라이브러리 개발자를 위한 보안 권한 테스트 - "Network Service" 계정 권한으로 실행

범용적인 상황에서 사용하게 될 라이브러리를 개발하는 경우라면 꽤나 다양한 테스트가 필요합니다. 제가 참여하고 있는 "제니퍼 닷넷" 제품은 사실 윈도우를 대상으로 하는 것이기 때문에 자바에 비해 테스트해야 하는 경우의 수가 적습니다.

그래도, 윈도우 단일 제품 하나라고 결코 간단하지 않습니다. 실제로 제니퍼 닷넷은 다음의 5가지 운영체제에서 테스트 됩니다.

Windows Server 2003 x86
Windows Server 2003 x64
Windows Server 2008 x86
Windows Server 2008 R2
Windows Server 2012 R2

이게 끝이 아닙니다. 닷넷 프레임워크 상에서 실행되는 프로그램을 테스트 하는 것으므로, 각각의 운영체제에서 .NET 2.0과 .NET 4.0으로 나뉘는 테스트 프로젝트가 있습니다. 이것만 해도 벌써 경우의 수가 10개나 됩니다.

물론 이게 전부가 아닙니다. 바로 보안 계정이 있습니다. "Network Service", "Local SYSTEM"으로 구동되는 서비스들이 테스트에 포함되어 있습니다. (이외에도 서비스 유형별-WCF, .NET Remoting, Standalone EXE-로 테스트가 됩니다.)

재미있는 것은 실제로 이런 테스트 환경 덕분에 까딱 잘못했으면 대형사고로 이어질 뻔한 릴리즈를 피할 수 있던 적이 한두번이 아니라는 점입니다.

간단한 예를 하나 들어볼까요? QueryDosDevice라는 Win32 API가 있습니다. 간단하게 사용법을 보면,

using System;
using System.Runtime.InteropServices;
using System.Text;

class Program
{
    [DllImport("kernel32.dll", SetLastError = true)]
    internal static extern int QueryDosDevice([In] string lpDeviceName,
        [Out] StringBuilder lpTargetPath, [In] int ucchMax);

    const int MAX_PATH = 260;
    static void Main(string[] args)
    {
        StringBuilder lpTargetPath = new StringBuilder(MAX_PATH);

        QueryDosDevice("C:", lpTargetPath, MAX_PATH);
        Console.WriteLine("C: ==> " + lpTargetPath);
    }
}

// 출력 결과
// C: ==> \Device\HarddiskVolume4

위의 코드는 일반적인 상황에서 아주 잘 동작합니다. 하지만, Windows 2003 (x86/x64) + "Network Service" 권한아래에서 위의 코드가 실행되면 오류가 발생합니다. 원인 파악을 위해 다음과 같이 코딩하고 실행하면,

int result = QueryDosDevice("C:", lpTargetPath, MAX_PATH);
if (result == 0)
{
    Console.WriteLine("Win32 Error: " + Marshal.GetLastWin32Error());
}

Win32 Error의 출력으로 5 (Access Denied)를 확인할 수 있습니다. 따라서 QueryDosDevice를 범용적인 라이브러리에서 웹 애플리케이션이나 NT 서비스를 위해 제공한다면 주의해야 합니다.

그런데, "Network Service" 계정으로 테스트 하려면 어떻게 해야 할까요? 우선, 생각나는 것이 있다면 1) 웹 애플리케이션을 작성하고 IIS 관리자에서 AppPool의 권한을 "Network Service"로 만드는 방법이 있습니다.

또는, 2) NT 서비스를 하나 만들고 그 서비스의 권한을 "Network Service"로 만들면 됩니다.

그 외 3) 가장 간단한 방법은 "관리자 권한으로 실행한" psexec.exe를 이용해 테스트하는 방법이 있습니다. 예를 들어, cmd.exe를 다음과 같이 실행해 주면,

psexec.exe -i -u "NT AUTHORITY\NETWORK SERVICE" cmd.exe

이후 해당 명령행에서 실행되는 모든 응용 프로그램은 "Network Service" 권한으로 실행됩니다. 주의할 점이 있다면 Windows 2003 x64인 경우에는 다음과 같이 오류가 발생합니다. (그 외의 운영체제에서는 문제없이 동작합니다.)

D:\temp>psexec -i -u "NT AUTHORITY\NETWORK SERVICE" cmd.exe

PsExec v1.98 - Execute processes remotely
Copyright (C) 2001-2010 Mark Russinovich
Sysinternals - www.sysinternals.com


PsExec could not start cmd.exe on WIN2003X64:
Logon failure: unknown user name or bad password.

정말... 끝도 없는 테스트 세상입니다. ^^

[이 글에 대해서 여러분들과 의견을 공유하고 싶습니다. 틀리거나 미흡한 부분 또는 의문 사항이 있으시면 언제든 댓글 남겨주십시오.]

[최초 등록일: 5/31/2014]
[최종 수정일: 5/31/2014]

이 저작물은 크리에이티브 커먼즈 코리아 저작자표시-비영리-변경금지 2.0 대한민국 라이센스에 따라 이용하실 수 있습니다.

by SeongTae Jeong, mailto:techsharer at outlook.com

No	Writer	Date	Cnt.	Title	File(s)
12086	정성태	12/20/2019	21098	디버깅 기술: 144. windbg - Marshal.FreeHGlobal에서 발생한 덤프 분석 사례
12085	정성태	12/20/2019	19056	오류 유형: 586. iisreset - The data is invalid. (2147942413, 8007000d) 오류 발생 - 두 번째 이야기 [1]
12084	정성태	12/19/2019	19473	디버깅 기술: 143. windbg/sos - Hashtable의 buckets 배열 내용을 모두 덤프하는 방법 (do_hashtable.py) [1]
12083	정성태	12/17/2019	22418	Linux: 27. linux - lldb를 이용한 .NET Core 응용 프로그램의 메모리 덤프 분석 방법 [2]
12082	정성태	12/17/2019	20628	오류 유형: 585. lsof: WARNING: can't stat() fuse.gvfsd-fuse file system
12081	정성태	12/16/2019	22533	개발 환경 구성: 465. 로컬 PC에서 개발 중인 ASP.NET Core 웹 응용 프로그램을 다른 PC에서도 접근하는 방법 [5]
12080	정성태	12/16/2019	19682	.NET Framework: 870. C# - 프로세스의 모든 핸들을 열람
12079	정성태	12/13/2019	21607	오류 유형: 584. 원격 데스크톱(rdp) 환경에서 다중 또는 고용량 파일 복사 시 "Unspecified error" 오류 발생
12078	정성태	12/13/2019	21427	Linux: 26. .NET Core 응용 프로그램을 위한 메모리 덤프 방법 [3]
12077	정성태	12/13/2019	20457	Linux: 25. 자주 실행할 명령어 또는 초기 환경을 "~/.bashrc" 파일에 등록
12076	정성태	12/12/2019	19003	디버깅 기술: 142. Linux - lldb 환경에서 sos 확장 명령어를 이용한 닷넷 프로세스 디버깅 - 배포 방법에 따른 차이
12075	정성태	12/11/2019	19822	디버깅 기술: 141. Linux - lldb 환경에서 sos 확장 명령어를 이용한 닷넷 프로세스 디버깅
12074	정성태	12/10/2019	19514	디버깅 기술: 140. windbg/Visual Studio - 값이 변경된 경우를 위한 정지점(BP) 설정(Data Breakpoint)
12073	정성태	12/10/2019	20984	Linux: 24. Linux/C# - 실행 파일이 아닌 스크립트 형식의 명령어를 Process.Start로 실행하는 방법
12072	정성태	12/9/2019	17735	오류 유형: 583. iisreset 수행 시 "No such interface supported" 오류
12071	정성태	12/9/2019	21288	오류 유형: 582. 리눅스 디스크 공간 부족 및 safemode 부팅 방법
12070	정성태	12/9/2019	23206	오류 유형: 581. resize2fs: Bad magic number in super-block while trying to open /dev/.../root
12069	정성태	12/2/2019	19662	디버깅 기술: 139. windbg - x64 덤프 분석 시 메서드의 인자 또는 로컬 변수의 값을 확인하는 방법
12068	정성태	11/28/2019	28307	디버깅 기술: 138. windbg와 Win32 API로 알아보는 Windows Heap 정보 분석 [3]	2
12067	정성태	11/27/2019	19731	디버깅 기술: 137. 실제 사례를 통해 Debug Diagnostics 도구가 생성한 닷넷 웹 응용 프로그램의 성능 장애 보고서 설명 [1]	1
12066	정성태	11/27/2019	19350	디버깅 기술: 136. windbg - C# PInvoke 호출 시 마샬링을 담당하는 함수 분석 - OracleCommand.ExecuteReader에서 OpsSql.Prepare2 PInvoke 호출 분석
12065	정성태	11/25/2019	17656	디버깅 기술: 135. windbg - C# PInvoke 호출 시 마샬링을 담당하는 함수 분석	1
12064	정성태	11/25/2019	20637	오류 유형: 580. HTTP Error 500.0/500.33 - ANCM In-Process Handler Load Failure
12063	정성태	11/21/2019	19598	디버깅 기술: 134. windbg - RtlReportCriticalFailure로부터 parameters 정보 찾는 방법
12062	정성태	11/21/2019	18980	디버깅 기술: 133. windbg - CoTaskMemFree/FreeCoTaskMem에서 발생한 덤프 분석 사례 - 두 번째 이야기
12061	정성태	11/20/2019	19434	Windows: 167. CoTaskMemAlloc/CoTaskMemFree과 윈도우 Heap의 관계

Writer

Date

Cnt.

Title

File(s)

12086

정성태

12/20/2019

21098

디버깅 기술: 144. windbg - Marshal.FreeHGlobal에서 발생한 덤프 분석 사례

12085

정성태