sudo 명령어는 유닉스 및 유닉스 계열 운영 체제에서, 다른 사용자의 보안 권한, 보통 슈퍼유저로서 프로그램을 구동할 수 있도록 하는 프로그램이다. 명칭은 본래 슈퍼유저로서의 실행에 사용되던 것에서 “superuser do”에서 유래하였으나, 후에 프로그램의 기능이 확장되며 “substitute user do”(다른 사용자의 권한으로 실행)의 줄임말로 해석되게 되었다. 기본적으로 Sudo는 사용자 비밀번호를 요구하지만 루트 비밀번호(root password)가 필요할 수도 있고, 한 터미널에 한번만 입력하고 그 다음부터는 비밀번호가 필요 없다. Sudo는 각 명령줄에 사용할 수 있으며 일부 상황에서는 관리자 권한을 위한 슈퍼유저 로그인(superuser login)을 완벽히 대신하며, 주로 우분투, 리눅스와 애플의 OS X 에서 볼 수 있다. 1위키백과에서 발췌
Windows 시스템의 경우 이것과 같다.
이 명령(기능)이 필요한 이유는 이렇게 생각해 볼 수있겠다. – 시스템 관리자 A가 있다. root 패스워드는 A만 알고 있다. – DBA B B는 ‘가’서버의 DB만 관리한다. 서비스의 재 시작등이 필요할 때엔 A에게 요청해야 한다. – A가 휴가를 갔다. – A가 휴가를 간 사이 DBMS 서비스에 이상이 생겼고 서비스를 재시작해야 하는 상황이 발생했다. – 서비스 재시작에는 root 권한이 필요하다. 이 때 A가 취할 수 있는 조치는 B에게 root의 패스워드를 알려주는 방법이 있다. 하지만 A는 A가 관리하는 ‘가’,’나’,’다’모든 서버의 패스워드를 동일하게 설정해서 관리 하고 있었다. B는 A가 관리하는 모든 서버의 패스워드를 획득한 것과 다름이 없다.
이런 상황이 예가 될 수 있겠다. 사실 B는 신뢰할 수 있는 사람이겠지만, 위 상황은 이미 권한 없는 사용자가 모든 권한을 획득한 보안 사고라 할 수 있겠다. 여기서 sudo는 아래와 같이 동작한다. – 시스템 관리자 A는 ‘가’서버에신뢰할 수 있는 사용자 B를 sudo 명령 허용 목록에 추가하였다. – A가 휴가를 갔다. – B는 ‘가’ 서버에서 sudo 명령을 사용한다. sudo 명령은 B의 패스워드를 묻는다. B의 패스워드가 정상적으로 입력 되었을 경우 권한을 상승시킨다.
여기서 B가 B로 로그인 해 있는데 B의 패스워드를 왜 확인해? 이게 무슨 소용이야? 하고 질문할 수 있겠지만 B의 계정은 이미 신뢰하는 계정이라 했으니, 작업을 하는 시점에 다시 B가 맞는지 확인 하는 것이다. 즉, B가 로그인 후 자리를 비웠다거나 하는 등 B를 대체 하더라도 B의 패스워드는 B만 알고 있으니 패스워드를 한번 더 입력 받고 B가 맞는지 확인한 뒤 권한을 상승 시킨다는 말이다.
설정
/etc/sudoers 파일에 권한을 부여할 사용자를 넣으면 된다. ※만약 설정파일의 문법을 틀리거나 하면 아런 에러를 만날 수 있다. (sudo가 동작하지 않는다!!!!)
[centos7:/home/haedong:]$ sudo -i
>>> /etc/sudoers: 문법 오류 near line 94 <<<
sudo: /etc/sudoers 94번째 줄에서 해석 오류
sudo: 올바른 sudoers 설정 원본이 없습니다. 나갑니다.
sudo: 정책 플러그인을 초기화할 수 없습니다
사용자 추가
## 기본적으로 root는 포함되어있다. root ALL=(ALL) ALL 을 찾아서 아래에 사용자를 추가한다.
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
# 여기부터 선택적으로 추가한다.
# 기본.
# haedong 계정으로 sudo 명령 사용 시 패스워드 확인 후 권한을 부여한다.
# 모든 명령 사용이 가능하다.
haedong ALL=(ALL) ALL
# haedong 계정으로 sudo 명령 사용 시 패스워드 확인 후 권한을 부여한다. /usr/bin/vi,/usr/bin/vim 만 사용 가능하다.
haedong ALL= /usr/bin/vi,/usr/bin/vim
# haedong 계정으로 모든 명령 사용 시 패스워드 확인을 하지 않는다.
haedong ALL=(ALL) NOPASSWD: ALL
# vi, vim 커맨드 사용 시 패스워드 확인을 하지 않고 권한을 상승시킨다.
haedong ALL=NOPASSWD: /usr/bin/vi,/usr/bin/vim
환경변수 설정 현재 사용자의 환경변수를 sudo 명령 사용 시 승계 하고자 하는경우
# "" 안에 추가하고자 하는 환경 변수를 추가한다.
Defaults env_keep += "LD_LIBRARY_PATH"
PATH 변수 설정
# : 로 구분하여 경로를 추가한다.
Defaults secure_path = /sbin:/bin:/usr/sbin:/usr/bin
옵션 및 사용법 자세한 옵션은 man 을 참조하자
# 일반적인 사용 예
[centos7:/home/haedong:]$ sudo vi
[sudo] haedong의 암호:
[centos7:/root:]# sudo -h
sudo - 다른 사용자 권한으로 명령을 실행합니다
usage: sudo -h | -K | -k | -V
usage: sudo -v [-AknS] [-g group] [-h host] [-p prompt] [-u user]
usage: sudo -l [-AknS] [-g group] [-h host] [-p prompt] [-U user] [-u user] [command]
usage: sudo [-AbEHknPS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p prompt] [-u user] [VAR=value] [-i|-s] [<command>]
usage: sudo -e [-AknS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p prompt] [-u user] file ...
옵션:
-A, --askpass 암호 질문에 보조 프로그램 활용
-b, --background 백그라운드에서 명령 실행
-C, --close-from=num num 보다 크거나 같은 모든 파일 서술자를 닫습니다
-E, --preserve-env 명령을 실행할 때 사용자 환경을 유지합니다
-e, --edit 명령을 실행하는 대신 파일을 편집합니다
-g, --group=group 지정 그룹 이름 또는 ID로 명령을 실행합니다
-H, --set-home 대상 사용자의 내 폴더에 HOME 변수를 지정합니다
-h, --help 도움말을 보여주고 빠져나갑니다
-h, --host=host (플러그인에서 지원한다면)호스트에서 명령을 실행합니다
-i, --login 대상 사용자 자격으로 셸에 로그인합니다. 명령도 지정할 수 있습니다.
-K, --remove-timestamp 타임스탬프 파일을 완전히 제거합니다
-k, --reset-timestamp 타임스탬프 파일을 초기화합니다
-l, --list 사용자 권한을 보여주거나 지정 명령을 확인합니다. 긴 형식으로 보려면 옵션을 두 번 사용하십시오
-n, --non-interactive 비대화형 모드. 프롬프트를 사용하지 않습니다
-P, --preserve-groups 대상을 설정하는 대신 그룹 벡터를 유지합니다
-p, --prompt=prompt 지정 암호 프롬프트를 활용합니다
-r, --role=role 지정 역할을 지닌 SELinux 보안 컨텍스트를 만듭니다
-S, --stdin 표준 입력으로 암호를 입력 받습니다
-s, --shell 셸을 대상 사용자 명의로 실행합니다. 명령도 지정합니다.
-t, --type=type 지정 유형의 SELinux 보안 컨텍스트를 만듭니다
-U, --other-user=user 목록 모드에서 사용자 권한을 보여줍니다
-u, --user=user 지정한 사용자 이름 또는 ID로 명령을 실행(또는 파일 편집)
-V, --version 버전 정보를 보여주고 나갑니다
-v, --validate 명령을 실행하지 않고 사용자 타임스탬프를 업데이트합니다
-- 명령행 인자 처리를 멈춥니다
EPEL1Extra Package for Enterprise Linux 릴리즈 패키지가 필요하다.
[centos7:/home/haedong:]$ sudo yum -y install epel-release
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
* base: mirror.kakao.com
Resolving Dependencies
--> Running transaction check
---> Package epel-release.noarch 0:7-11 will be updated
---> Package epel-release.noarch 0:7-13 will be an update
--> Finished Dependency Resolution
Dependencies Resolved
============================================================================================================================================================================================================================================
Package Arch Version Repository Size
============================================================================================================================================================================================================================================
Updating:
epel-release noarch 7-13 epel 15 k
Transaction Summary
============================================================================================================================================================================================================================================
Upgrade 1 Package
Total download size: 15 k
Downloading packages:
epel/x86_64/prestodelta | 539 B 00:00:01
epel-release-7-13.noarch.rpm | 15 kB 00:00:01
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
Updating : epel-release-7-13.noarch 1/2
Cleanup : epel-release-7-11.noarch 2/2
Verifying : epel-release-7-13.noarch 1/2
Verifying : epel-release-7-11.noarch 2/2
Updated:
epel-release.noarch 0:7-13
Complete!
openvpn, easy-ras 패키지 설치
[centos7:/home/haedong:]$ sudo yum -y install openvpn easy-rsa
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
* base: mirror.kakao.com
Resolving Dependencies
--> Running transaction check
---> Package easy-rsa.noarch 0:3.0.8-1.el7 will be installed
---> Package openvpn.x86_64 0:2.4.9-1.el7 will be installed
--> Processing Dependency: libpkcs11-helper.so.1()(64bit) for package: openvpn-2.4.9-1.el7.x86_64
--> Running transaction check
---> Package pkcs11-helper.x86_64 0:1.11-3.el7 will be installed
--> Finished Dependency Resolution
Dependencies Resolved
============================================================================================================================================================================================================================================
Package Arch Version Repository Size
============================================================================================================================================================================================================================================
Installing:
easy-rsa noarch 3.0.8-1.el7 epel 44 k
openvpn x86_64 2.4.9-1.el7 epel 524 k
Installing for dependencies:
pkcs11-helper x86_64 1.11-3.el7 epel 56 k
Transaction Summary
============================================================================================================================================================================================================================================
Install 2 Packages (+1 Dependent package)
Total download size: 624 k
Installed size: 1.5 M
Downloading packages:
(1/3): easy-rsa-3.0.8-1.el7.noarch.rpm | 44 kB 00:00:02
(2/3): openvpn-2.4.9-1.el7.x86_64.rpm | 524 kB 00:00:01
(3/3): pkcs11-helper-1.11-3.el7.x86_64.rpm | 56 kB 00:00:00
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Total 141 kB/s | 624 kB 00:00:04
Running transaction check
Running transaction test
Transaction test succeeded
Running transaction
Installing : pkcs11-helper-1.11-3.el7.x86_64 1/3
Installing : openvpn-2.4.9-1.el7.x86_64 2/3
Installing : easy-rsa-3.0.8-1.el7.noarch 3/3
Verifying : easy-rsa-3.0.8-1.el7.noarch 1/3
Verifying : openvpn-2.4.9-1.el7.x86_64 2/3
Verifying : pkcs11-helper-1.11-3.el7.x86_64 3/3
Installed:
easy-rsa.noarch 0:3.0.8-1.el7 openvpn.x86_64 0:2.4.9-1.el7
Dependency Installed:
pkcs11-helper.x86_64 0:1.11-3.el7
Complete!
설정
config 파일 복사 /usr/share/doc/openvpn-VERSION/sample/sample-config-files/ 디렉토리 아래에 존재한다.
Config 수정
# openvpn 사용 port
# 운영 환경에 맞게 변경한다.
port 9411
# 프로토콜 (UDP는 user defined protocol)
proto udp
# 가상 Device
dev tun
# 인증 키 관련 정보
# 다음 단락에서 생성할 파일들이다. 경로를 맞춰줘야 한다.
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/server.crt
key /etc/openvpn/easy-rsa/pki/private/server.key
dh /etc/openvpn/easy-rsa/pki/dh.pem
tls-auth /etc/openvpn/easy-rsa/pki/ta.key
key-direction 0
auth SHA512
cipher AES-256-CBC
topology subnet
# vpn network 정보. 가상 device 인터페이스.
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
# vpn을 연결하면 사용할 DNS
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 192.168.4.254"
push "dhcp-option DNS 8.8.8.8"
# 클라이언트간 연결을 허용할 때.
# 이 항목을 활성화 할 경우 iptables 정책도 수정 해야 한다.
;client-to-client
keepalive 10 120
comp-lzo
user nobody
group nobody
persist-key
persist-tun
verb 4
# 로그를 저장할 경로. 디렉토리를 만들어줘야 한다.
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
log-append /var/log/openvpn/openvpn.log
[centos7:/home/haedong:]$ sudo vi /etc/openvpn/easy-rsa/vars
# 아래 내용을 붙여넣는다.
# 국가 명
export KEY_COUNTRY="KR"
# 시/도 (경기도, 충청남도, 서울특별시, 광주광역시 등 광역시 이상)
export KEY_PROVINCE="Soeul"
# 시/군/구 (수원시, 속초시, 예산군, 강남구 등)
export CITY="GANGNAMGU"
# 회사명
export ORG="HaeDongcorp"
# Email
export KEY_EMAIL="haedonggang@naver.com"
# 부서 명
export KEY_OU="ITinfra"
# 서버 명
export KEY_NAME="centos7"
# 공통이름
export KEY_CN="vpn.haedongg.net"
[centos7:/root:]# cd /etc/openvpn/easy-rsa
[centos7:/etc/openvpn/easy-rsa:]# ./easyrsa clean-all
Note: using Easy-RSA configuration from: /etc/openvpn/easy-rsa/vars
init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /etc/openvpn/easy-rsa/pki
[centos7:/etc/openvpn/easy-rsa:]# ./easyrsa init-pki
Note: using Easy-RSA configuration from: /etc/openvpn/easy-rsa/vars
WARNING!!!
You are about to remove the EASYRSA_PKI at: /etc/openvpn/easy-rsa/pki
and initialize a fresh PKI here.
Type the word 'yes' to continue, or any other input to abort.
Confirm removal: yes
init-pki complete; you may now create a CA or requests.
Your newly created PKI dir is: /etc/openvpn/easy-rsa/pki
[centos7:/etc/openvpn/easy-rsa:]# ./easyrsa build-ca
Note: using Easy-RSA configuration from: /etc/openvpn/easy-rsa/vars
Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017
Enter New CA Key Passphrase: PASSPHRASE를 넣는다.
Re-Enter New CA Key Passphrase: PASSPHRAS 확인
Generating RSA private key, 2048 bit long modulus
...............................................................+++
.........................................................+++
e is 65537 (0x10001)
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Common Name (eg: your user, host, or server name) [Easy-RSA CA]: 서버_이름
CA creation complete and you may now import and sign cert requests.
Your new CA certificate file for publishing is at:
/etc/openvpn/easy-rsa/pki/ca.crt
서버 키 생성
[centos7:/etc/openvpn/easy-rsa:]# ./easyrsa build-server-full server
Note: using Easy-RSA configuration from: /etc/openvpn/easy-rsa/vars
Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017
Generating a 2048 bit RSA private key
..................................+++
.......................+++
writing new private key to '/etc/openvpn/easy-rsa/pki/easy-rsa-35432.9GPaYv/tmp.0beTT2'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
Using configuration from /etc/openvpn/easy-rsa/pki/easy-rsa-35432.9GPaYv/tmp.RTNa79
Enter pass phrase for /etc/openvpn/easy-rsa/pki/private/ca.key: CA_키_생성시_입력한_PASSPHRASE
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName :ASN.1 12:'server'
Certificate is to be certified until Mar 13 06:22:57 2023 GMT (825 days)
Write out database with 1 new entries
Data Base Updated
[centos7:/etc/openvpn/easy-rsa:]# ./easyrsa gen-dh
Note: using Easy-RSA configuration from: /etc/openvpn/easy-rsa/vars
Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017
Generating DH parameters, 2048 bit long safe prime, generator 2
This is going to take a long time
.................+......................................................
...한참 중략....
........................................................................++*++*
DH parameters of size 2048 created at /etc/openvpn/easy-rsa/pki/dh.pem
[centos7:/etc/openvpn/easy-rsa:]# ./easyrsa build-client-full haedong
Note: using Easy-RSA configuration from: /etc/openvpn/easy-rsa/vars
Using SSL: openssl OpenSSL 1.0.2k-fips 26 Jan 2017
Generating a 2048 bit RSA private key
.............................................................+++
...................................+++
writing new private key to '/etc/openvpn/easy-rsa/pki/easy-rsa-35775.MjyGfQ/tmp.HL4Nlv'
Enter PEM pass phrase:
Verifying - Enter PEM pass phrase:
-----
Using configuration from /etc/openvpn/easy-rsa/pki/easy-rsa-35775.MjyGfQ/tmp.VU7eke
Enter pass phrase for /etc/openvpn/easy-rsa/pki/private/ca.key:
Check that the request matches the signature
Signature ok
The Subject's Distinguished Name is as follows
commonName :ASN.1 12:'haedong'
Certificate is to be certified until Mar 13 06:31:57 2023 GMT (825 days)
Write out database with 1 new entries
Data Base Updated
OS(openvpn이 설치된 centos) 계정 정보를 이용한 인증 설정 옵션에 넣어줘야 하는 파일은 openvpn 패키지에 포함 되어있다. CentOS7 기준으로 /usr/lib64/openvpn/plugin 에 존재한다.
# /etc/openvpn/server.conf 파일 끝에 아래 내용 추가
plugin /usr/lib64/openvpn/plugins/openvpn-plugin-auth-pam.so login
client-cert-not-required
서비스 시작
[centos7:/etc/openvpn/easy-rsa/pki:]# systemctl start openvpn@server.service
Broadcast message from root@centos7 (Tue 2020-12-08 16:35:57 KST):
Password entry required for 'Enter Private Key Password:' (PID 37264).
Please enter password with the systemd-tty-ask-password-agent tool!
[centos7:/etc/openvpn/easy-rsa/pki:]# systemctl start openvpn@server.service
Enter Private Key Password: 개인키_PASSPHRASE
클라이언트 설정
Windows를 기준으로 다음과 같은 파일을 준비한다. ca.crt / ta.key 파일은 키 생성 과정에서 생성했으니 다운로드 하면 된다. VPN.ovpn 파일은 그냥 text 파일이다. 빈 파일을 만든다. 그리고 세 개 파일을 openvpn 클라이언트가 설치된 경로아래 config 디렉토리에 복사한다. 보통 C:\Program Files\OpenVPN\config 가 된다.
# 다음의 내용을 삽입하고 저장한다.
client
dev tun
proto udp
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
auth SHA512
cipher AES-256-CBC
comp-lzo
verb 4
# 키 파일의 경로를 입력
# 별도의 경로를 넣지 않으면 C:\Program Files\OpenVPN\config 디렉토리를 기본으로 인식한다.
# openvpn client 인스톨 뒤 위 경로에 ca.crt파일과 ta.key 파일을 복사한다.
ca ca.crt
tls-auth ta.key 1
key-direction 1
auth-user-pass
#remote VPN-SERVER-IP 9411
클라이언트 실행
아래 아이콘에 마우스 오른쪽 버튼을 클릭하면 메뉴가 뜬다. vpn 서버가 여러대 일 경우 각 서버마다 ovpn 파일을 생성해서 config에 넣어주면 선택하여 접속할 수 있다.
가상사설망(假想私設網) 또는 VPN(영어: virtual private network)은 공중 네트워크를 통해 한 회사나 몇몇 단체가 내용을 바깥 사람에게 드러내지 않고 통신할 목적으로 쓰이는 사설 통신망이다.가상 사설망에서 메시지는 인터넷과 같은 공공망 위에서 표준 프로토콜을 써서 전달되거나, 가상 사설망 서비스 제공자와 고객이 서비스 수준 계약을 맺은 후 서비스 제공자의 사설망을 통해 전달된다.
가상 사설망의 등장배경은 인터넷을 기반으로 한 기업 업무환경의 변화에 기인한다. 즉, 소규모 지역에서 문서만을 전달하던 업무처리 기반에서 하나의 건물 내의 네트워크를 이용한 업무로, 다시 본사와 다수의 지사 관계, 또한 지사는 국내 지사와 국외 지사로 확장되었다. 이들이 하나의 네트워크 구축을 위해 기존 전용선을 사용하는 방법에는 비용을 포함한 여러가지 한계를 가지며, 전용선을 이용해서 네트워크가 구성되었다고 하더라도 네트워크 운영을 자체적으로 하는 것과 새로운 기술들을 도입하는 것 역시 기업의 입장에서는 상당한 부담이 될 수 있다. 또한 기존의 공중 네트워크는 보안과 관련해서는 서비스를 제공하지 않기 때문에 중요한 문서나 데이터를 전달하기에는 부족한 점이 있었다. 이러한 복합적인 이유가 가상 사설망이 등장한 계기가 되었다.1위키백과에서 발췌
왜 VPN이 생겨났는가는 단순하다. A라는 회사가 있다고 생각해보자. 최첨단 산업을 선도하는 A사는 시간이 흐르면서 회사의 규모도 커지고 직원도 늘어나면서 서울에 본사 뿐 아니라 미국, 중국, 영국 등 세계 각국의 주요 거점에도 지사를 세우게 됐다.
서울 본사만 있을 때는 사내망 관리만 하면 됐지만 미국지사와 중요한 자료를 주고받으려니 일반망으로 데이터를 주고 받자니 중간에 패킷을 가로채거나 하는 공격의 위험이 크고, 서울에서 미국까지 전용선을 설치하자니 너무 비용이 많이 든다.
이러한 상황에서의 보안 요건을 충족하기 위한 것이 바로 Virtual Private Network 되시겠다. 즉, 일반망을 사용하되, 암호화 등의 조치를 통해 본사와 미국지사 사이의 연결이 사설망인 것 처럼 동작하게 하는 것, 그것이 VPN이다.
PPPTP / L2TP / IPSEC / SSL 등의 방식이 있으며, 근래에는 IPSEC, SSL 두 종류로 수렴하는 듯 한다. 가장 많이 쓰이는 IPSEC / SSL 방식 VPN의 차이를 찾자면 – SSL 방식이건 IPSEC이건 모두 암호화방식이나, 터널 개념에 있어서 큰 차이는 없다.
이건 SSL-VPN
– 클라이언트와 대상 망의 VPN 서버와 터널을 맺고 암호화 통신을 한다.
이건 IPSEC
– 양자간 각각의 VPN server를 두고 각 VPN 서버끼리 터널을 맺고 통신을 한다.
求道 아니고, 舊都도 아니고 構圖. 비단 사진에만 해당 하는 것은 아니고 그림을 그릴 때에도 해당한다. 사진이나 그림 모두 결국 정해진 틀 안에 대상이 담기므로 표현하고자 하는 대상의 형태나 위치 색감 등을 고려한 짜임새를 말한다.
(필자는 전문가가 아니고 또 이 글은 전문가를 위한 글이 결코 아니니까..) 어렵게 생각하지 말고 우선 이것을 머리속에 담아두자.
사진을 찍건 그림을 그리건 일단 모두 ‘사각형의 틀’ 안에 담긴 다는 사실은 변하지 않는다. 1(당췌 이해 안되는 설치 미술이나 이런거라던가… 360카메라는 빼고.. ) 사진을 찍을 때 LCD나 뷰파인더에 저런 선이 있다고 생각하고 시작하면 된다. 2SLR의 경우는 그리그가 새겨진 스크린으로 교체 하기도 했고, 요즘 카메라는 촬영 시 LCD에 표시해주기도 한다. 책이나 다른 웹사이트를 뒤져보면 삼각구도, 터널구도, 방사구도 어쩌고 엄청 많이 나오는데 복잡하게 생각하지 말고 우선 위 가상의 선을 머리에 담고 이렇게 기억하면 된다.
‘사람의 시선이 분할선을 따라 이동하고 분할선이 모이는 점에서 멈춘다’
조금 더 재미 없는 그림을 보자.
어렵게 생각 할 필요는 없다 “선이 만나는 점들 중 어딘가에 중요한 것이 있다” 즉, – 사람을 찍을 때라면 그림의 점 어딘가에 ‘사람의 얼굴’이 위치하면 되고 – 바다와 산을 찍을 때는 수평선과 산능선이 선을 따라 위치하면 된다는 말이다. – 건물의 경우는 경계면들이 선에 걸치면 된다. – 시선은 피사체에서 배경으로 이동하도록 한다.
댓글을 달려면 로그인해야 합니다.