> Posts > 보기

25. 파일 권한(chmod/chown) 및 특수 비트 활용법

리눅스 서버 운영의 보안과 안정성은 '권한 관리'에서 시작된다고 해도 과언이 아닙니다. 우분투 환경에서 다중 사용자가 시스템을 공유하거나 웹 서비스가 파일을 생성할 때, 적절한 권한 설정은 해킹 피해를 방어하고 시스템 오작동을 막는 가장 강력한 방패입니다. 오늘은 실무에서 가장 빈번하게 사용되는 chmod와 chown 명령어, 그리고 중급 운영자로 거듭나기 위한 특수 비트(SetUID, SetGID, Sticky Bit) 활용법을 상세히 파헤쳐 보겠습니다.

#리눅스 #우분투 #파일권한 #chmod #chown #서버보안 #특수비트 #시스템관리 #IT실무 #리눅스명령어

1. 리눅스 권한 체계의 근본: rwx 구조 이해

1. 리눅스 권한 체계의 근본: rwx 구조 이해

모든 파일과 디렉터리는 소유자(Owner), 그룹(Group), 기타 사용자(Others)라는 세 가지 대상에 대해 읽기(r), 쓰기(w), 실행(x) 권한을 가집니다.

  • 읽기(r=4): 파일 내용 보기, 디렉터리 내 목록 확인.

  • 쓰기(w=2): 파일 수정/삭제, 디렉터리 내 파일 생성/삭제.

  • 실행(x=1): 파일을 프로그램으로 실행, 디렉터리 내부로 진입(cd).

실무에서는 이를 8진수 숫자의 합으로 표기하는 방식(예: 755, 644)을 가장 많이 사용합니다.

2. chmod: 권한 변경의 실무 노하우

chmod는 파일의 모드를 변경하는 명령어로, 보안 설정의 핵심입니다.

심볼릭 모드 vs 절대값 모드

  • 절대값(숫자) 방식: chmod 755 script.sh (소유자 7, 그룹 5, 나머지 5) - 직관적이고 빠릅니다.

  • 심볼릭 방식: chmod u+x file (소유자에게 실행 권한 추가) - 특정 권한만 톡 건드리고 싶을 때 유용합니다.

실무 팁: 디렉터리 하위 일괄 변경 웹 서버 루트 폴더처럼 하위 모든 파일과 디렉터리 권한을 한꺼번에 바꿔야 할 때는 -R 옵션을 사용합니다. 단, 파일과 디렉터리의 권한이 같아지면 보안상 취약하므로 다음과 같은 조합을 권장합니다.

Bash

# 디렉터리만 찾아서 755로 변경
find /var/www/html -type d -exec chmod 755 {} +

# 파일만 찾아서 644로 변경
find /var/www/html -type f -exec chmod 644 {} +

3. chown: 소유권 이전과 관리

chown은 파일의 주인과 소유 그룹을 변경합니다. 주로 웹 서버(Nginx, Apache)가 파일을 읽지 못하는 'Permission Denied' 에러가 발생할 때 해결사 역할을 합니다.

명령어 구조 sudo chown [소유자]:[그룹] [파일명]

실무 예제: 웹 서비스 소유권 설정 사용자가 업로드한 파일을 웹 서버가 관리하도록 하려면 소유권을 웹 서버 데몬 계정(www-data)으로 넘겨야 합니다.

Bash

sudo chown -R www-data:www-data /var/www/project

4. 고급 운영자를 위한 특수 비트(Special Bits)

단순한 rwx 권한만으로는 해결되지 않는 특수한 운영 상황이 있습니다. 이때 4000(SetUID), 2000(SetGID), 1000(Sticky Bit) 단위를 사용합니다.

SetUID (4000): 잠시 동안만 루트 권한 빌리기 실행 파일에 설정하면, 누가 실행하든 파일 소유자의 권한으로 실행됩니다. 대표적으로 비밀번호를 변경하는 /usr/bin/passwd 명령어가 있습니다. 일반 사용자가 자신의 비번을 바꾸려면 /etc/shadow라는 루트 소유 파일을 수정해야 하기 때문입니다.

Bash

chmod 4755 binary_file  # 실행 시 소유자 권한 획득

SetGID (2000): 공용 폴더의 정석 디렉터리에 설정하면, 그 안에서 생성되는 모든 파일은 부모 디렉터리의 그룹 소유권을 자동으로 상속받습니다. 팀 프로젝트 공유 폴더에서 팀원들이 각자 파일을 만들어도 그룹 권한이 유지되게 할 때 필수입니다.

Bash

chmod 2775 /shared_folder

Sticky Bit (1000): 공유하되 삭제는 금지 디렉터리에 설정하면, 누구나 파일을 만들 수 있지만 삭제는 오직 '자신이 만든 파일'만 할 수 있습니다. 우분투의 /tmp 디렉터리가 대표적인 예시입니다.

Bash

chmod 1777 /tmp_data

5. 실무 보안 체크리스트 및 권장 설정

서버 관리자라면 정기적으로 비정상적인 권한 설정을 점검해야 합니다.

  1. 소유자가 없는 파일 찾기: 퇴사자나 삭제된 계정의 파일은 보안 취약점이 됩니다. find / -nouser -o -nogroup

  2. 누구나 쓰기 가능한 파일 점검: 777 권한은 지극히 예외적인 경우(tmp 등)가 아니면 지양해야 합니다. find / -perm -0002 -type f

  3. SetUID 파일 모니터링: 의도치 않은 SetUID 파일은 권한 상승 공격의 통로가 됩니다. find / -perm -4000 -type f

6. 결론

파일 권한 관리는 단순히 숫자를 맞추는 작업이 아니라, 시스템의 '최소 권한 원칙'을 실천하는 과정입니다. 기본적인 chmod와 chown을 능숙하게 다루는 것에서 시작하여, SetGID나 Sticky Bit 같은 특수 비트를 적재적소에 배치한다면 훨씬 유연하고 강력한 서버 운영 환경을 구축할 수 있습니다.

오늘 정리해 드린 내용이 여러분의 안정적인 우분투 서버 운영에 큰 도움이 되기를 바랍니다.


[함께 보면 좋은 루젠소프트 서비스]

루젠VPN은 비즈니스에 최적화된 고정 IP 서비스를 제공하며, 루젠호스팅은 안정적인 서버 인프라를 구축해 드립니다.

루젠VPN 바로가기: https://vpn.luzensoft.com | 루젠호스팅 바로가기: https://hosting.luzensoft.com


리눅스, 우분투, 파일권한, chmod, chown, 서버보안, 특수비트, 시스템관리, IT실무, 리눅스명령어

목록