linux-non-device-files
리눅스 시스템의 /dev 디렉터리에서 장치 파일이 아닌 일반 파일 목록을 조회합니다. /dev 디렉터리에는 장치 파일만 존재해야 하므로, 일반 파일이 존재하면 비인가 파일이 생성되었을 가능성이 있습니다. 보안 점검 시 이러한 비정상 파일의 존재 여부를 확인하는 데 사용합니다.
명령어 속성
| 항목 | 설명 |
|---|---|
| 명령어 유형 | 드라이버 쿼리 |
| 필요 권한 | 관리자 |
| 라이선스 사용량 | 집계함 |
| 병렬 실행 | 미지원 |
| 분산 실행 | 수집 노드에서 실행 (mapper) |
문법
linux-non-device-files
출력 필드
| 필드 | 타입 | 설명 |
|---|---|---|
file_path | 문자열 | 파일의 절대 경로 |
file_name | 문자열 | 파일 이름 |
file_type | 문자열 | 파일 유형. file 또는 directory |
permissions | 문자열 | 파일 권한 문자열 (예: rwxr-xr-x) |
file_size | 64비트 정수 | 파일 크기 (바이트) |
file_ctime | 날짜 | 파일 생성 시각 |
file_mtime | 날짜 | 파일 최종 수정 시각 |
file_atime | 날짜 | 파일 최종 접근 시각 |
owner_read | 불리언 | 소유자 읽기 권한 여부 |
owner_write | 불리언 | 소유자 쓰기 권한 여부 |
owner_execute | 불리언 | 소유자 실행 권한 여부 |
group_read | 불리언 | 그룹 읽기 권한 여부 |
group_write | 불리언 | 그룹 쓰기 권한 여부 |
group_execute | 불리언 | 그룹 실행 권한 여부 |
others_read | 불리언 | 기타 사용자 읽기 권한 여부 |
others_write | 불리언 | 기타 사용자 쓰기 권한 여부 |
others_execute | 불리언 | 기타 사용자 실행 권한 여부 |
오류 코드
파싱 오류
| 오류 코드 | 메시지 | 설명 |
|---|---|---|
| 95040 | no-read-permission | 관리자 권한 없이 실행한 경우 |
런타임 오류
해당 사항 없음
설명
linux-non-device-files 명령어는 find /dev -type f -print 명령을 실행하여 /dev 디렉터리에서 일반 파일(-type f)을 검색합니다. 검색된 각 파일의 메타데이터를 수집하여 파일 경로, 크기, 시간 정보, 권한 정보를 출력 필드에 할당합니다.
정상적인 시스템에서는 /dev 디렉터리에 장치 파일, 심볼릭 링크, 디렉터리만 존재합니다. 일반 파일이 발견되면 악성 파일이 은닉되었을 가능성이 있으므로 추가 조사가 필요합니다.
사용 예
-
/dev 디렉터리의 비 장치 파일 조회
linux-non-device-files/dev디렉터리에서 장치 파일이 아닌 일반 파일 목록을 조회합니다. -
파일 크기 기준으로 정렬하여 조회
linux-non-device-files | sort -file_size비 장치 파일을 파일 크기 내림차순으로 정렬하여 조회합니다.
호환성
linux-non-device-files 명령어는 소나 4.0 이전 버전부터 제공되었습니다.