접근제어

접근제어

수정자: 미미
수정일: 2026-04-19 00:30
상태: ✅ 활성

---

1. 사용자 역할

역할 정의

역할	권한	대상
관리자 (Admin)	모든 권한 (시스템 설정, 사용자 관리, 데이터 삭제)	미미아빠
편집자 (Editor)	문서 작성/수정, RAG 질문, 프로젝트 관리	가족, 팀원
뷰어 (Viewer)	문서 열람, RAG 질문만 가능	외부 사용자
시스템 (System)	자동화 에이전트, 백업, 모니터링	AI, 스크립트

역할별 접근 범위

자원	Admin	Editor	Viewer	System
Obsidian 볼트 (쓰기)	✅	✅	❌	✅ (백업)
Obsidian 볼트 (읽기)	✅	✅	✅	✅
OpenClaw 게이트웨이	✅	❌	❌	✅ (노드)
OpenClaw 노드	✅	✅ (자신의)	❌	✅ (자신의)
Dify 관리자 UI	✅	❌	❌	❌
Dify 워크스페이스	✅	✅ (자신의)	✅ (읽기)	❌
나스 (쓰기)	✅	✅ (제한)	❌	✅ (백업)
나스 (읽기)	✅	✅	❌	✅
시스템 로그	✅	✅ (자신의)	❌	✅
백업 데이터	✅	❌	❌	✅

---

2. 인증 방법

OpenClaw

• 게이트웨이 토큰: 0733d3155a74e10bcc5c711bd2353f38a1f5373b09ec0776
• 노드 페어링: 게이트웨이에서 승인 필요
• 토큰 관리: 관리자만 변경 가능

Dify (예정)

• 관리자 계정: 이메일 + 비밀번호 + 2FA
• 편집자/뷰어: 초대 링크로 추가
• 워크스페이스 분리: 프로젝트별 접근 제어

SSH

• 공개키 인증: ~/.ssh/authorized_keys 등록
• 비밀번호: @@Mini3388 (관리자만 공유)
• Tailscale 필수: 모든 SSH 접속은 Tailscale 경유

Obsidian

• 볼트 접근: 파일 시스템 권한으로 제어
• 동기화: 나스 WebDAV 인증 (psbot / @@Mini3388)

---

3. 접근 제어 목록 (ACL)

파일 시스템 권한

# Obsidian 볼트
chmod 755 /Volumes/minicity.kr/Backup_data/vault/MiniCITY/
chown -R pinksky:staff /Volumes/minicity.kr/Backup_data/vault/MiniCITY/

# OpenClaw 설정
chmod 600 ~/.openclaw/openclaw.json
chmod 700 ~/.openclaw/

# SSH 키
chmod 600 ~/.ssh/id_ed25519
chmod 644 ~/.ssh/id_ed25519.pub
chmod 700 ~/.ssh/

Dify 워크스페이스 (예정)

Default Workspace (관리자 전용)
├── 시스템 설정
├── 사용자 관리
└── 감사 로그

Project Workspace (편집자 이상)
├── RAG 지식베이스
├── 워크플로우
└── API 키

Public Workspace (뷰어 이상)
└── 질문 인터페이스

---

4. 감사 및 모니터링

감사 로그

기록 항목:

• 사용자 로그인/로그아웃
• 권한 변경 (역할 승강강)
• 민감한 작업 (토큰 변경, 사용자 삭제)
• 대량 데이터 다운로드

보관 기간: 1 년

위치:

• OpenClaw: ~/.openclaw/agents/main/sessions/
• Dify: (설치 후) /home/pinksky/dify-docker/volumes/app/logs/
• 시스템: journalctl

실시간 모니터링

대시보드:

• OpenClaw 게이트웨이 상태: openclaw status
• 노드 연결 상태: openclaw nodes status
• Dify 상태: (예정) http://localhost:3000
• 나스 접근 로그: 나스 관리자 UI

알림:

• 비인가 접근 시도 → 즉시 알림 (Telegram/SMS)
• 시스템 장애 → 5 분 내 알림
• 백업 실패 → 다음 날 아침 알림

---

5. 사용자 관리

사용자 추가 (편집자/뷰어)

절차:

1. 관리자가 사용자 정보 수집 (이메일, 이름, 역할)
2. Dify 에서 초대 링크 생성
3. 초대 링크 전송 (보안 채널)
4. 사용자 계정 설정 (비밀번호, 2FA)
5. 역할 및 워크스페이스 권한 할당
6. 접근 교육 (문서, 규칙 안내)

필수 동의:

• 보안규칙 숙지
• 백업정책 동의
• 개인정보 처리 동의

사용자 제거

절차:

1. 모든 활성 세션 강제 종료
2. 워크스페이스 접근 권한 제거
3. API 키/토큰 폐기
4. 감사 로그 백업 (1 년 보관)
5. 관련자에게 통보

사유:

• 역할 변경 (편집자 → 뷰어)
• 팀 이탈
• 장기 미사용 (90 일)
• 보안 위반

역할 변경

승급 (뷰어 → 편집자 → 관리자):

• 관리자 승인 필요
• 교육 이수 확인
• 시험 기간 (30 일)

강등 (관리자 → 편집자 → 뷰어):

• 관리자 결정
• 사유 통보
• 즉시 적용

---

6. 외부 접근

Tailscale 사용자

• 필수: 모든 외부 접근은 Tailscale 경유
• 기기 등록: Tailscale 관리 콘솔에서 승인
• 정기 검토: 분기별 사용되지 않는 기기 제거

공개 서비스 (Dify Web UI)

• HTTPS 필수: Let’s Encrypt 인증서
• 인증 우회 금지: 모든 사용자는 로그인 필요
• Rate Limiting: 분당 60 요청 제한
• CAPTCHA:可疑한 접근 시 CAPTCHA 요구

API 접근

• API 키: 사용자별 발급
• Scope 제한: 최소 권한 원칙
• 유효기간: 90 일 (연장 가능)
• 감사 로그: 모든 API 호출 기록

---

7. 위반 시 조치

경미한 위반 (주의)

• 규칙 재교육
• 서면 경고
• 30 일 관찰 기간

중대한 위반 (권한 제한)

• 역할 강등 (편집자 → 뷰어)
• 워크스페이스 접근 제한
• API 키 폐기

심각한 위반 (접근 차단)

• 계정 정지
• 모든 세션 종료
• 법적 조치 (데이터 유출 시)

---

8. 준수 사항

필수

• 모든 사용자는 역할 기반 권한 부여
• 외부 접근은 Tailscale 경유
• 감사 로그 1 년 보관
• 분기별 사용자 권한 검토

권장

• 2FA 활성화 (모든 사용자)
• 월 1 회 감사 로그 검토
• 반기별 접근 제어 정책 검토
• 신규 사용자 교육 필수화

---

관련 문서

• [[MiniCITY(v0.5_PARA_0502-)/04_ARCHIVE(보관함)/버전별/v0.2-백업/MiniCITY(v0.2_진행중_0419-)/01.SYSTEM/보안규칙]]
• [[MiniCITY(v0.5_PARA_0502-)/04_ARCHIVE(보관함)/버전별/v0.2-백업/MiniCITY(v0.2_진행중_0419-)/01.SYSTEM/백업규칙]]
• [[MiniCITY(v0.5_PARA_0502-)/04_ARCHIVE(보관함)/버전별/v0.2-백업/MiniCITY(v0.2_진행중_0419-)/98.history/MiniCITY(v0.1_예전자료_0410-0419)/01.접속정보/SSH_접속정보]]
• [[MiniCITY(v0.5_PARA_0502-)/04_ARCHIVE(보관함)/버전별/v0.2-백업/MiniCITY(v0.2_진행중_0419-)/98.history/MiniCITY(v0.1_예전자료_0410-0419)/01.접속정보/Tailscale_접속정보]]

---

변경이력

날짜	수정자	내용
2026-04-19	미미	초기 작성 (MiniCITY v0.1)