UnixLinux 시스템 보안¶

1) 사용자 패스워드 관리¶

1. /etc/passwd 파일¶

• 불필요한 계정의 shell은 /sbin/nologin, /bin/fales로 설정해 접속할 수 없도록 해야 함

2. /etc/shadow 파일¶

• passwd 파일에 평문 저장 시 유출이 생길 수 있음
• 암호화된 패스워드 정보와 패스워드 aging 정보(시간의 흐름에 따른 관리 정책)가 있음

3. 패스워드 aging 정보¶

• 사용자들의 계정에 대한 사용 기간, 패스워드, 유효 날짜, 경고 날짜, 종요일 등을 설정하는 것을 의미(/etc/shadow 파일에 설정된 정보)
• change 명령어를 통해 특정 계정 패스워드 종료 정책과 종료 정보를 변경할 수 있다.

• aging 정보 표기 : account:password:last_change:minlife:maxlife:warn:inactive:expires
  • -d(last_change) : 1970년 1월 1일부터 패스워드를 마지막으로 변경한 일자
  • -E(expires) : 계정 사용 종료 일자 (YYYY-MM-DD 포맷으로 작성)
  • -I(inactive) : 패스워드 유효 기간 종료 이후에 계정 비활성화 할 일 수
  • -m(minlife) : 패스워드 변경 할 수 있는 최소일 수 (0이면 아무 때나 변경 가능)
  • -M(maxlife) : 마지막 변경 이후 패스워드 유효일 수
  • -W(warn) : 패스워드 만료기간 몇 일전에 alert 메시지를 내보낼지 설정
  • -l : 특정 사용자에 대한 aging 정보 보기

2) 프로세스 실행 권한(SUID, SGID)¶

• 프로세스 실행하는 동안 부여되는 UID, GID
• RUID : 프로세스를 실행한 사용자의 UID
• RGID : 프로세스를 실행한 사용자의 GID
• EUID : 프로세스를 실행하는 동안 부여되는 UID
• EGID : 프로세스를 실행하는 동안 부여되는 GID
• 주기적으로 root 소유주 파일의 SUID, SGID가 설정된 파일을 찾아 취약점이 있는지 확인

3) 디렉토리 접근권한(sticky-bit)¶

• 리눅스에서의 일반 공유 디렉토이린 /tmp는 모든 사용자가 이용할 수 있게 sticky-bit를 설정함
• rwx로 설정할 경우 다른 사람의 파일을 삭제, 변경할 수 있지만 sticky-bit를 설정해 파일 삭제, 변경은 소유자만 가능하도록 함