadow를 입력하면 위와 같이 파일 출력이 가능하다.

6) su – apple 하여 apple 계정으로 /etc/shadow파일을 보고 싶다 어떻게 해야 할까?

su - root를 입력하여 root 계정으로 이동한 후 visudo -f/etc/sudoers를 이용하여 사용자 계정 권한에 apple을 추가해준다.

위와 같이 sudo cat /etc/shadow를 입력하면 파일을 출력할 수 있다.

7) su – apple 상태 그대로 두고, tty7으로 변경해서, w, who, whoami, who am I의 결과를 비교한다.

1. adduser 명령어로, this 라는 계정을 추가로 만들어본다.

2. su 명령어로 사용자계정을 this로 변경한다.

3. /etc/passwd에 this 계정이 추가 되었는지 확인해본다.

cat을 이용하여 파일 내용을 출력한다.

맨 아래 this 계정이 추가된 것을 확인할 수 있다.

4. /etc/shadow파일을 확인해본다. ( 파일 내용을 확인할 수 있어야 함)

위와 같이 this는 sudoers 설정 파일에 없다는 오류가 발생한다.

※ sudoers : sudo 명령어에 대한 설정을 다루는 파일

※ visudo -f /etc/sudoers 라는 명령어를 사용하여 수정한다.

    (vi: 읽기 전용 파일, visudo : 수정 후 저장 시 sudoers 설정에 대한 문법까지 체크해준다.)

this      ALL=(ALL:ALL) ALL을 입력하여 수정해준다.

위와 같이 출력되는 것을 확인할 수 있다.

5. passwd 명령어로 this계정의 비밀번호를 바꾼다.

6. 다시 /etc/shadow 파일 내용을 확인해본다.

7. 다시 원래 계정으로 돌아간다

※ (과제수정) /etc/passwd와 /etc/shadow

(1) /etc/passwd 파일 구조

       ①     ②  ③ ④      ⑤             ⑥                 ⑦

① 사용자 계정

② 사용자 패스워드

    (x 문자가 들어 있고 암호화된 패스워드 정보는 /etc/shadow 파일에 저장된다.)

③ 사용자 ID

    (루트일 경우 0이다.)

    (adduser 스크립트에 의해 부여된다.)

④ 사용자가 속한 그룹 ID

     (루트일 경우 0이다.)

     (보통 그룹 ID와 사용자 ID는 같다.)

⑤ 사용자의 코멘트 정보

⑥ 사용자의 홈 디렉토리

⑦ 사용자가 기본으로 사용하는 쉘 종류 지정

(2) /etc/shadow 파일 구조

      ①                        ②                            ③       ④      ⑤     ⑥ ⑦ ⑧ ⑨

① 사용자 계정

② 사용자 패스워드를 암호화시킨 값

    (사용자 패스워드는 salt값을 이용하여 암호화한다.)

    ※ salt : 패스워드를 암호화하는데 있어서 OS 내에서 생성하는 임의의 값 

    (비어있는 경우(::)는 로그인하는데 패스워드가 필요없다는 것을 나타낸다.)

    (*라고 되어 있는 경우(:*:) 그 계정은 막아두었다는 것을 나타낸다.)

③ 1970년 1월 1일부터 패스워드가 수정된 날짜의 일수를 계산한 값

④ 패스워드가 변경되기 전 최소사용기간(일수)

    (0이면 패스워드를 언제든지 변경할 수 있다는 의미이다.)

⑤ 패스워드가 변경되기 전 최대사용기간(일수)

    (99999는 오랫동안 패스워드를 바꾸지 않았다는 것을 나타낸다.)

⑥ 패스워드 사용 만기일 전에 경고 메시지를 제공하는 일수

⑦ 로그인 접속차단 일수

⑧ 로그인 사용을 금지하는 일수(월/일/연도)

⑨ 예약 필드로 사용되지 않음