서버 보안취약점 umask 027 변경 방법

보안취약점 조치사항중에 해당계정을 umask 027 이나 022 로 바꾸라는 것이 있음.

나같은 윈도우 유저에게는 용어가 생소하지만 알고보면 별거 아니다. 그냥 읽고 쓰기 권한을 의미하는 것임.

1) umask 027 권한

umask 027 로 지정시

디렉토리는 750
파일은 640

으로 권한이 만들어진다.
이전에 설정된 디렉토리, 파일은 상관없고, 신규로 만드는 애들만 영향이 있다.

 

2) chmod 권한과 비교하려면...

산수를 해야 한다.
- 디렉토리 : 777 - 027 = 750
- 파일 : 666 - 027 = 640 (639 아님)

drwxr-x---
750

-rw-r-----
640

이렇게 된다.

 

3) 추가설명 :: 공유디스크일 경우,

ㅁ A서버에서 파일 생성시 B서버에서는

- 디렉토리 접근 및 읽기 가능.
- 쓰기 불가능.

>> error : 파일에 읽기 권한만 있습니다.

 

ㅁ B서버에서 'chmod 777 파일명' 으로 변경하려 해도 안됨.

>> error : chmod: 조작이 허용되지 않습니다.

ㅁ 디렉토리 생성했던 A서버에서 파일권한 변경하면 됨.

- chmod 777 aaa1(파일명)
- 이후, B서버에서 파일변경 가능함.

ㅁ B서버에서 rm -rf tmp2(디렉토리명) 으로 삭제시

- 지워지지 않는다.
- 그룹명은 같아서 접근했지만, 생성한 소유자가 달라서 삭제되지 않음.

>> error : 파일 엑세스 권한이 지정된 조치를 허용하지 않습니다.