병철 2022-09

답글이 꽤 있던걸로 기억하는데, 글을 왜 지웠다가 다시 올리시나요?

겨울나무 2022-09

질문내용과 무관한 내용들이라서요. rm -rf 를 몰라서 질문드린게 아닙니다.

SiCMOS 2022-09

그냥 직접 찾아서 정해보세요 ㅎ

송주환 2022-09

'특정 명령어 다 알고 있으니 명령어 한두개 말고 모아놓은 목록 을 찾습니다.' 라니, 마음에 안 드는 답글이 달리면 지우고 새 글을 올리시나요?
QnA에 답변 다시는 분들은 자기 시간 쪼개가면서 다른 사람의 질문에 답을 주는 것인데, 아무리 답변이 마음에 들지 않는다 한들 글을 지우는 것은 예의가 아닙니다.

겨울나무 2022-09

질문내용과 무관한 내용들이라서요. rm -rf 를 몰라서 질문드린게 아닙니다.

엠브리오 2022-09

질문자가 rm -rf 명령을 아는지 모르는지, 답글을 쓰는 사람은 알수가 없습니다.
남의 머리속을 꿰뚫어 보는 능력자를 찾는거라면 다른데 문의해보시는게 좋겠습니다.
댓글이 마음에 안든다고 게시글을 통째로 날려버리는 "만행"은 여기 회원들이 대부분 싫어합니다.

겨울나무 2022-09

질문내용은 명확합니다. 명령어 한두개가 아닌 현업이 쓰는 명령어 리스트요.
 rm -rf 하나 딸랑 금지어 쓰는 현업이 있나요?
나름 구글링 찾아보고 마땅한 리스트가 없어보여 일반적인 관련 관리하는 분들도 있을까봐
찾아본건데 구글링 되는 게시판에 질문의도와 부정확한 글 추가할 이유는 없다고 봅니다.

병철 2022-09

= "내가 생각하기는 싫고. 니가 만들어둔 리스트랑 노하우나 달라고 그냥"

anti2cpu 2022-09

저도 같은 생각입니다.

겨울나무 2022-09

구글링 해도 적당한 내용이 없기에 질문 올린건데 가십거리 rm -rf 관련 내용만 달리기에 질문과 무관한 댓글달린 글은 삭제하였습니다.

저와같이 찾은 분들도 같은 결과만 나오면 차라리 검색대상에 안나오는게 훨씬 나아서요.

겨울나무 2022-09

질문에 유효한 댓글이 나오면 절대 삭제하지 않습니다. 질문과 다른 가십거리는 구글링 안되는 자유게시판에서 부탁드립니다.

답글 다는 수고 만큼 이 게시판이 구글링 되서 검색하는 분들도 시간들여 검색하고 본문과 무관한 내용이 검색되면 그만큼 허망할겁니다.

제갈기천 2022-09

질문 내용대로시면, 조회성 명령어 빼고 전체로 생각하시면 될 것 같아 보입니다...

겨울나무 2022-09

인프라 운영자는 조회성 명령어 제외한 전체를 막아버리면 운영이 불가능하구요.
app 운영자 역시 자신의 계정 하에서 가능한 명령어 중 조회성 제외한 명령어를 전체를 막으면 안되기에
이런부분을 검토한 현업 리스트가 있는지를 묻는 질문입니다.

송주환 2022-09

각 회사마다 보안 정책이 다르고, 특히 App의 경우에는 그 서버에서 무슨 애플리케이션이 돌아갈지 알 수가 없기 때문에 원하시는 목록은 존재하지 않을 것입니다. 회사의 보안 정책 컴플라이언스에 맞춰 구체적인 액션 플랜을 수립하는 것이 운영자의 일이며, 그래서 월급을 주는 것입니다. 엔터프라이즈 보안에 실버 불렛은 없습니다.

겨울나무 2022-09

그래서 일반적인 유닉스 리눅스의 금지명령어를 찾았지만 뭐 포기해야 겠네요.
당연히 기업 환경에 맞는 금지어는 다를것이고 그래서 보편적인 명령어라도 있는지 구글링 하다가 질문 올린건데
의도와 다르게 rm -rf 등의 장난댓글만 남아서 글삭제까지 하게 됐습니다.

금칙어 자체도 대외비 사항이고 그래서 현업자료를 문의 드렸지만 최소한 일반적인 유닉스 환경 하에서
리스크가 있는 명령어 리스트는 나올 줄 기대했던 제 잘못입니다.

병철 2022-09

rm -rf가 왜 장난댓글이죠?

송주환 2022-09

'금칙어 자체도 대외비 사항이고 그래서 현업자료를 문의 드렸지만 최소한 일반적인 유닉스 환경 하에서 리스크가 있는 명령어 리스트는 나올 줄 기대했던 제 잘못입니다.' 라..
Stack Overflow 가서 똑같은 질문을 올려보세요. 커뮤니티가 문제인지, 질문자가 문제인지 직접 눈으로 확인하실 수 있을 겁니다.

겨울나무 2022-09

댓글이 달려 수정이 안되네요.

rm -rf 가 장난댓글 -> 가십성 글
금칙어 자체도 대외비 사항이고 -> 금칙어 자체가 대외비일 수도 있지만

newretrowave 2022-09

특정 명령어들을 금지해 놓겠다는 접근이 옳은가 의심이 듭니다
명령어도 결국 프로그램일 뿐입니다. 직접 그자리에서 컴파일해서 하나 만들면 그만이죠.
각 사용자가 어떤 자원에 접근이 필요한지 조사한 뒤에 권한 기반으로 접근 통제를 해야합니다

extra 2022-09

동의합니다.
가상머신 형식으로 샌드박스형태면 모르겠지만 그렇지 않다면 모든 권한을 금지하고 필요한 명령어만 허용하는게 맞다고 생각합니다.

perillamint 2022-09

우문현답을 하자면, 명령어 금지는 올바르지 않은 방식이고, 리소스 접근을 제한하는 게 올바른 방향입니다.

LSM, SELinux, AppArmor 같은 키워드로 찾아보시길 바라며, Mandatory Access 룰셋은 본인의 환경에 맞게 직접 구축하셔야 하는 부분이니 룰셋 작성이라는 숙제는 직접 해결하시길 바랍니다.

아 그리고 금칙어가 왜 "멍청한" 방법인지는, 수 많은 금칙어 기반 시도들이 어떻게 비참하게 실패했는지를 보신다면 ㅎㅎ... 사실 @newretrowave 님의 말에서 더 나가자면, 컴파일할 필요 조차도 없습니다. 어떤 형식이던 바이너리 업로드 하면 끝나니까요. 시리얼로도 어찌저찌 하면 정적 비지박스 밀어넣고 그거 기반으로 확장 가능합니다. (꽤 자주 해봄)

이준용 2022-09

진정 우문현답 이시네요.

dateno1 2022-09

+1

아무 방어체제 없다면 우회할 방법 몇가지는 떠오르네요

애초에 그런 위험한 명령을 내릴 수 있는 계정 권한을 주는 시점에서 그 계정 사용자가 맘 먹으면 시스템 콩가루(?) 만들어버릴 수 있습니다

dadami 2022-09

rbash 쓰고 나름 쓸만한 명령어 리스트가 있던걸로 아는데; 그것도 날려먹으신거네요,

파닥파닥 2022-09

어떤 의도에서 문의글을 올리셧는지 짐작도 가고 해당 기반으로 동작하는 솔루션을 사용하고 있는 입장에서 말씀드리면, 금칙어 기반은 힘들고 행동기반 또는 그와 유사한 방법으로 막지 않는한은 의도하신 결과가 어렵습니다.

앞서 글에서 rm -rf 같은 이야기가 나왔지만, 분명 해당 명령도 시스템 운영에는 절대적으로 필요한 명령이다보니 제한거는 순간 엄청난 민원이 발생할겁니다

파일 열어보는 cat 도 얼마든지 악용하면 시스템 날리는 명령으로 쓸수도 있구요

금칙어 기반을 반드시 써야만 하겟다 하시면 명령어만 말고 전체적인 패턴을 막는 방식으로 접근해야 합니다