Protection

운영체제 보호 메커니즘 지도

보호는 내부 프로그램이 허용된 자원만 쓰게 만드는 OS의 통제 장치입니다. CPU 모드, 메모리 권한, 파일 권한, 도메인 전환이 함께 작동해 피해 범위를 제한합니다.

Domain프로세스가 가진 권한 범위
Check접근 전 권한 검사
Allow허용된 연산만 수행
Deny기본 거부와 예외 처리
01

모드 비트

사용자 모드가 커널 명령을 직접 실행하지 못하게 막습니다.

02

메모리 보호

다른 프로세스나 커널 영역을 임의로 읽고 쓰지 못하게 합니다.

03

파일 권한

소유자, 그룹, ACL 기준으로 연산 가능 여부를 판단합니다.

04

도메인 전환

SetUID나 시스템 콜처럼 통제된 방식으로 권한을 바꿉니다.

판단 기준

  • 보호는 외부 공격보다 내부 실행 흐름의 권한 제한에 초점을 둡니다.
  • 접근 행렬은 이론 모델이고 실제 구현은 ACL과 Capability로 나뉩니다.
  • 권한은 필요한 만큼만 부여하고 기본값은 거부가 안전합니다.

모델 매칭

ACL자원 기준
Capability주체 기준
SetUID도메인 전환
Deny기본 거부