리눅스 계정 관리

 

1. 리눅스 계정 관리

1.1 Default 계정 삭제

리눅스를 설치하면 자동으로 생성되는 계정 가운데 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 등  실제로 사용하지 않는 계정은 모두 없애는 것이 좋다.

ftp, xfs, adm, lp, newes, gopher를 /etc/passwd와 /etc/group 에서 주석처리 또는 userdel uid, groupdel gid를 하면 된다.

#userdel adm

#userdel  lp

#userdel sync

#userdel shutdown

#userdel halt

#userdel news

#userdel uucp

#userdel uuucp

#userdel operator

#userdel games

#userdel gopher

#userdel ftp (anymous FTP server를 운영하지 않으면 삭제 한다.)

1.2 ROOT 권한

/etc/passwd 파일에서 UID가 0인 일반계정의 UID를 100이상으로 수정 필요

>변경 방법 # usermod -u 2222 of (of 계정의 UID를 2222로 변경)

/etc/passwd, /etc/group, 파일의 접근권한을 제한

>변경 방법 # chmod 644 /etc/passwd 

               # chmod 644 /etc/group

               # chmod 400 /etc/shadow

쉘 로그인 필요없는 계정 Shell 제한

>변경 방법 # vi /etc/passwd

daemon : x : 1 : 1  : : / : /bin/false

• Passwd 파일구조

root : x : 0 : 0 : root : /root : /bin/bash

(1)   (2) (3) (4) (5)     (6)       (7)

(1)Login Name : 사용자 계정을 의미한다.

(2)Password : 사용자 암호가 들어갈 자리이나, /etc/shadow 파일에 저장된다.

(3)User ID : 사용자 ID를 의미하며, root의 경우 0이 된다.

(4)User Group ID : 사용자가 속한 그룹 ID를 의미하며, root 그룹의 경우 0 이다.

(5)Comments : 사용자의 코멘트 정보를 적는 곳이다.

(6)Home Directory : 사용자의 홈 디렉토리를 지정한다.

(7)Shell : 사용자가 기본으로 사용하는 쉘 종류가 지정된다.

• shadow 파일구조

Root : $1$Fz4q1GjE$G/EskZPyPdMo9.cNhRKSY.:14806: 0 : 99999 : 7 : : :

(1)                      (2)                                        (3)   (4) (5)     (6) (7) (8) (9)

각 필드의 구분자는 콜론(:)이며, 각 필드는 아래의 의미를 가지고 있다.

(1)Login Name : 사용자 계정

(2)Encrypted : 패스워드를 암호화시킨 값

(3)Last Changed : 1970년부터 1월 1일부터 패스워드가 수정된 날짜의 일수를 계산

(4)Minimum : 패스워드가 변경되기 전 최소사용기간(일수)

(5)Maximum : 패스워드 변경 전 최대사용기간(일수)

(6)Warn : 패스워드 사용 만기일 전에 경고 메시지를 제공하는 일수

(7)Inactive : 로그인 접속차단 일 수

(8)Expire : 로그인 사용을 금지하는 일 수 (월/일/연도)

(9)Reserved : 사용되지 않음

1.3 패스워드 규칙 설정

/etc/login.defs는 'useradd' 명령이 수행될 수 있도록 하는 기본 설정 파일이다.

> 패스워드 길이는 8자이상                        PASS_MIN_LEN   8

> 패스워드 최대 사용기간을 60일 이하         PASS_MAX_DAYS 60

> 패스워드 최소 기간을 1일 이상으로 설정     pASS_MIN_DAYS    1

 MAIL_DIR/var/spool/mail

 메일 스풀 디렉토리 지정

PASS_MAX_DAYS 99

 패스워드의 변경 없이 사용할 수 있는 최대일자

PASS_MIN_DAYS 0

 패스워드의 변경 없이 사용할 수 있는 최소일자

PASS_MIN_LEN 10

 패스워드 최소바이트 수

UID_MIN 500

 새로 생성되는 사용자의 UID 시작번호

UID_MAX 600

 최대로 생성될 수 있는 UID개수

GID_MIN 500

 새로 생성되는 그룹의 GID 시작번호

GID_MAX 600

 최대로 생성될 수 있는 GID개수

CREATE_HOME yes

 홈디렉토리를 자동으로 생성할 것인가의 여부

1.4 SU 제한

 1) /etc/pam.d/su 파일 수정

auth        sufficient   /lib/security/pam_rootok.so

auth       required   /lib/security/pam_wheel.so debug group=wheel

2) wheel group 생성

# Groupadd wheel

3) wheel 그룹에 SU사용할 사용자 추가

# usermod -G wheel 계정명