Linux 운영 체제 암호 파일 보안 문제 상세 분석

거의 모든 유 닉 스 운영 체제 의 암호 파일 형식 이 비슷 하고 리 눅 스 도 예외 가 아니다.구령 안전 은 리 눅 스 운영 체제 의 전통 적 인 안전 문제 중의 하나 이다.전통 적 인 구령 과 그림자 구령/etc/passwd 는 사용자 의 기본 정 보 를 저장 하 는 구령 파일 입 니 다.이 암호 파일 의 줄 마다 6 개의 콜론 으로 구 분 된 7 개의 도 메 인 이 포함 되 어 있 습 니 다:username: passwd: uid: gid: comments: directory: 셸 이상 은 왼쪽 에서 오른쪽 7 개 도 메 인 에서 다음 과 같이 서술 합 니 다.username:사용자 로그 인 에 사용 할 이름 입 니 다.passwd:암호 밀 문 역 입 니 다.밀 문 은 암호 화 된 암호 이다.암호 가 shadow 를 지나 면 암호 밀 문 도 메 인 에 x 만 표시 되 며,일반적으로 암 호 는 shadow 를 거 쳐 안전 을 확보 해 야 합 니 다.암호 암호 필드 가*로 표시 되면 이 사용자 이름 이 유효 하지만 로그 인 할 수 없습니다.암호 가 비어 있 으 면 로그 인 할 때 암호 가 필요 하지 않 음 을 나타 낸다.uid:시스템 은 사용자 이름 을 표시 하 는 유일한 숫자 에 사 용 됩 니 다.uid 시스템 은 이렇게 분 배 됩 니 다.0 슈퍼 유저 1~10 데 몬 과 위조 사용자 11~99 시스템 유지 사용자 100~ 정상 사용자 gid:사용자 가 있 는 기본 그룹 번 호 를 표시 합 니 다./etc/group 파일 로 결 정 됩 니 다.comments:사용자 의 개인 정 보 를 설명 합 니 다.directory:사용자 의 초기 작업 디 렉 터 리 를 정의 합 니 다.셸:사용자 가 시스템 에 로그 인 한 후 시작 할 케이스 프로그램 을 지정 합 니 다.표 1 은 시스템 이 설치 과정 에서 만 든 표준 사용 자 를 보 여 줍 니 다.표 의 내용 은/etc/passwd 파일 에 대한 설명 과 일치 합 니 다.표 2 는 시스템 설치 과정 에서 생 성 된 표준 사용자 그룹 을 보 여 줍 니 다./etc/group 파일 과 일치 합 니 다.Linux 는 DES 와 같은 암호 화 알고리즘 을 사용 하여 암 호 를 암호 화 합 니 다.암호 화 알고리즘 은 거 스 를 수 없 기 때문에 암호 화 알고리즘 에서 명문 을 얻 을 수 없습니다.문 제 는/etc/passwd 파일 은 전역 적 으로 읽 을 수 있 고 암호 화 된 알고리즘 이 공개 되 어 있다 는 점 이다.악의 적 인 사용자 가/etc/passwd 파일 을 얻 으 면 가능 한 모든 명문 을 같은 알고리즘 으로 계산 하여 밀 문 을 비교 할 수 있 기 때문에 그 는 암 호 를 풀 었 다.따라서 이러한 안전 문제 에 대해 Linux/Unix 는 암호 화 된 암 호 를'shadow(그림자)'체제 로 광범 위 하 게 사용 했다. /etc/shadow 파일 에서 이 파일 은 루트 슈퍼 유저 만 읽 을 수 있 으 며,동시에/etc/passwd 파일 의 암호 도 메 인 은 x 로 표시 되 어 암호 유출 기 회 를 최대한 줄 입 니 다./etc/shadow 파일 의 줄 마다 8 개의 가짜 로 분 단 된 9 개의 도 메 인 입 니 다.형식 은 다음 과 같 습 니 다:username: passwd: lastchg: min: max: warn: inactive: expire: flag 중:lastchg:1970 년 1 월 1 일부 터 지난번 에 구령 을 수정 한 날 까지 의 일 수 를 나타 낸다.min:구령 을 두 번 수정 하 는 데 적어도 거 친 날 수 를 나타 낸다.max:구령 이 유효 하 다 는 최대 일수 입 니 다.99999 라면 기한 이 지나 지 않 는 다 는 뜻 입 니 다.warn:구령 이 효력 을 잃 기 며칠 전에 시스템 이 사용자 에 게 경 고 를 보 냅 니 다.inactive:로그 인 금지 전 사용자 이름 이 유효 하 다 는 일수 입 니 다.expire:사용자 가 로그 인 이 금 지 된 시간 을 표시 합 니 다.0 flag:의미 없 음,사용 하지 않 음.그림자 구령 사용 하기 RedHat Linux 에 shadow 를 설치 하지 않 았 습 니 다.시스템 의/etc/passwd 파일 이 암호 화 되 어 있 는 것 을 발견 하면 shadow 를 사용 하지 않 았 음 을 의미 합 니 다.shadow 를 사용 하려 면 pwconv 를 실행 할 수 있 습 니 다.RedHat 에서 Linux 7.1 에서 그림자 도구 꾸러미(shadow utils)는 몇 가지 도 구 를 포함 하여 다음 과 같은 기능 을 지원 합 니 다.전통 적 인 구령 과 그림자 구령 간 의 전환 도구:pwconv,pwunconv.인증 암호,그룹 과 해당 하 는 그림자 파일:pwck,grpck.산업 표준 에 부합 되 는 방법 으로 사용자 계 정 을 추가,삭제,수정:useradd,usermod,userdel.산업 표준 에 맞 는 방법 으로 사용자 그룹 을 추가,삭제,수정 합 니 다:groupad,groupmod,groupdel.산업 표준 에 맞 는 방법 으로 파일/etc/group 을 관리 합 니 다.시스템 이 shadow 체 제 를 사용 하 든 말 든 상기 도 구 는 정상적으로 사용 할 수 있 습 니 다.리 눅 스 구령 의 최 단 길 이 를 바 꾸 는 리 눅 스 시스템 의 기본 최 단 구령 길 이 는 5 글자 입 니 다.이 길 이 는 구령 의 건장 성 을 보장 하기 에는 부족 합 니 다.최 단 8 글자 로 바 꾸 고/etc/login.defs 파일 을 편집 해 야 합 니 다.이 파일 에서 PASS 를MIN_LEN 5 변경:PASSMIN_LEN 8 표 1 사용자 Uid gid Directory shell Root 0 0 /root /bin/bash 　　Bin 1 1 /bin 　　Daemon 2 2 /sbin 　　Adm 3 4 /var/adm 　　Lp 4 7 /var/spool/lpd 　　Sync 5 0 /sbin /bin/sync 　　shutdown 6 0 /sbin /sbin/shutdown 　　Halt 7 0 /sbin /sbin/halt 　　Mail 8 12 /var/spool/mail 　　News 9 13 /var/spool/news 　　Uucp 10 14 /var/spool/uucp 　　Operator 11 0 /root 　　Games 12 100 /usr/games 　　Gopher 13 30 /usr/lib/gopher-data 　　ftp 14 50 /home/ftp 　　Nobody 99 99 / 표 2 그룹 Gid Members 　　Root 0 Root 　　Bin 1 root,bin,daemon 　　Daemon 2 root,bin,daemon 　　Sys 3 root,bin,adm 　　Adm 4 root,adm,daemon 　　Tty 5 　　Disk 6 Root 　　Lp 7 daemon,lp 　　Mem 8 　　Kmem 9 　　Whell 10 Root 　　Mail 12 Mail 　　News 13 News 　　Uucp 14 Uucp 　　Man 15 　　Games 20 　　Gopher 30 　　Dip 40 　　ftp 50 　　nobody 99 　　Users 100 　　floppy 19