파일/디렉토리 접근 권한 (FILE_READ_DATA, FILE_WRITE_DATA ......)

파일/디렉토리 접근 권한에 대해 알아보겠습니다.

+ Access Mask라고도 합니다.

요 접근 권한은 말 그대로 파일이나 디렉토리에 해당 프로세스가 어떠한 동작을 수행할 수 있는지를 나타내기도 합니다.

그림판에서 그림파일을 Open하는 동작을 예로들어보면..

1. wonjayk.png 라는 그림 파일을 열기 위해서 CreateFile 호출

2. 접근 권한을 Generic Read 로 wonjayk.png 오픈

요러한 동작을 수행하게 되는데요

CreateFile 함수를 다시 살펴보면..

- 윈도우 핸들 : http://wonjayk.tistory.com/270

CreateFile 함수를 호출하게 되면 lpFileName으로 호출된 파일의 핸들을 얻어오게 됩니다.

여기서 두 번째 인자를 통해서 파일에 대한 접근 권한을 설정해줄 수 있게 됩니다.

이 접근 권한은 비트마스크(BitMask)로 이루어져 있습니다.

위에서 언급한 그림판으로 그림파일을 Open하는 동작을 예로 들어보면..

LPCTSTR lpszFileName = TEXT("C:\Users\......\Desktop\wonjayk.png");

HANDLE hOpenPicture = CreateFile ( lpszFileName, 

                                                 GENERIC_READ,

                                                 FILE_SHARE_READ | FILE_SHARE_WRITE,

                                                 NULL,

                                                 0,

                                                 0,

                                                 NULL);

이런 형태로 CreateFile이 호출되었다고 볼 수 있습니다. (물론 어디까지나 예제입니다..)

그럼 그림판 프로세스에서 호출한 CreateFile의 두 번째 인자인 GENERIC_READ, 바로 이놈이 파일에 대한 접근 권한을 설정해주는 플래그가 되시겠습니다.

아래는 파일과 디렉토리에 설정할 수 있는 접근 권한들입니다.

+ BitMask니까 OR로 묶어서 여러개 사용하실 수 있습니다.

+ Define이 다르고 BitMask가 같은 경우가 있는데 디렉토리 접근시에는 디렉토리용 접근 Define이 사용됩니다.

+ 예 : 디렉토리 접근을 시도하는데 FILE_READ_DATA 를 사용하면 FILE_LIST_DIRECTORY로 동작

접근 권한	내용
FILE_READ_DATA (0x1)	(파일) 파일의 데이터를 읽을 수 있는 권한
FILE_LIST_DIRECTORY (0x1)	(디렉토리) 디렉토리 내의 파일 리스트를 읽을 수 있는 권한
FILE_WRITE_DATA (0x2)	(파일) 파일에 데이터를 기록할 수 있는 권한
FILE_ADD_FILE (0x2)	(디렉토리) 디렉토리 내 파일을 생성할 수 있는 권한
FILE_APPEND_DATA (0x4)	(파일/디렉토리) 파일 뒤(?)에 내용을 추가할 수 있는 권한, 디렉토리라면 하위 디렉토리를 생성할 수 있는 권한
FILE_ADD_SUBDIRECTORY (0x4)	(파일/디렉토리) 파일 뒤(?)에 내용을 추가할 수 있는 권한, 디렉토리라면 하위 디렉토리를 생성할 수 있는 권한
FILE_READ_EA (0x8)	(파일) 확장 파일 속성을 읽을 수 있는 권한
FILE_WRITE_EA (0x10)	(파일) 확장 파일 속성을 기록할 수 있는 권한
FILE_EXECUTE (0x20)	(파일) 파일을 실행시킬 수 있는 권한
FILE_TRAVERSE (0x20)	(디렉토리) 디렉토리를 검색할 수 있는 권한
FILE_DELETE_CHILD (0x40)	(파일/디렉토리) 현재, 그리고 연결되어있는 모든 자식 디렉토리/파일들을 삭제할 수 있는 권한으로 읽기전용이라도 삭제가 가능
FILE_READ_ATTRIBUTES (0x80)	(파일) 파일 속성을 읽을 수 있는 권한 (파일 우클릭 -> 속성)
FILE_WRITE_ATTRIBUTES (0x100)	(파일) 파일 속성을 기록할 수 있는 권한 (파일 우클릭 -> 속성)
DELETE (0x10000)	(파일/디렉토리) 파일/디렉토리를 삭제할 수 있는 권한
READ_CONTROL (0x20000)	(파일/디렉토리) 보안 디스크립터를 읽을 수 있는 권한 (SACL 제외)
WRITE_DAC (0x40000)	(파일/디렉토리) 보안 디스크립터(DACL)을 편집할 수 있는 권한
WRITE_OWNER (0x80000)	(파일/디렉토리) 보안 디스크립터(DACL/SACL)을 편집할 수 있는 권한
SYCHRONIZE (0x100000)	(파일) 동기화를 수행할 수 있는 권한

- https://msdn.microsoft.com/en-us/library/windows/desktop/aa822867(v=vs.85).aspx

이런 권한들을 부여해줄 수 있습니다.

그런데 위에서 설정했던 GENERIC_READ 는 없네요?

이 GENERIC_READ는 일반 접근 권한(Generic Access Rights, 직역하면... 포괄적 접근 권한(?)정도?)으로 위 속성들 몇개를 짬뽕(?)시켜놓은 속성입니다.

아래는 그 짬뽕의 내용물들입니다.

일반 접근 권한 종류	접근 권한
GENERIC_READ	FILE_READ_ATTRIBUTE  FILE_READ_DATA  FILE_READ_EA  STANDARD_RIGHTS_READ  SYNCHRONIZE
GENERIC_WRITE	FILE_APPEND_DATA  FILE_WRITE_ATTRIBUTE  FILE_WRITE_DATA  STANDARD_RIGHTS_WRITE  SYNCHRONIZE
GENERIC_EXECUTE	FILE_EXECUTE  FILE_READ_ATTRIBUTES  STANDARD_RIGHTS_EXECUTE  SYNCHRONIZE

- https://msdn.microsoft.com/en-us/library/windows/desktop/aa364399(v=vs.85).aspx

요렇게 되시겠습니다.

또 보시면 접근 권한에서는 언급되지 않았었던 표준 접근 권한(Standard Access Rights, STANDARD_RIGHTS_......)이 보이는데요

이 표준 접근 권한은 위의 접근 권한 중 5개만을 가지고 짬뽕을 만듭니다.

+ DELETE, READ_CONTROL, WRITE_DAC, WRITE_OWNER, SYNCHRONIZE

+ 보안 디스크립터 설정들과 관계가 있는 권한들의 집합입니다.

아래는 표준 접근 권한의 종류입니다.

표준 접근 권한 종류	접근 권한
STANDARD_RIGHTS_ALL	DELETE  READ_CONTROL  WRITE_DAC  WRITE_OWNER  SYNCHRONIZE
STANDARD_RIGHTS_EXECUTE	READ_CONTROL
STANDARD_RIGHTS_READ	READ_CONTROL
STANDARD_RIGHTS_REQUIRED	DELETE  READ_CONTROL  WRITE_DAC  WRITE_OWNER
STANDARD_RIGHTS_WRITE	READ_CONTROL

- https://msdn.microsoft.com/en-us/library/windows/desktop/aa379607(v=vs.85).aspx

요 권한들을 적재 적소에 잘 혼합해서 쓰시면 된다는 말씀!