리눅스 디렉토리 접근제한, 윈도우 서버 그룹정책 보안설정

리눅스에서 일반계정에게 특정 디렉토리의 접근 권한을 주는 방법을 알아보겠습니다.

테스트를 위하여 최상위 디렉토리에 testgsk 디렉토리를 만들어두고 테스트 계정인 일반계정 a , b 계정을 만들어두었습니다.

지금 권한을 보면 other권한은 r x 읽기와 실행이 가능합니다. chmod 750 /testgsk 로 other권한을 없애줍니다. 

putty로 일반계정으로 접속했습니다. testgsk 디렉토리에 접근했지만 권한이 없어 접근할수 없습니다.

리눅스에는 setfacl 명령어가 있습니다. 이 명령어로 일반계정에게 권한을 부여해줄수있습니다.

확인해볼 옵션으로 -m옵션으로 권한을 부여하며 -b옵션으로 권한을 모두 지울수있습니다.

getfacl 명령어로 권한상태를 살펴보면 a계정에게 부여된 권한을 확인해볼수있습니다.

ls -al 명령어로 디렉토리 권한을 보면 +가 붙어있습니다. +가 붙어있는 디렉토리에 getfacl명령어를 사용해보면 추가적인 권한설정 상태를 확인해볼수있습니다.

a계정으로 접속하여 다시 testgsk디렉토리에 접근해보면 이번에는 디렉토리에 접근이 가능합니다. b계정은 권한설정을 따로 해두지 않았기 때문에 여전히 디렉토리 접근이 불가능합니다.

윈도우 서버에서 그룹정책 보안설정을 확인해보겠습니다.

테스트 OS는 윈도우 서버 2008 R2입니다.

윈도우 서버에서 실행에 gpedit.msc를 입력하여 그룹정책 편집기를 볼수있습니다.

로컬 컴퓨터 정책이라고 나와있으며 컴퓨터구성과 사용자 구성의 하위 목록이 비슷하게 나와있습니다. 같아보이지만 더 하위내용을 보면 조금씩 다른데 컴퓨터 구성은 컴퓨터 자체의 모든 사용자 설정을 하는것과 같습니다. 사용자 구성은 계정별로 설정하는 부분입니다.

컴퓨터 구성에 있는 암호정책은 모든 계정이 영향을 받게 됩니다. 암호정책을 보면 윈도우 서버가 패스워드를 복잡하게 설정해야했던 이유를 알수있습니다. 계정 잠금 정책을 사용하게 되면 brute-force공격을 예방할수 있습니다. 

마지막으로 윈도우 서버도 로그인 창에 배너를 넣어줄수있습니다. 컴퓨터 구성에 로컬정책 -> 보안옵션에 보면 대화형 로그온이 있습니다. 여기에 제목과 내용을 설정할수있는 정책이 존재하며 여기서 내용을 넣어줍니다. 

그룹정책은 바꿨다고 바로 적용되지는 않습니다. 마지막으로 적용된 시간으로 부터 90분 후에 적용이 되는데 강제로 그룹정책을 적용하는 명령어가 있습니다. cmd창에서 gpupdate /force를 입력하면 바로 그룹정책 적용이 가능합니다. cmd에서 gpresult /R 명령어로 마지막 정책이 언제 적용됬는지 확인해볼수있습니다.

로그오프하여 배너가 잘 나오는지 확인해보면 위와 같이 내용이 나옵니다. 정책이 바로 적용된걸 알수있습니다.