23.11.17 최초 작성

1. 임의 접근 통제 (Discretionary Acces Control)

• 시스템 object에 대한 접근을 사용자나 그룹 기준으로 제한
• setuid, setgid, chmod를 통해 제어

1.1 setuid, setgid 문제

• passwd, ping실행 시 root 사용자로 전환됨

2. Linux Capabilites

• 특정 작업에 대한 특정 권한 제공
• CAP_SYS_TIME, CAP_KILL, CAP_SETUID, CAP_CHOWN
• 링크를 통해 권한 확인

sudo setcap "cap_sys_time=pe" date		//cap_sys_time enalble 설정
getcap date								//권한 확인

3. 강제 접근 통제 (Mandatory Access Control)

• MAC이라고도 하며 사용자들은 자원에 대한 권한을 관리자로 부터 부여받고 오직 관리자만이 객체과 자원들에 대한 권한을 할당할 수 있음
• 자원에 대한 접근은 사용자에게 보안등급이 주어진 동안에 대상의 보안레벨에 기반

3.1 seccomp (SECure COMPuting)

• 응용 프로그램이 직접 시스템 콜을 허용할지 설정

• 두가지 모드 존재

  • STRICT_MODE : read/write/exit/sigreturn 호출만 허용
  • FILTER_MODE : 애플리케이션 기능에 맞춰 시스템 콜 실행 허용 및 거부