권한 설계

프로세스 권한 최소화

보호 도메인, 접근 행렬, 역량 리스트를 실제 운영에 적용할 때의 결론은 최소 권한과 권한 분리다.

권한 부여 순서

1
자원과 연산을 먼저 분리 웹 콘텐츠는 읽기, 로그 파일은 추가 쓰기, 설정 파일은 배포 계정만 수정처럼 연산 단위를 좁힌다.
2
기본값은 거부 접근 제어 목록이나 역량 토큰에 명시되지 않은 파일, 장치, 네트워크 권한은 실패하게 둔다.
3
권한 상승 경로를 제한 세트 사용자 식별자, 시스템 호출, 커널 모드 진입은 필요한 지점에서만 짧게 허용한다.

분리해야 할 부분

높은 권한 인증 확인과 비밀 파일 수정 비밀번호 변경처럼 반드시 필요한 순간에만 루트 도메인이나 커널 도메인을 사용한다.
낮은 권한 네트워크 처리와 사용자 입력 외부 입력을 많이 받는 코드는 비특권 프로세스로 실행해 침해 시 영향을 제한한다.
컨테이너 실행 읽기 전용 파일 시스템, 모든 역량 제거, 필요한 포트 바인딩 역량만 추가한다.
취소 가능성 자원 기준 권한은 접근 제어 목록을 지우면 끊기 쉽고, 역량 토큰은 보유자를 추적해야 한다.
감사 기준 작업에 필요하지 않은 쓰기 권한, 세트 사용자 식별자, 루트 실행 여부를 우선 확인한다.