정보보안기사 - 1.4 리눅스 프로세스 관리와 Cron 스케줄링

Linux Process Management and Cron Scheduling - InfoSec Engineer 1.4

• R (Running)
  현재 CPU를 점유하여 실행 중이거나, 실행될 차례를 기다리는 대기열(Queue)에 있는 상태입니다.
• S (Sleeping)
  요청한 작업이 완료되기를 기다리는 상태입니다.
  키보드 입력이나 네트워크 패킷을 기다리는 등 대부분의 유휴 프로세스가 이 상태입니다. (인터럽트 가능)
• D (Disk Sleep)
  디스크 I/O 작업이 끝나기를 오매불망 기다리는 상태입니다.
  이 상태에서는 강제로 종료시킬 수 없어(
  Uninterruptible
  ) 시스템 부하의 주범이 되기도 합니다.
• T (Stopped)
  작업 제어 신호(Ctrl+Z 등)에 의해 일시 정지된 상태입니다.
• Z (Zombie)
  실행은 종료되었으나, 메모리상에 최소한의 정보(PID 등)가 남아있는 상태입니다.

• 발생 원인
  자식 프로세스(Child)가 죽었는데, 부모 프로세스(Parent)가 이를 인지하지 못하고 뒤처리를 안 해줬을 때 발생합니다.
• 해결 방법
  좀비 프로세스 자체는 이미 죽은 상태라 kill 명령어가 먹히지 않습니다.
  대신 좀비를 만든
  부모 프로세스(PPID)를 찾아 종료
  시켜야 합니다.
  부모가 프로세스가 사라지면 좀비 프로세스는
  init
  프로세스(PID 1)가 깔끔하게 종료를 해줍니다.

top

• Load Average
  1분, 5분, 15분간의 평균 시스템 부하량입니다.
  CPU 코어 수(예: 4코어)보다 이 수치가 높으면(예: 5.0) 시스템이 과부하 상태임을 의미합니다.
• %CPU / %MEM
  각 프로세스가 CPU와 메모리를 얼마나 잡아먹고 있는지 보여줍니다.
  채굴 악성코드 등은 CPU 점유율이 비정상적으로 높습니다.

top 명령어 예시

 # 분  시  일  월  요일  사용자  명령어
30  03  *   *   *    root    /root/backup.sh

• 분 (Minute)
  : 0 ~ 59
• 시 (Hour)
  : 0 ~ 23
• 일 (Day of Month)
  : 1 ~ 31
• 월 (Month)
  : 1 ~ 12
• 요일 (Day of Week)
  : 0 ~ 7 (0과 7은 일요일)

cron 예시

1. 화이트리스트 방식 (/etc/cron.allow)
   이 파일이 존재하면, 여기에 적힌 사용자만 crontab을 사용할 수 있습니다.
   보안상 가장 권장되는 방식입니다.
2. 블랙리스트 방식 (/etc/cron.deny)
   cron.allow가 없고 이 파일만 존재하면, 여기에 적힌 사용자는 차단되고 나머지는 모두 허용됩니다.

sudo apt install at  # at 패키지 설치 (없을 시)
sudo systemctl start atd  # at 데몬 시작

 # 사용 예시: 내일 오전 10시에 스크립트 실행 예약
at 10:00 tomorrow
at> /home/user/script.sh
at> <EOT> 
 # (Ctrl+D로 저장)

ps -ef | head -n 2

UID        PID  PPID  C STIME TTY          TIME CMD
root         1     0  0 Jan01 ?        00:00:10 /sbin/init

• UID
  : 프로세스를 실행한 사용자.
• PID
  : 프로세스 ID (주민등록번호).
• PPID (Parent PID)
  : 부모 프로세스 ID. 좀비 프로세스가 발생했을 때 이 PPID를 찾아 죽여야 합니다.
• C
  : CPU 사용률.
• CMD
  : 실행된 명령어.

ps aux | head -n 2

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.1  16880  9840 ?        Ss   Jan01   0:10 /sbin/init

• VSZ (Virtual Memory Size)
  : 프로세스가 예약한 가상 메모리 크기 (단위: KB).
• RSS (Resident Set Size)
  : 실제 물리 메모리를 점유하고 있는 크기 (단위: KB).
• STAT
  : 프로세스 상태 코드 (아래에서 상세 설명).

• < (High Priority)
  우선순위가 높은 프로세스입니다. 다른 프로세스보다 CPU를 먼저 배정받습니다.
• N (Low Priority)
  우선순위가 낮은 프로세스입니다. (Nice 값이 높음)
• L (Lock)
  메모리에 페이지가 잠겨 있어 스왑(Swap)되지 않는 상태입니다. (주로 실시간 시스템)
• s (Session Leader)
  세션 리더입니다. 보통 쉘이나 데몬 프로세스처럼 하위 프로세스들을 거느린 대장입니다.
• l (Multi-threaded)
  멀티 스레드로 동작하는 프로세스입니다.
• + (Foreground)
  현재 터미널의 전경(Foreground)에서 실행 중인 프로세스입니다. 사용자와 상호작용 중임을 의미합니다.

• Ss: 대기 중(S)이며, 세션 리더(s)인 프로세스 (예: 데몬).
• R+: 실행 중(R)이며, 현재 터미널 앞단(+)에 나와 있는 프로세스.
• S<l: 대기 중(S)이며, 우선순위가 높고(<), 멀티 스레드(l)인 프로세스.

• 프로세스 관리
  ps -ef로 부모(PPID)를 확인하고, ps aux로 메모리(RSS)와 상태(STAT)를 정밀 분석합니다.
• 좀비 프로세스
  상태 코드가 Z인 프로세스는 그 자체를 죽일 수 없으므로, PPID를 찾아 부모를 종료시켜야 해결됩니다.
• 스케줄링 보안
  Cron과 At은 allow 파일을 사용하여 허용된 사용자만 쓰게 하는 것이 원칙입니다.

다음 시간에는 운영체제를 윈도우로 옮겨 1.5 윈도우 인증(LSA)과 파일 시스템(NTFS)에 대해 알아보겠습니다.

• Linux Man Page: ps(1)↗
  ps 명령어의 모든 옵션과 상태 코드에 대한 공식 매뉴얼입니다.
• Red Hat System Administration Guide - Monitoring↗
  시스템 성능 모니터링에 대한 엔터프라이즈 가이드입니다.