AWS 에 그닥 복잡하지 않은 심플한 웹 서비스를 올리기 위해 Web, DB 서버를 구축했습니다.
서비스 구축을 위해 한 개발사를 소개 받아서 그 업체게 서버 root 권한을 제공하고 서비스 구축을 거의 완료 했는데
갑자기 추가로 다른 업체를 소개하면서 동일한 서버, 서비스에 추가 개발을 한다고 root 권한을 주라고 요청을 받았습니다.
동일한 Web server, DB server, 동일한 Web Document root 의 특정 하나의 디렉토리에 권한을 달라고 합니다.
처음에 제공한 계정을 두 업체에 공유하면 간단하게 해결될 일이지만
그렇게 하기엔 두 업체가 서로 잡업한 사항으로 인해 다른 업체의 서비스에 영향이 생기거나 했을때 책임 소재 파악도 어려워지고
보안 적으로도 허용하기가 참 난애합니다.
두 업체에 제공될 두 계정의 그룹을 동일하게 묶어서 Document root 에 두 계정에 동일한 권한을 부여해 달라는데 영 찝찝합니다.
이런 경우 겪으신 분들 계신가요? 뭐 이런 경우가 다 있지... ㅠㅠ
서비스 구축을 위해 한 개발사를 소개 받아서 그 업체게 서버 root 권한을 제공하고 서비스 구축을 거의 완료 했는데
갑자기 추가로 다른 업체를 소개하면서 동일한 서버, 서비스에 추가 개발을 한다고 root 권한을 주라고 요청을 받았습니다.
동일한 Web server, DB server, 동일한 Web Document root 의 특정 하나의 디렉토리에 권한을 달라고 합니다.
처음에 제공한 계정을 두 업체에 공유하면 간단하게 해결될 일이지만
그렇게 하기엔 두 업체가 서로 잡업한 사항으로 인해 다른 업체의 서비스에 영향이 생기거나 했을때 책임 소재 파악도 어려워지고
보안 적으로도 허용하기가 참 난애합니다.
두 업체에 제공될 두 계정의 그룹을 동일하게 묶어서 Document root 에 두 계정에 동일한 권한을 부여해 달라는데 영 찝찝합니다.
이런 경우 겪으신 분들 계신가요? 뭐 이런 경우가 다 있지... ㅠㅠ
6개의 답변이 있습니다.
감사합니다.
root 권한은 시스템 관리자 용이지 개발자 계정은 아니라 생각되고요.
작업이 필요하 폴더나 파일에 대해 읽기/쓰기 권한을 가진 계정 또는 그룹을 부여해서 두 업체에 서로 다른 계정을 할당하는게 좋을 것 같네요.
각각 업체 ID를 만들어주고 admin 권한을 줘야할것으로 보입니다.
root를 준다는건 뭔가 좀 그렇네요.
콘솔은 안주니 상관없겠지만 root가 아닌 권한상승만으로 제한하면 일이 많아질까요?
디렉토리는 계정별권한제어가 실제론 맞는것이고,
디비 역시 계정별로 권한제어하는 것이 맞는것이긴합니다.
su나 admin을 주는것은 제한해야지요
sudo로 사용하면 안될까요?