[Unix] U-04 패스워드 파일 보호 (상)
- 점검내용
시스템의 사용자 계정(root, 일반계정) 정보가 저장된 파일(예 /etc/passwd, /etc/shadow)에
사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검
- 점검목적
일부 오래된 시스템의 경우 /etc/passwd 파일에 패스워드가 평문으로 저장되므로
사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검하여 비인가자의 패스워드 파일 접근 시에도
사용자 계정 패스워드가 안전하게 관리되고 있는지 확인하기 위함
- 보안위협
사용자 계정 패스워드가 저장된 파일이 유출 또는 탈취 시 평문으로 저장된 패스워드 정보가 노출될 수 있음
- 판단기준
양호 : 쉐도우 패스워드를 사용하거나, 패스워드를 암호화하여 저장하는 경우
취약 : 쉐도우 패스워드를 사용하지 않고, 패스워드를 암호화하여 저장하지 않는 경우
점검 및 조치 방법
■ SOLARIS, LINUX 점검 방법
Step 1) /shadow 파일의 패스워드 암호화 존재 확인
(일반적으로 /etc 디렉터리 내 존재)
#ls /etc
Step 2) /etc/passwd 파일 내 두 번째 필드가 “x” 표시되는지 확인
#cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
(※ “passwd” 파일 구조: 부록 참조}
■ SOLARIS, LINUX 조치 방법
Step 1) #pwconv ---> 쉐도우 패스워드 정책 적용 방법
Step 2) #pwunconv ---> 일반 패스워드 정책 적용 방법
💡 명령어 다시보기
#pwconv ---> 쉐도우 패스워드 정책 적용 방법
쉐도우 파일을 사용하겠다는 의미의 명령어로 이미 쉐도우 파일 사용중일 땐 아무 변화가 없음
해당 명령어는 pwunconv를 했다가 다시 쉐도우 파일 사용으로 되돌리고 싶을 때 사용함
#pwunconv ---> 일반 패스워드 정책 적용 방법
권장하지 않으나 쉐도우 파일을 사용하지 않고 패스워드 파일만 사용하려 할 때 사용
해당 명령 사용시 쉐도우 파일이 없어짐
■ AIX 조치 방법
Step 1) #cat /etc/security/passwd
Step 2) 패스워드 암호화 여부 확인
※ AIX 서버는 기본적으로 “/etc/security/passwd” 파일에 패스워드를 암호화하여 저장·관리