# 6. 웹 프로세스 권한 제한

[![image.png](https://www.ochidstudy.com/uploads/images/gallery/2026-02/scaled-1680-/63xGc6v0D2yTWqcU-image.png)](https://www.ochidstudy.com/uploads/images/gallery/2026-02/63xGc6v0D2yTWqcU-image.png)

<p class="callout info">**취약점 설명**</p>

**apache 서버 데몬이 root 권한으로 운영될 경우 불필요하게 과도한 권한을 가지고 있으며, 다른 취약점들을 통해 root 권한을 획득 할 수 있으므로**

**별도 계정을 사용한다.**

**기본적으로 www-data 계정을 사용한다.**

<p class="callout info"> **진단 방법**</p>

**아래 명령어를 통해 apache2가 어떤 계정으로 실행되는지 확인**

```shell
ps-ef | grep apache2 
```

<p class="callout warning">**딴소리**</p>

**진단 시 아래와 같은 프로세스들이 나열된다.**

[![image.png](https://www.ochidstudy.com/uploads/images/gallery/2026-02/scaled-1680-/u2O1NaaXCagnasGD-image.png)](https://www.ochidstudy.com/uploads/images/gallery/2026-02/u2O1NaaXCagnasGD-image.png)

**맨위의 프로세스가 root로 실행되고 있으니 취약인가? 라고 생각할 수 있지만**

**웹 서비스의 통신을 담당하는 자식 프로세스들을 관리하는 마스터 프로세스이며, 마스터 프로세스는 시스템 포트를 점유하고, 설정 파일을 읽으며, 로그 파일을 열어야 하기 때문에 root 권한이 필요하다.**

**웹 서비스 요청을 처리하는 작업자는 밑의 자식 프로세스 들이며 마스터프로세스의 PID(2525) 값을 포함하고 있는것을 위에서 확인할 수 있다.**

<p class="callout info">**양호 취약 기준**</p>

**마스터 프로세스를 제외, 자식 프로세스들이 root가 아닌 계정으로 실행되고 있을 경우 양호**

**자식 프로세스들이 root 계정으로 실행되고 있을 경우 취약**

<p class="callout info">**참고**</p>

[![image.png](https://www.ochidstudy.com/uploads/images/gallery/2026-02/scaled-1680-/ZYVknXrPh3QMSUoI-image.png)](https://www.ochidstudy.com/uploads/images/gallery/2026-02/ZYVknXrPh3QMSUoI-image.png)

apache2.conf 파일 이 존재하는 경로의 envvars 파일을 확인하면 어떤 계정으로 아파치가 구동이 될지 설정값이 존재한다.

보안 조치가 필요할 경우 해당 값을 변경해주면 된다.