안녕하세요.
우분투 18.04 버전에서 간단한 서버 프로그램 하나 24시간 365일 가동해볼 계획인데요,
해당 서버 프로그램 외에 다른 서비스는 사용하지 않아서 모든 포트 다 차단하고 해당 서버 프로그램 tcp 포트만 열어두려고 합니다.
해당 서버 프로그램이 시스템쪽을 건드릴 일은 없지만 만에 하나를 위해서 시스템쪽은 건드릴 수 없도록 권한을 제한하고 싶은데요,
해당 서버 프로그램이 실행 중에 로컬에서 하는 일은 다른 리소스 파일들 읽고 일정 시간마다 몇몇 파일들을 작성해서 저장합니다.
이런 작업들을 원활하게 할 수 있는 폴더나 공간을 따로 두고 이 곳 외에 나머지 공간에서는 아무 것도 못하게 권한을 차단하고 싶습니다.
만약 이렇게 한다면 서버를 열어도 쉽사리 털리지 않을 것 같다는 생각이 들어서요…
이게 현실적으로 가능할까요?
만약 가능하다면 제가 생각하는대로 보안에도 효과가 있을까요?
만약 가능하고 보안에도 효과가 있다면 어떻게 구현할 수 있을까요?
도움 말씀 부탁드립니다.
보안도 시간을 투자하면 완벽에 가까이 갈 수 있습니다. 시간은 곧 비용인지라… 보통 적절한 선에서 타협을 합니다만,
제가 기억하는선에서만 풀어보자면 아주 오래전에 FreeBSD 에선 jail 이란게 있었습니다. 사전적의미로 ‘감옥’ 입니다.
외부 악의를 가진 사람이 그 jail 에서 운영되는 서비스데몬(예: 웹서비스데몬 apache)을 탈취했다하더라도 jail 에서 설정한 제한된 영역안에서만 놀게되는 그런 형국… 그래서 실제 시스템의 민감한 영역을 외부로부터 보호할 수 있습니다.
그리고 좀전에 소개한 jail 은 구식입니다. 첫 소개된시점부터 20년이 다되어갑니다. 요즘은 어떻게 변했는지 모르겠네요 더 신식 기술이 나와있을거라 생각해봅니다.
[우분투 18.04 파여폭스 나비에서 적었어요~]
도움 말씀 감사드립니다.
jail… 괜찮아 보이는 것인데 구식이라니… 그런 기능이 거의 20년 전부터 있었다는 것이 놀랍네요…
검색해보니 jail과 비슷한 것을 사용자 설정에서 할 수 있는 것 같던데요,
서비스를 돌릴 유저 설정을 /sbin/nologin 이렇게 해두면 쉘에서 로그인이 안된다던데 약간 비슷한? 그런 느낌이 듭니다.
추가로 링크[0]만 남깁니다. 어설픈 저의 코멘트로 선생의 상상력을 제한하고 싶진 않네요 ^^;;;
꾸벅,
황병희 드림
[0] Docker 와 Jail 에 대한 생각:
===> https://www.truenas.com/community/threads/purpose-of-docker-vs-jail.71020/
[크롬북에서 적었어요~]
도움 주신 황병희님 감사드립니다 ^^