Sudo

3. 설계

`sudo`는 su와 달리 사용자가 자신의 비밀번호를 제공하여 인증하고, `/etc/sudoers` 설정 파일에 명시된 권한을 부여받는 방식으로 작동하도록 설계되었다.^[11][12] 이를 통해 권한 있는 사용자는 다른 계정의 비밀번호를 알 필요 없이 특정 그룹 (일반적으로 wheel 그룹 또는 sudo 그룹)에 속함으로써 권한을 변경하여 명령을 실행할 수 있다.^[13] 또한 `sudo`는 각 명령 실행을 기록하도록 구성할 수 있어 시스템 보안 및 감사 기능을 강화한다.^[15]

3. 1. 기본 작동 방식

3. 2. 보안 및 감사

snorri@rimu:~$ sudo vi /etc/resolv.conf

We trust you have received the usual lecture from the local System

Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.

#2) Think before you type.

#3) With great power comes great responsibility.

Password:

snorri is not in the sudoers file. This incident will be reported.

snorri@rimu:~$

snorri@rimu:~$ sudo tail /var/log/auth.log

Aug 5 06:00:28 localhost sudo: snorri : user NOT in sudoers ; TTY=pts/1 ; PWD =/home/snorri ; USER=root ; COMMAND=/usr/bin/vi /etc/resolv.conf

Aug 5 06:01:15 localhost su[15573]: (pam_unix) session opened for user root by snorri(uid=1000)

Aug 5 06:02:09 localhost sudo: snorri : TTY=pts/1 ; PWD=/home/snorri ; USER=root ; COMMAND=/usr/bin/vi /etc/resolv.conf

Aug 5 06:02:49 localhost sudo: snorri : TTY=pts/1 ; PWD=/home/snorri ; USER=root ; COMMAND=/usr/bin/tail /var/log/auth.log

4. 설정

`sudo`의 설정은 `sudoers` 파일을 통해 이루어지며, 이 파일은 어떤 사용자가 어떤 명령을 실행할 수 있는지를 정의한다. `sudoers` 파일은 `visudo` 명령어를 사용하여 편집하는 것이 좋다. `visudo`는 편집기를 실행하여 `sudoers` 파일을 열고, 편집이 완료되면 구문 오류를 검사한다. `sudoers` 파일에는 사용자 권한, 명령 실행 옵션, 암호 관련 설정 등 다양한 내용을 지정할 수 있으며,^[16] 파일의 문법은 매뉴얼에 EBNF를 사용하여 자세히 설명되어 있다.^[29]

4. 1. `/etc/sudoers` 파일

4. 2. 구성 옵션

5. 이점

su를 사용하지 않고 sudo를 권장하는 운영 체제에서는 다음과 같은 이점이 있다.^[32]

• 운영 체제 설치 시 설정 항목을 줄일 수 있다.
• 사용자가 불필요한 암호를 기억하지 않아도 된다.
• 큰 변경을 할 때 암호 입력을 요구함으로써 사용자가 무엇을 하려고 하는지 재인식할 수 있다.
• sudo 명령 실행 로그가 남아, 문제가 발생했을 때 어떤 명령을 실행했는지 확인할 수 있어 시스템 감시에 유용하다.
• root 계정으로의 로그인을 비활성화했을 경우, 암호 무작위 대입 등 강제적인 수법으로 시스템 침입을 시도하는 크래커가 root 계정으로 침입할 수 없다.
• 사용자를 관리자 그룹에 추가, 삭제함으로써 관리자 권한을 가질 수 있는 사용자를 제한할 수 있다.
• sudo는 su에 비해 더 세부적인 보안 정책을 설정할 수 있다.
• 관리자 권한을 시간 경과에 따라 자동으로 폐기하도록 설정할 수 있다.

5. 1. 시스템 관리

• 운영 체제 설치 시 설정 항목을 줄일 수 있다.
• 불필요한 암호를 기억하지 않아도 된다.
• 암호 입력을 통해 수행하려는 작업을 재인식할 수 있다.
• sudo 명령 실행 로그를 통해 문제 발생 시 실행된 명령을 확인할 수 있어 시스템 감시에 유용하다.
• root 계정 로그인을 비활성화하면 암호 무작위 대입 등의 방법으로 크래커가 root 계정에 침입하는 것을 막을 수 있다.
• 관리자 그룹에 사용자를 추가/삭제하여 관리자 권한을 가진 사용자를 제한할 수 있다.
• su보다 세부적인 보안 정책 설정이 가능하다.
• 시간 경과에 따라 관리자 권한을 자동으로 폐기하도록 설정할 수 있다.

5. 2. 보안 강화

• sudo 명령 실행 로그가 남아, 문제가 발생했을 때 어떤 명령을 실행했는지 확인할 수 있다. 시스템 감시의 의미에서도 유용하다.
• root 계정으로의 로그인을 비활성화했을 경우, 암호 무작위 대입 등 강제적인 수법으로 시스템 침입을 시도하는 크래커가 root 계정으로 침입할 수 없다.
• 사용자를 관리자 그룹에 추가, 삭제함으로써 관리자 권한을 가질 수 있는 사용자를 제한할 수 있다.
• sudo는 su에 비해 더 세부적인 보안 정책을 설정할 수 있다.
• 관리자 권한을 시간 경과에 따라 자동으로 폐기하도록 설정할 수 있다.

6. 예제

`sudo` 명령어를 실행하기 전에 사용자는 비밀번호를 입력한다. 해당 비밀번호가 정확하고, `/etc/sudoers` 설정 파일에 해당 사용자의 접근 권한이 있으면 명령이 실행된다. GUI 환경에서 사용할 수 있는 `kdesu`, [https://launchpad.net/kdesudo kdesudo], `gksudo` 등의 그래픽 프론트 엔드도 있다.^[44] 기본적으로 사용자가 입력한 비밀번호는 일정 기간 동안 유지되며, 그 동안은 `sudo` 명령을 실행할 때 비밀번호를 다시 입력할 필요가 없다.

`snorri`라는 사용자가 `sudo` 사용을 시도했다가 실패하고, `/etc/sudoers`에 추가된 후 성공한 예시와 관련 로그는 하위 섹션에서 확인할 수 있다.

6. 1. 접근 거부 예시

6. 2. 로그 기록 예시

7. runas, su, 그리고 sudo

`sudo`는 su와 달리 사용자 자신의 비밀번호를 사용하며, 다른 계정의 비밀번호를 알 필요가 없어 보안성이 높다.^[11][12] `sudo`를 사용하려면 특정 그룹 (wheel 그룹 또는 sudo 그룹)에 속해야 한다.^[13] 인증 후 설정 파일에 따라 시스템은 명령을 실행한다. `sudo`는 가상 터미널당 일정 시간(보통 5분) 동안 사용자 권한을 유지하여, 비밀번호 재입력 없이 여러 명령을 실행할 수 있게 한다.^[14]

`sudo`는 보안 및 감사 목적으로 각 명령 실행을 기록할 수 있다. 사용자가 설정 파일에 없는데 `sudo`를 호출하면, 시도가 기록되었다는 알림을 받는다. 루트 사용자는 메일로 알림을 받을 수 있고, 기본적으로 시스템에 기록이 남는다.^[15]

7. 1. `runas`와 `su`의 한계

• 권한이 부여된 사용자가 자신의 권한으로 높은 권한의 프로세스를 실행하는 것을 허락하지 않는다.
• 사용자의 프로파일과 객체의 소유권을 보존하지 않는다.

7. 2. `sudo`의 장점

8. RBAC (역할 기반 접근 제어)

SELinux와 함께 sudo는 역할 기반 접근 제어(RBAC)에서 역할 전환을 위해 사용될 수 있다.^[45][18]

9. 도구 및 유사 프로그램

• `visudo`는 `/etc/sudoers` 파일을 수정하여 사용하는 vi 기반 프로그램이다.
• 마이크로소프트는 2024년 2월에 윈도우용 자체 ''sudo'' 버전을 출시했다.^[21]
• 해밀턴 C 셸은 윈도우용 ''su''와 ''sudo''를 포함하며, 자식 프로세스를 권한 상승된 상태 또는 다른 사용자로 시작할 수 있도록 해당 상태 정보를 모두 전달한다.^[22][23]
• OpenBSD 5.8 (2015년 10월)부터 사용할 수 있는 doas는 OpenBSD 기본 시스템에서 ''sudo''를 대체하기 위해 작성되었으며, ''sudo''는 포트로 계속 제공된다.^[26]
• gosu는 컨테이너화된 환경 등에서 sudo를 실행하는 데 바람직하지 않은 영향이 있을 때 널리 사용되는 sudo와 유사한 도구이다.^[27]

9. 1. `visudo`

9. 2. `sudoedit`

9. 3. 윈도우용 `sudo`

9. 4. `gksudo` (더 이상 사용되지 않음)

9. 5. 기타 유사 프로그램

참조

_[1] 웹사이트 A Brief History of Sudo https://www.sudo.ws/[...] 2018-11-15
_[2] 웹사이트 Sudo News https://www.sudo.ws/[...] 2023-04-12
_[3] 웹사이트 Interview: Inventing The Unix "sudo" Command https://hackaday.com[...] 2022-01-10
_[4] 웹사이트 Aaron Toponce : The Meaning of 'su' https://pthree.org/2[...] 2015-08-18
_[5] 웹사이트 What is Sudo https://www.sudo.ws/ 2022-06-07
_[6] 웹사이트 su(1) Linux manual page https://man7.org/lin[...] 2022-06-08
_[7] 웹사이트 Sudo - ArchWiki https://wiki.archlin[...] 2015-11-09
_[8] 서적 LPI Linux Certification in a Nutshell O'Reilly Media 2010
_[9] 웹사이트 Sandwich https://xkcd.com/149[...] 2022-04-11
_[10] 웹사이트 Sudo Logo https://www.sudo.ws/[...] 2022-04-11
_[11] 웹사이트 About Unix sudo and su commands https://kb.iu.edu/d/[...] 2019-06-18
_[12] 웹사이트 Linux security: What is sudo and why is it so important? https://www.zdnet.co[...] 2024-01-23
_[13] 웹사이트 Linux Sudo Command, How to Use With Examples https://phoenixnap.c[...] 2024-01-23
_[14] 웹사이트 What is the sudo (su 'do') command-line utility? – TechTarget Definition https://www.techtarg[...] 2024-01-23
_[15] 웹사이트 Where are sudo Incidents Reported? https://www.baeldung[...] 2023-04-10
_[16] 웹사이트 Linux 101: Introduction to sudo https://www.linux.co[...] 2024-01-23
_[17] 웹사이트 Let Sudo Insult You When You Enter Incorrect Password https://www.tecmint.[...] 2024-01-23
_[18] 웹사이트 SELinux Lockdown Part Five: SELinux RBAC http://selinux-mac.b[...] 2012-11-17
_[19] 웹사이트 This Week In Security: Sudo, Database Breaches, And Ransomware https://hackaday.com[...] 2021-05-24
_[20] 웹사이트 sudoedit(8) - Linux manual page https://man7.org/lin[...] 2021-05-24
_[21] 웹사이트 Introducing Sudo for Windows! https://devblogs.mic[...] 2024-02-08
_[22] 웹사이트 su http://hamiltonlabs.[...] Hamilton Laboratories 2015-08-17
_[23] 웹사이트 Predefined aliases: sudo http://hamiltonlabs.[...] Hamilton Laboratories 2015-08-17
_[24] 웹사이트 Remove gksu from Ubuntu https://bugs.launchp[...] "[[Canonical (company)|Canonical]], which owns [[Launchpad (website)|Launchpad]]" 2020-01-10
_[25] 웹사이트 Software Packages in "bionic" https://packages.ubu[...] "[[Canonical (company)|Canonical]]" 2020-01-10
_[26] 웹사이트 sudo-1.8.26 – execute a command as another user http://ports.su/secu[...] 2019-02-26
_[27] 웹사이트 gosu https://github.com/t[...]
_[28] 웹사이트 Sudo Main Page https://www.sudo.ws/ 2021-07-29
_[29] 웹사이트 Manpage for sudo http://www.gratisoft[...] 2007-11-04
_[30] 문서 RootSudo - Community Ubuntu Documentation https://help.ubuntu.[...]
_[31] 웹사이트 A Brief History of Sudo http://www.sudo.ws/s[...] 2014-03-17
_[32] 웹사이트 suとsudoについて - Ubuntu Japanese Wiki https://wiki.ubuntul[...] 2010-10-18
_[33] 문서 microsoft/sudo: It's sudo, for Windows - GitHub https://github.com/m[...]
_[34] 웹사이트 Introducing Sudo for Windows! https://devblogs.mic[...] 2024-02-09
_[35] 웹사이트 Announcing Windows 11 Insider Preview Build 26052 (Canary and Dev Channels) https://blogs.window[...] 2024-02-09
_[36] 웹사이트 Home {{!}} gsudo (sudo for windows) https://gerardog.git[...] 2024-02-09
_[37] 웹인용 Sudo License https://web.archive.[...] 2010-05-22
_[38] 웹인용 Manpage for sudo https://web.archive.[...] 2007-11-04
_[39] Ubuntu Documentation RootSudo - Community Ubuntu Documentation https://help.ubuntu.[...]
_[40] MacDevCenter MacDevCenter.com - Top Ten Mac OS X Tips for Unix Geeks http://www.macdevcen[...]
_[41] 웹인용 A Brief History of Sudo http://www.gratisoft[...] 2007-03-05
_[42] 웹인용 Microsoft has Patented "sudo." Yes, the Command https://web.archive.[...] 2009-11-13
_[43] 웹인용 보관된 사본 http://blog.seattlep[...] 2012-12-15
_[44] 웹인용 Introduction to Authorization Services Programming Guide https://web.archive.[...] 2010-05-22
_[45] 웹인용 SELinux Lockdown Part Five: SELinux RBAC http://selinux-mac.b[...] 2012-11-17