sudo
sudo 명령어는 유닉스 및 유닉스 계열 운영 체제에서, 다른 사용자의 보안 권한, 보통 슈퍼유저로서 프로그램을 구동할 수 있도록 하는 프로그램이다. 명칭은 본래 슈퍼유저로서의 실행에 사용되던 것에서 “superuser do”에서 유래하였으나, 후에 프로그램의 기능이 확장되며 “substitute user do”(다른 사용자의 권한으로 실행)의 줄임말로 해석되게 되었다. 기본적으로 sudo는 사용자 비밀번호를 요구하지만 루트 비밀번호(root password)가 필요할 수도 있고, 한 터미널에 한번만 입력하고 그 다음부터는 비밀번호가 필요 없다.[2] Sudo는 각 명령줄에 사용할 수 있으며 일부 상황에서는 관리자 권한을 위한 슈퍼유저 로그인(superuser login)을 완벽히 대신하며, 주로 우분투, 리눅스와 애플의 OS X에서 볼 수 있다.[3][4]
개발자 | Todd C. Miller |
---|---|
안정화 버전 | 1.8.22
/ 2018년 1월 16일 |
저장소 | |
운영 체제 | 유닉스 계열 |
종류 | 권한 부여 |
라이선스 | ISC-style[1] |
웹사이트 | www.sudo.ws |
역사
편집Robert Coggeshall과 Cliff Spencer는 1980년 즈음 SUNY/버펄로의 컴퓨터 과학부에서 오리지널 하위 시스템을 작성했다.[5] Robert Coggeshall은 sudo를 콜로라도 볼더 대학교로 가져왔다. 1986년부터 1993년까지 코드와 기능은 콜로라도 볼더 대학교 컴퓨터 과학부, College of Engineering and Applied Science의 IT 직원들(Todd C. Miller 등)에 의해 실질적으로 수정되었다.[5] 현재 버전은 1994년 이후로 OpenBSD의 개발자 Todd C. Miller가 공개적으로 유지보수하고 있으며,[5] 1999년 이후로 SC-스타일 라이선스로 배포되고 있다.[5]
2009년에 MS가 sudo 명령어를 특허로 등록했다는 것이 밝혀져 큰 파장을 일으켰으나[6], 그 청구항들은 sudo의 개념이라기보다는 특정한 GUI에 대해 좁게 고안된 것이었다[7].
예제
편집sudo 명령어를 실행하기 전에, 사용자들은 비밀번호를 입력한다. 한 번 승인되고 만약 /etc/sudoers 설정 파일이 그 유저를 승인한다면 명령은 실행된다. kdesu, kdesudo, gksu, gksudo와 같이 GUI 환경에서 사용할 수 있는 몇몇 명령어 들이 있다.[8] 다음은 접근이 거부된 예이다.
snorri@rimu:~$ sudo emacs /etc/resolv.conf
We assume you have received the usual lecture from the local System
Administrator. It usually boils down to these three things:
1) Respect the privacy of others.
2) Think before you type.
3) With great power comes great responsibility.
Password:
snorri is not in the sudoers file. This incident will be reported.
아래의 로그는 실패한 시도와, snorri를 /etc/sudoers에 추가한 뒤에 성공한 시도이다.
snorri@rimu:~$ sudo tail /var/log/auth.log
Aug 5 06:00:28 localhost sudo: snorri : user NOT in sudoers ; TTY=pts/1 ; PWD =/home/snorri ; USER=root ; COMMAND=/usr/bin/emacs /etc/resolv.conf
Aug 5 06:01:15 localhost su[15573]: (pam_unix) session opened for user root by snorri(uid=1000)
Aug 5 06:02:09 localhost sudo: snorri : TTY=pts/1 ; PWD=/home/snorri ; USER=root ; COMMAND=/usr/bin/emacs /etc/resolv.conf
Aug 5 06:02:49 localhost sudo: snorri : TTY=pts/1 ; PWD=/home/snorri ; USER=root ; COMMAND=/usr/bin/tail /var/log/auth.log
runas, su, 그리고 sudo
편집윈도는 runas라고 불리는 명령어를 가지고 있다. 이것의 기능은 비슷하나 runas도 아니고 사용자 계정 컨트롤(UAC)도 아닌 것이 sudo이다. - 그들은 권한을 추가하기 보다는 다른 사용자를 가장한다.
runas와 su:
- 권한이 부여된 유저가 그들 고유의 글을 이용하여 높은 권한의 프로세스를 실행하는 것을 허락치 않는다.
- 사용자의 프로파일과 객체의 소유권을 보존하지 않는다.
runas명령어는 sudo가 아니라 유닉스의 su와 더 동등하다. sudo가 su에 비해 더 우수한 이유는 su는 사용자의 고유 신분에 기반해 권한 이동을 엑세스하고, 가장 중요한 것은 sudo는 비밀번호 공유가 필요 없기 때문이다. runas나 su를 특권 계정을 엑세스하기 위해 사용하는 것은 관리자-가능 계정의 비밀번호를 유포하는 것이 필요하기 때문에 sudo에는 없는 보안상의 약점을 가지고 있다.
RBAC
편집SELinux와 함께 사용하면, sudo는 역할 기반 접근 제어(RBC)의 역할 전환을 위해 사용할 수 있다.[9]
도구 및 유사 프로그램
편집- visudo -
/etc/sudoers
파일을 수정하여 사용하는 vi 기반 프로그램.
같이 보기
편집각주
편집- ↑ “Sudo License”. 2015년 7월 31일에 원본 문서에서 보존된 문서. 2010년 5월 22일에 확인함.
- ↑ “Manpage for sudo”. 2007년 6월 12일에 원본 문서에서 보존된 문서. 2007년 11월 4일에 확인함.
- ↑ RootSudo - Community Ubuntu Documentation
- ↑ MacDevCenter.com - Top Ten Mac OS X Tips for Unix Geeks
- ↑ 가 나 다 라 Miller, Todd C. “A Brief History of Sudo”. 2007년 3월 5일에 확인함.
- ↑ Lilly, Paul. “Microsoft has Patented "sudo." Yes, the Command”. 2009년 11월 16일에 원본 문서에서 보존된 문서. 2009년 11월 13일에 확인함.
- ↑ “보관된 사본”. 2011년 10월 10일에 원본 문서에서 보존된 문서. 2012년 12월 15일에 확인함.
- ↑ “Introduction to Authorization Services Programming Guide”. 2010년 3월 5일에 원본 문서에서 보존된 문서. 2010년 5월 22일에 확인함.
- ↑ “SELinux Lockdown Part Five: SELinux RBAC”. 2012년 11월 17일에 확인함.
외부 링크
편집- (영어) 공식 홈페이지
- (영어) rootsh 와 sudosh
- (영어) Sudo Fun - OS X에서 sudo를 사용하는 법에 대한 가이드
- (한글) 리눅스 root와 sudo 명령어 접두사 개념과 사용법