일반적으로 root 유저로 계정을 전환할 때 우리는

$ su -

명령을 사용하게 된다.

그런데, 

$ sudo -i

라는 명령을 사용해도 동일하게 root 유저가 되는데 어떤 차이가 있는건지 궁금해졌다.

1. sudo -i 의 동작

sudo -i 에서 "-i" 옵션은 대화형 모드 + root 계정의 *로그인 쉘 실행을 의미한다.(interactive mode + root login shell)

이때, root 계정의 쉘 환경과 환경변수를 모두 적용한다. sudo는 (당연하게도)사용자가 현재 sudo 권한을 가질 때만 작동한다.

sudo 명령 자체가 단일 명령어를 root 권한으로 실행하는 것이기 때문에, 현재 로그인 쉘(세션)은 유지된다.

sudo -i 는 실제로 root 계정의 로그인 쉘을 실행하며, 환경변수 $HOME, $PATH 등을 root 계정의 것으로 설정한다.

*로그인 쉘: 로그인 쉘은 사용자가 로그인할 때 실행되는 쉘로, 사용자 계정의 환경 변수($PATH, $HOME 등)와 셸 프로파일(.bash_profile, .bashrc 등)이 로드된다. sudo -i는 root 계정으로 로그인한 것처럼 로그인 쉘을 실행하는 것이다.

2. su - 의 동작

su 는 substitute user 의 약자로, 현재 로그인 쉘을 유지하면서 새로운 유저의 로그인 쉘로 변경하는 것이다. "-" 옵션을 주면 root 계정으로 전환되고, root 계정의 쉘 환경과 환경변수가 모두 적용된다. 

3. sudo -i 와 su - 의 차이점

su - 는 root 계정의 비밀번호가 필요하다.

반면, sudo -i 는 자신의 비밀번호가 필요하다. root 계정의 비밀번호는 필요하지 않다. sudo 권한을 통해 root 계정의 환경을 임시로 사용한다고 이해하면 쉽다.

즉, sudo 명령어의 -i 옵션은 "interactive login shell" 이라고만 알아도 두가지의 차이점을 이해할 수 있다.

file attribute 는 ls -l 명령에서 조회되지 않으며, 파일을 보호하거나 파일을 수정/삭제할 때 추가적인 동작을 설정하기 위한 속성이다.

이해하기 위해, 파일에 대한 자세한 상태를 조회해보자.

# stat file1
  File: file1
  Size: 0         	Blocks: 0          IO Block: 4096   regular empty file
Device: 89h/137d	Inode: 3028155     Links: 1
Access: (0644/-rw-r--r--)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2025-03-15 19:41:19.831013012 +0900
Modify: 2025-03-15 19:41:19.831013012 +0900
Change: 2025-03-15 19:41:19.831013012 +0900
 Birth: -
# cat file1
# stat file1
  File: file1
  Size: 0         	Blocks: 0          IO Block: 4096   regular empty file
Device: 89h/137d	Inode: 3028155     Links: 1
Access: (0644/-rw-r--r--)  Uid: (    0/    root)   Gid: (    0/    root)
Access: 2025-03-23 13:36:24.020187004 +0900
Modify: 2025-03-15 19:41:19.831013012 +0900
Change: 2025-03-15 19:41:19.831013012 +0900
 Birth: -

stat 명령어로 파일에 대한 access time, modify time, change time 을 조회할 수 있다. 그런데, cat 명령어로 파일을 조회하면 access time 이 변경되는 것을 볼 수 있다.

• access time: 파일 내용을 조회한 시점
• modify time: 파일 내용을 수정한 시점
• change time: 파일 속성정보를 수정한 시점(소유자, 권한 등)

이 파일에 접근하여도 access time 을 갱신하지 않도록 하려면 어떻게 해야 할까?

해당 파일의 file attribute 에 특정 attribute 를 추가해주면 된다.(여기서는 A 속성이 맞겠다.)

file attribute 주요 속성

1. file attribute 확인하기

lsattr {파일명}

2. file attribute 변경하기

chattr[ -options] {속성변경자}{속성} {대상파일명}

options 설명

속성변경자 설명

e.g.

# chattr +a file1

=> file1 에 append 만 가능하도록 속성을 설정한다.

기본적인 권한 이외에도 특수 권한(special permission)이라는 것이 존재한다. 

SetUID, SetGID, Sticky bit 이 있으며, 8진수 권한의 제일 앞자리로 나타낸다.

1. SetUID 설정방법

symbol 파라미터 형식: chmod u+s {파일명}

8진수 모드 형식: chmod 4{기존권한} {파일명}

e.g.

# chmod u+s program.exe
# chmod 4755 program.exe

2. SetUID 제거방법

symbol 파라미터 형식: chmod u-s {파일명}

8진수 모드 형식: chmod 0{기존권한} {파일명}

* special permission 자리를 0으로 세팅하므로, SetUID 이외에도 모든 special permission 을 지워준다.

e.g.

# chmod u-s program.exe
# chmod 0755 program.exe

3. SetGID 설정방법

symbol 파라미터 형식: chmod g+s {파일명}

8진수 모드 형식: chmod 2{기존권한} {파일명}

e.g.

# chmod g+s program.exe
# chmod 2755 program.exe

4. SetGID 제거방법

symbol 파라미터 형식: chmod g-s {파일명}

8진수 모드 형식: chmod 0{기존권한} {파일명}

* special permission 자리를 0으로 세팅하므로, SetGID 이외에도 모든 special permission 을 지워준다.

e.g.

# chmod g-s program.exe
# chmod 0755 program.exe

5. sticky bit 설정방법

symbol 파라미터 형식: chmod o+t {디렉토리명}

8진수 모드 형식: chmod 1{기존권한} {디렉토리명}

* 보통 모든 유저가 파일 생성은 가능하게 하므로, 1777 으로 설정하는 것이 일반적임

e.g.

# chmod o+t tmp
# chmod 1777 tmp

6. sticky bit 제거방법

symbol 파라미터 형식: chmod o-t {디렉토리명}

8진수 모드 형식: chmod 0{기존권한} {디렉토리명}

* special permission 자리를 0으로 세팅하므로, sticky bit 이외에도 모든 special permission 을 지워준다.

e.g.

# chmod o-t tmp
# chmod 0777 tmp