Chapter.4 권한, 파일 시스템

보안 주체란?

: 인증에 사용될 수 있고 자원에 대한 접근을 부여할 수 있는 사용자

   to 사용자계정, 그룹계정, 컴퓨터계정

 

---

- Permission : 도메인-로컬계정, 그룹계정, 컴퓨터 계정, 개체등에 접근

- User Right : 시스템에 접근

 

<권한> : Permission

- 객체에 대한 접근을 허가하거나 거부하기 위해 사용되는 규칙

- 공유폴더나 프린트, 개체로의 접근을 제어하기 위해 사용된다

- 권한은 직접적으로 부여하거나 상속으로 받을수 있다

to 로컬-도메인 계정, 그룹계정, 컴퓨터 계정

 

<권한 종류>

암시적 권한 ( Implicitly ): 상속받은 권한

- 비활성화, 수정 변경 불가능 (상속이 끊어져야 수정 가능)

- 거부와 허용이 동시에 체크가능 (단, '거부'가 우선 적용)

- 모든 개체가 태어날때 '읽기'권한을 갖고 태어남 ('/' 상위에 'E:드라이브'의 Default값으로부터 상속받은 것)

 

명시적 권한 ( Explicitly ): 직접 부여받은 권한

- 활성화, 수정 가능

 

<권한 규칙>

1. NTFS 권한은 각 드라이브의 루트에서 시작됨

2. 권한은 누적, 상속된다

3. 거부권한이 우선된다

4. 직접 적용한 권한이 우선된다

* 도메인-맴버도메인 관계에서 같은 패스워드를 가지고 있다면 인증절차는 생략됨

 

<권한 상속>

상속은 각각의 객체에 직접 권한을 부여하지 않고 자원에 대한 접근을 관리하기위해 쓰인다 - 주로 부모자식 관계에서.

차단

       - 파일 또는 폴더 레벨에서 차단적용

       - 안에서 태어난 파일은 태어날때 모든 권한을 싸그리 전부 상속 받은 거였기 때문에 상속을 차단되는 순간, 모든 사용권한이 다 차단됨

       - 밖에서 태어난 파일은 administrator의 권한 만큼은 남아있음

유지

       -파일과 폴더 복사 시 목적지 폴더 권한 설정을 상속 받는다.

       - 동일 파티션으로의 파일 및 폴더 이동시 원래 가지고 있던 권한설정을 유지한다

       - 다른 파티션으로의 파일 및 폴더 이동시 목적지 폴더의 권한을 상속 받는다 (새로 생성되는 느낌)

 

---

<권한 공유>

CLI 방식으로 공유

cd\ -> c드라이브로 이동

md sharecli ->'sharecli'이라는 이름의 디렉터리 생성 

dir /w        ->가로형태로 펼쳐지는 ls

net share sharecli=c:\sharecli/grant:everyone,change(read)    -> 경로

- everyone 또는 특정계정

- 옵션값: change (read 또는 full) 

 

공유된 목록확인

net share                                                    ->전체

net share sharecli                                      -> 'sharecli'이라는 특정 폴더 안의 

공유된 폴더 연결을 해제

net share sharecli /delete                         -> 파일이 아닌 공유파일 이름

폴더 삭제

rd sharecli /s /q                                          (묻지 않고 바로 삭제함).

                                                                    =폴더명, /s : 경고  /q: 안에 개체가 있든 다 치워버림

---

<접근 제어 목록 (Access Control List)>

- 임의 접근 제어 목록 (DACL)

- 시스템 접근 제어 목록 (SACL)

- 접근 제어 엔트리 (ACE) : DACL에 ACE가 명시되어 있지 않았다면 해당 자원은 접근거부 된다

 

<파일 시스템의 종류>

FAT 32	NTFS (New Technology File System)	exFAT
- 속도가 빠르다 - 보안에 약하다 - 파일 하나당 4기가 이상, 총합은 32기가 이하여야 한다	- 속도는 FAT32 보다 느리다 - 보안에 강하다 - 용량에 구애받지 않음 * 호환성이 떨어짐	- 속도가 빠르다 - 보안에 강하다 * 논리적 구조가 불안정해서 쉽게 내용이 깨진다 (장기간 보관용으로는 비추천)

<소유권>

소유자는 개체에 대해서 어떻게 사용권한을 설정할 것인지 누구에게 권한을 부여할 것인지 제어가능

소유자는 접근거부여도 개체에 대해 사용권한을 변경가능(ACL,ACE 편집가능)

(소유권으로 갖고 있으면 모든 권한을 갖고 있다는 것. 만든사람이 소유권을 기본적으로 가짐)