DevOps 지식 허브
DevOps 지식 허브

Systemd 서비스 유닛에서 환경 변수 안전하게 관리하기

Systemd 서비스 유닛 내에서 환경 변수를 구성하는 안전한 모범 사례를 알아보세요. 이 가이드는 `Environment` 및 `EnvironmentFile` 지시어를 효과적으로 사용하는 방법을 자세히 설명합니다. Systemd 드롭인 유닛을 통해 참조되는 외부 구성 파일을 사용하여 민감한 데이터를 안전하게 처리하는 방법을 강조하며, 엄격한 파일 권한을 보장하고 로드된 변수를 확인하는 실용적인 코드 예제도 함께 제공합니다.

40 조회수

Systemd 서비스 유닛에서 환경 변수 안전하게 관리하기

최신 Linux 배포판의 주요 시스템 및 서비스 관리자인 Systemd는 애플리케이션 시작, 중지 및 유지 관리를 정의하기 위해 서비스 유닛 파일(.service)에 의존합니다. 모든 최신 애플리케이션을 구성하는 중요한 측면은 구성 설정, 경로, 그리고 가장 중요하게는 API 키나 데이터베이스 자격 증명과 같은 민감한 비밀 정보를 삽입하는 것입니다.

이러한 환경 변수를 부적절하게 관리하면 보안 취약성, 디버깅의 어려움, 이식성 없는 구성으로 이어질 수 있습니다. 이 가이드에서는 적절한 Systemd 지시어인 EnvironmentEnvironmentFile을 자세히 설명하고, 민감한 데이터를 처리하기 위해 드롭인(drop-in) 구성 파일을 안전하게 사용하는 방법을 시연하여 관심사 분리 및 강력한 보안 관행을 보장합니다.

Systemd에서 환경 변수의 역할

환경 변수는 서비스의 바이너리나 코드를 수정하지 않고도 서비스를 구성할 수 있는 간단한 메커니즘을 제공합니다. Systemd가 서비스를 시작할 때, 필수적인 PATH, 사용자/그룹 변수 등을 포함한 완전한 환경을 구성하고 ExecStart 명령을 실행하기 전에 유닛 파일에 정의된 모든 변수를 삽입합니다.

Systemd는 유닛 파일의 [Service] 섹션 내에서 이러한 변수를 관리하기 위한 두 가지 주요 지시어를 제공합니다.

1. 직접 정의: Environment 지시어

이 방법은 Systemd 유닛 파일 내에 변수를 직접 정의할 수 있게 해줍니다. 이는 변경이 거의 없는 비민감한 구성 매개 변수에 적합합니다.

사용법 및 구문

Environment 지시어는 "KEY=VALUE" 형식의 공백으로 구분된 변수 할당 목록을 허용합니다.

# /etc/systemd/system/my-app.service

[Unit]
Description=My Application Service

[Service]
User=myuser
WorkingDirectory=/opt/my-app

# 유닛 파일에 변수 직접 정의
Environment="APP_PORT=8080" "NODE_ENV=production"

ExecStart=/usr/local/bin/my-app --start

[Install]
WantedBy=multi-user.target

제한 사항 및 보안

편리하지만, Environment 지시어는 민감한 정보(비밀, 암호, API 키)에 절대로 사용해서는 안 됩니다. 유닛 파일은 구성 관리 시스템에 저장되거나 다양한 사용자에게 액세스 가능한 디렉토리에 위치하는 경우가 많습니다(읽기 전용이더라도 구성에 따라 루트가 아닌 사용자가 볼 수 있을 수 있습니다). 비밀 정보를 직접 하드코딩하는 것은 보안 원칙을 훼손합니다.

2. 외부 구성: EnvironmentFile 지시어

복잡한 구성, 동적 변수 또는 민감한 데이터를 처리하기 위해 외부 파일에서 변수를 로드하는 것이 선호되는 방법입니다. 이를 통해 기본 유닛 파일과 독립적으로 변수 파일의 권한을 관리할 수 있습니다.

사용법 및 구문

EnvironmentFile 지시어는 구성 파일에 대한 절대 경로를 사용합니다. Systemd는 이 파일을 한 줄씩 읽어 각 줄을 잠재적인 KEY=VALUE 할당으로 처리합니다.

[Service]
# 외부 파일에서 변수 로드
EnvironmentFile=/etc/config/my-app-settings.conf

ExecStart=/usr/local/bin/my-app --start

환경 파일 형식

외부 파일은 간단한 셸과 유사한 형식을 준수해야 합니다.

  • #으로 시작하는 줄은 주석으로 처리됩니다.
  • 빈 변수 할당(VAR=)으로 시작하는 줄은 변수가 이전에 설정된 경우 해당 변수를 지웁니다.
  • 변수는 KEY=VALUE로 정의됩니다.
  • 값에 따옴표 사용(KEY="VALUE WITH SPACES")이 지원됩니다.
# /etc/config/my-app-settings.conf

# 비민감 변수
MAX_WORKERS=4
LOG_LEVEL=INFO

# 민감 변수 (엄격한 파일 권한 필요)
DB_PASSWORD=SecureRandomString12345

누락된 파일 처리

기본적으로 EnvironmentFile에 지정된 파일이 존재하지 않으면 Systemd는 서비스 시작에 실패합니다. 환경 파일이 선택 사항인 경우 파일 경로 앞에 하이픈(-)을 접두사로 붙일 수 있습니다.

EnvironmentFile=-/etc/config/optional-settings.conf

파일 앞에 -가 접두사로 붙으면 Systemd는 파일이 존재하지 않아 발생하는 오류를 무시합니다.

모범 사례: 민감한 데이터를 위한 드롭인 유닛 사용

(예: /usr/lib/systemd/system/my-app.service) 기본 유닛 파일을 수정하는 것은 특히 패키지 관리자가 파일을 관리하는 경우 일반적으로 권장되지 않습니다. 대신 구성 재정의 또는 추가 사항을 적용하려면 드롭인 유닛 파일을 사용하십시오.

이러한 관행은 민감한 환경 변수를 다룰 때 중요합니다. 이를 통해 표준 서비스 구성과 로컬 비밀 파일 경로를 분리할 수 있기 때문입니다.

단계별 드롭인 구성

1. 드롭인 디렉토리 찾기/생성

my-app.service라는 이름의 서비스의 경우 드롭인 디렉토리 이름은 my-app.service.d/여야 하며 /etc/systemd/system/ 계층 구조 내에 위치해야 합니다.

sudo mkdir -p /etc/systemd/system/my-app.service.d/

2. 구성 재정의 파일 생성

드롭인 디렉터리 안에 파일(예: secrets.conf)을 생성합니다. 이 파일에는 [Service] 섹션과 재정의하거나 추가하려는 특정 지시어만 있으면 됩니다.

# /etc/systemd/system/my-app.service.d/secrets.conf

[Service]
# 보안 자격 증명 파일 로드
EnvironmentFile=/etc/secrets/my-app-credentials.env

3. 외부 환경 파일 보안 설정

이것이 가장 중요한 보안 단계입니다. 비밀 정보를 포함하는 외부 파일에 제한적인 권한이 있는지 확인하십시오. 이상적으로는 root:root 소유이고 루트 사용자 또는 서비스 사용자만 읽을 수 있어야 합니다.

# 비밀 파일 생성
sudo touch /etc/secrets/my-app-credentials.env

# 파일에 비밀 정보 채우기
sudo sh -c 'echo "DB_PASS=S3cr3tP@ssw0rd" >> /etc/secrets/my-app-credentials.env'

# 제한적인 권한 설정 (루트만 읽기 전용)
sudo chmod 600 /etc/secrets/my-app-credentials.env

⚠️ 보안 경고: 파일 권한

EnvironmentFile이 참조하는 파일에 자격 증명이 포함된 경우 권한은 반드시 0600 또는 이보다 더 엄격하게 설정되어야 합니다. 파일이 다른 사용자에게 읽을 수 있다면 서비스 시작 또는 수동 검사 중에 비밀 정보가 노출됩니다.

문제 해결 및 확인

유닛 파일 또는 드롭인 파일을 수정한 후에는 Systemd 관리자 구성을 다시 로드해야 합니다.

sudo systemctl daemon-reload
sudo systemctl restart my-app.service

Systemd가 실행 중인 서비스에 대해 성공적으로 로드한 환경 변수가 무엇인지 확인하려면 systemctl show 명령을 사용하고 특히 Environment 속성을 쿼리하십시오.

systemctl show my-app.service --property=Environment

예시 출력 (로드된 변수 표시):

Environment=APP_PORT=8080 NODE_ENV=production DB_PASS=S3cr3tP@ssw0rd

서비스 시작에 실패하면 journalctl -xeu my-app.service를 사용하여 서비스 로그를 확인하십시오. 환경 변수와 관련된 실패의 일반적인 이유는 다음과 같습니다.

  1. EnvironmentFile에 잘못된 파일 경로 지정.
  2. 파일 누락(그리고 경로에 -가 접두사로 붙지 않음).
  3. 외부 환경 파일에 잘못된 변수 구문 사용(예: = 기호 주위에 공백).

모범 사례 요약

시나리오 사용 지시어 위치 모범 사례 보안 고려 사항
정적, 비민감 구성 Environment 직접 유닛 파일 또는 드롭인 낮은 보안 위험.
민감한 자격 증명 (비밀) EnvironmentFile 드롭인(*.service.d/)을 통해 참조되는 외부 파일 중요: 환경 파일은 0600 권한을 가져야 합니다.
모듈성 및 재정의 EnvironmentFile 드롭인 유닛 파일 공급업체 기본값과 구성 분리.

전용 드롭인 유닛 내에서 EnvironmentFile 지시어를 활용하고 엄격한 파일 권한을 보장함으로써 관리자는 최소 권한 및 관심사 분리 원칙을 준수하면서 서비스 구성을 안전하고 유연하게 관리할 수 있습니다.