[Unix] U-04 패스워드 파일 보호 (상)

 

- 주요정보통신기반시설 기술적 취약점 분석/평가 방법 상세 가이드 -

 

 

• 점검내용

시스템의 사용자 계정(root, 일반계정) 정보가 저장된 파일(예 /etc/passwd, /etc/shadow)에 

사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검 

 

• 점검목적

일부 오래된 시스템의 경우 /etc/passwd 파일에 패스워드가 평문으로 저장되므로

사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검하여 비인가자의 패스워드 파일 접근 시에도

사용자 계정 패스워드가 안전하게 관리되고 있는지 확인하기 위함

 

• 보안위협

사용자 계정 패스워드가 저장된 파일이 유출 또는 탈취 시 평문으로 저장된 패스워드 정보가 노출될 수 있음

 

• 판단기준

양호 : 쉐도우 패스워드를 사용하거나, 패스워드를 암호화하여 저장하는 경우

취약 : 쉐도우 패스워드를 사용하지 않고, 패스워드를 암호화하여 저장하지 않는 경우

 

 

 

---

점검 및 조치 방법

 

 

 

 

■  SOLARIS, LINUX 점검 방법
Step 1) /shadow 파일의 패스워드 암호화 존재 확인 
(일반적으로 /etc 디렉터리 내 존재)
#ls /etc
Step 2) /etc/passwd 파일 내 두 번째 필드가 “x” 표시되는지 확인
#cat /etc/passwd
root:x:0:0:root:/root:/bin/bash 
(※ “passwd” 파일 구조: 부록 참조}

 

■ SOLARIS, LINUX 조치 방법
Step 1) #pwconv ---> 쉐도우 패스워드 정책 적용 방법
Step 2) #pwunconv ---> 일반 패스워드 정책 적용 방법

💡 명령어 다시보기

#pwconv ---> 쉐도우 패스워드 정책 적용 방법
쉐도우 파일을 사용하겠다는 의미의 명령어로 이미 쉐도우 파일 사용중일 땐 아무 변화가 없음
해당 명령어는 pwunconv를 했다가 다시 쉐도우 파일 사용으로 되돌리고 싶을 때 사용함


#pwunconv ---> 일반 패스워드 정책 적용 방법
권장하지 않으나 쉐도우 파일을 사용하지 않고 패스워드 파일만 사용하려 할 때 사용
해당 명령 사용시 쉐도우 파일이 없어짐

 

■ AIX 조치 방법
Step 1) #cat /etc/security/passwd
Step 2) 패스워드 암호화 여부 확인
※ AIX 서버는 기본적으로 “/etc/security/passwd” 파일에 패스워드를 암호화하여 저장·관리