[Linux 보안] 리눅스 계정관리 - 패스워드 파일 보호
■ 대상 OS : SunOS, Linux, AIX, HP-UX
■ 취약점 개요
- 패스워드 정보를 평문으로 저장하는 경우 정보 유출 피해가 발생할 수 있으므로 패스워드를 암호화하여 보호하여야 함.
- 쉐도우 패스워드를 사용하여 "/etc/shadow" 파일에 암호화된 패스워드가 저장되도록 하고 특별 권한이 있는 사용자들만 읽을 수 있도록 제한함.
■ 보안대책
- 양호 : 쉐도우 패스워드를 사용하거나, 패스워드를 암호화하여 저장하는 경우
- 취약 : 쉐도우 패스워드를 사용하지 않고, 패스워드를 암호화하여 저장하지 않는 경우
■ 조치 방법
- 패스워드 암호화 저장·관리 설정 적용
■ 보안설정 방법
◆ OS별 점검 파일 위치 및 점검 방법
1. SunOS, Linux
㉠ /shadow 파일 존재 확인 (일반적으로 /etc 디렉토리 내 존재)
#ls /etc
㉡ /etc/passwd 파일 내 두 번째 필드가 "x" 표시되는지 확인
#cat /etc/passwd
root:x:0:0:root:/root:/bin/bash (※ "passwd" 파일 구조)
2. HP-UX
㉠ /tcb 디렉토리 존재 확인
㉡ /etc/passwd 파일 내 두 번째 필드가 "x" 표시되는지 확인
◆ 위에 제시한 설정이 적용되지 않은 경우 아래의 보안설정 방법에 따라 설정
■ SunOS, Linux
1. #pwconv ---> 쉐도우 패스워드 정책 적용 방법
2. #pwunconv ---> 일반 패스워드 정책 적용 방법
■ AIX
- AIX 서버는 기본적으로 "/etc/security/passwd" 파일에 패스워드를 암호화하여 저장·관리함
■ HP-UX
- HP-UX 서버는 Trusted Mode 로 전환할 경우 패스워드를 암호화하여 "/tcb/files/auth" 디렉토리에 계정 이니셜과 계정 이름에 따라 파일로 저장·관리할 수 있으므로 Trusted Mode 인지 확인 후 UnTrusted Mode 인 경우 모드를 전환함
1. Trusted Mode 전환 방법 : root 계정으로 로그인한 후 아래 명령 수행
#/etc/tsconvert
2. Untrusted Mode 전환 방법 : root 계정으로 로그인한 후 아래 명령 수행
#/etc/tsconvert -r
■ 조치 시 영향
- Trusted Mode 로 전환 시 파일시스템 구조가 변경되어 운영 중인 서비스에 문제가 발생할 수 있으므로 충분한 테스트를 거친 후 Trusted Mode 의 전환 필요
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 리눅스 서버' 카테고리의 다른 글
| [Linux 보안] 리눅스 계정 관리 - root 계정 su 제한 (0) | 2016.11.18 |
|---|---|
| [Linux 보안] 리눅스 계정관리 - root 이외의 UID가 '0' 금지 (0) | 2016.11.17 |
| [Linux 보안] 리눅스 계정 관리 - 계정 잠금 임계값 설정 (0) | 2016.11.11 |
| [Linux 보안] 계정관리 - 패스워드 복잡성 설정 (0) | 2016.11.10 |
| [Linux 보안] 계정관리 - root 계정 원격 접속 제한 (0) | 2016.11.09 |