UnixLinux 시스템 보안 » 이력 » 버전 1
이태훈, 2022/08/02 07:49
| 1 | 1 | 이태훈 | h1. UnixLinux 시스템 보안 |
|---|---|---|---|
| 2 | |||
| 3 | h2. 1) 사용자 패스워드 관리 |
||
| 4 | |||
| 5 | h3. 1. /etc/passwd 파일 |
||
| 6 | |||
| 7 | * 불필요한 계정의 shell은 /sbin/nologin, /bin/fales로 설정해 접속할 수 없도록 해야 함 |
||
| 8 | |||
| 9 | h3. 2. /etc/shadow 파일 |
||
| 10 | |||
| 11 | * passwd 파일에 평문 저장 시 유출이 생길 수 있음 |
||
| 12 | * 암호화된 패스워드 정보와 패스워드 aging 정보(시간의 흐름에 따른 관리 정책)가 있음 |
||
| 13 | |||
| 14 | h3. 3. 패스워드 aging 정보 |
||
| 15 | |||
| 16 | * 사용자들의 계정에 대한 사용 기간, 패스워드, 유효 날짜, 경고 날짜, 종요일 등을 설정하는 것을 의미(/etc/shadow 파일에 설정된 정보) |
||
| 17 | * change 명령어를 통해 특정 계정 패스워드 종료 정책과 종료 정보를 변경할 수 있다. |
||
| 18 | |||
| 19 | * aging 정보 표기 : account:password:last_change:minlife:maxlife:warn:inactive:expires |
||
| 20 | |||
| 21 | * -d(last_change) : 1970년 1월 1일부터 패스워드를 마지막으로 변경한 일자 |
||
| 22 | * -E(expires) : 계정 사용 종료 일자 (YYYY-MM-DD 포맷으로 작성) |
||
| 23 | * -I(inactive) : 패스워드 유효 기간 종료 이후에 계정 비활성화 할 일 수 |
||
| 24 | * -m(minlife) : 패스워드 변경 할 수 있는 최소일 수 (0이면 아무 때나 변경 가능) |
||
| 25 | * -M(maxlife) : 마지막 변경 이후 패스워드 유효일 수 |
||
| 26 | * -W(warn) : 패스워드 만료기간 몇 일전에 alert 메시지를 내보낼지 설정 |
||
| 27 | * -l : 특정 사용자에 대한 aging 정보 보기 |
||
| 28 | |||
| 29 | h2. 2) 프로세스 실행 권한(SUID, SGID) |
||
| 30 | |||
| 31 | * 프로세스 실행하는 동안 부여되는 UID, GID |
||
| 32 | * RUID : 프로세스를 실행한 사용자의 UID |
||
| 33 | * RGID : 프로세스를 실행한 사용자의 GID |
||
| 34 | * EUID : 프로세스를 실행하는 동안 부여되는 UID |
||
| 35 | * EGID : 프로세스를 실행하는 동안 부여되는 GID |
||
| 36 | * 주기적으로 root 소유주 파일의 SUID, SGID가 설정된 파일을 찾아 취약점이 있는지 확인 |
||
| 37 | |||
| 38 | h2. 3) 디렉토리 접근권한(sticky-bit) |
||
| 39 | |||
| 40 | * 리눅스에서의 일반 공유 디렉토이린 /tmp는 모든 사용자가 이용할 수 있게 sticky-bit를 설정함 |
||
| 41 | * rwx로 설정할 경우 다른 사람의 파일을 삭제, 변경할 수 있지만 sticky-bit를 설정해 파일 삭제, 변경은 소유자만 가능하도록 함 |