Linux 운영 체제 암호 파일 보안 문제 상세 분석

3533 단어 구령 안전Linux
거의 모든 유 닉 스 운영 체제 의 암호 파일 형식 이 비슷 하고 리 눅 스 도 예외 가 아니다.구령 안전 은 리 눅 스 운영 체제 의 전통 적 인 안전 문제 중의 하나 이다.전통 적 인 구령 과 그림자 구령/etc/passwd 는 사용자 의 기본 정 보 를 저장 하 는 구령 파일 입 니 다.이 암호 파일 의 줄 마다 6 개의 콜론 으로 구 분 된 7 개의 도 메 인 이 포함 되 어 있 습 니 다:username: passwd: uid: gid: comments: directory: 셸 이상 은 왼쪽 에서 오른쪽 7 개 도 메 인 에서 다음 과 같이 서술 합 니 다.username:사용자 로그 인 에 사용 할 이름 입 니 다.passwd:암호 밀 문 역 입 니 다.밀 문 은 암호 화 된 암호 이다.암호 가 shadow 를 지나 면 암호 밀 문 도 메 인 에 x 만 표시 되 며,일반적으로 암 호 는 shadow 를 거 쳐 안전 을 확보 해 야 합 니 다.암호 암호 필드 가*로 표시 되면 이 사용자 이름 이 유효 하지만 로그 인 할 수 없습니다.암호 가 비어 있 으 면 로그 인 할 때 암호 가 필요 하지 않 음 을 나타 낸다.uid:시스템 은 사용자 이름 을 표시 하 는 유일한 숫자 에 사 용 됩 니 다.uid 시스템 은 이렇게 분 배 됩 니 다.0 슈퍼 유저 1~10 데 몬 과 위조 사용자 11~99 시스템 유지 사용자 100~ 정상 사용자 gid:사용자 가 있 는 기본 그룹 번 호 를 표시 합 니 다./etc/group 파일 로 결 정 됩 니 다.comments:사용자 의 개인 정 보 를 설명 합 니 다.directory:사용자 의 초기 작업 디 렉 터 리 를 정의 합 니 다.셸:사용자 가 시스템 에 로그 인 한 후 시작 할 케이스 프로그램 을 지정 합 니 다.표 1 은 시스템 이 설치 과정 에서 만 든 표준 사용 자 를 보 여 줍 니 다.표 의 내용 은/etc/passwd 파일 에 대한 설명 과 일치 합 니 다.표 2 는 시스템 설치 과정 에서 생 성 된 표준 사용자 그룹 을 보 여 줍 니 다./etc/group 파일 과 일치 합 니 다.Linux 는 DES 와 같은 암호 화 알고리즘 을 사용 하여 암 호 를 암호 화 합 니 다.암호 화 알고리즘 은 거 스 를 수 없 기 때문에 암호 화 알고리즘 에서 명문 을 얻 을 수 없습니다.문 제 는/etc/passwd 파일 은 전역 적 으로 읽 을 수 있 고 암호 화 된 알고리즘 이 공개 되 어 있다 는 점 이다.악의 적 인 사용자 가/etc/passwd 파일 을 얻 으 면 가능 한 모든 명문 을 같은 알고리즘 으로 계산 하여 밀 문 을 비교 할 수 있 기 때문에 그 는 암 호 를 풀 었 다.따라서 이러한 안전 문제 에 대해 Linux/Unix 는 암호 화 된 암 호 를'shadow(그림자)'체제 로 광범 위 하 게 사용 했다. /etc/shadow 파일 에서 이 파일 은 루트 슈퍼 유저 만 읽 을 수 있 으 며,동시에/etc/passwd 파일 의 암호 도 메 인 은 x 로 표시 되 어 암호 유출 기 회 를 최대한 줄 입 니 다./etc/shadow 파일 의 줄 마다 8 개의 가짜 로 분 단 된 9 개의 도 메 인 입 니 다.형식 은 다음 과 같 습 니 다:username: passwd: lastchg: min: max: warn: inactive: expire: flag 중:lastchg:1970 년 1 월 1 일부 터 지난번 에 구령 을 수정 한 날 까지 의 일 수 를 나타 낸다.min:구령 을 두 번 수정 하 는 데 적어도 거 친 날 수 를 나타 낸다.max:구령 이 유효 하 다 는 최대 일수 입 니 다.99999 라면 기한 이 지나 지 않 는 다 는 뜻 입 니 다.warn:구령 이 효력 을 잃 기 며칠 전에 시스템 이 사용자 에 게 경 고 를 보 냅 니 다.inactive:로그 인 금지 전 사용자 이름 이 유효 하 다 는 일수 입 니 다.expire:사용자 가 로그 인 이 금 지 된 시간 을 표시 합 니 다.0 flag:의미 없 음,사용 하지 않 음.그림자 구령 사용 하기 RedHat Linux 에 shadow 를 설치 하지 않 았 습 니 다.시스템 의/etc/passwd 파일 이 암호 화 되 어 있 는 것 을 발견 하면 shadow 를 사용 하지 않 았 음 을 의미 합 니 다.shadow 를 사용 하려 면 pwconv 를 실행 할 수 있 습 니 다.RedHat 에서 Linux 7.1 에서 그림자 도구 꾸러미(shadow utils)는 몇 가지 도 구 를 포함 하여 다음 과 같은 기능 을 지원 합 니 다.전통 적 인 구령 과 그림자 구령 간 의 전환 도구:pwconv,pwunconv.인증 암호,그룹 과 해당 하 는 그림자 파일:pwck,grpck.산업 표준 에 부합 되 는 방법 으로 사용자 계 정 을 추가,삭제,수정:useradd,usermod,userdel.산업 표준 에 맞 는 방법 으로 사용자 그룹 을 추가,삭제,수정 합 니 다:groupad,groupmod,groupdel.산업 표준 에 맞 는 방법 으로 파일/etc/group 을 관리 합 니 다.시스템 이 shadow 체 제 를 사용 하 든 말 든 상기 도 구 는 정상적으로 사용 할 수 있 습 니 다.리 눅 스 구령 의 최 단 길 이 를 바 꾸 는 리 눅 스 시스템 의 기본 최 단 구령 길 이 는 5 글자 입 니 다.이 길 이 는 구령 의 건장 성 을 보장 하기 에는 부족 합 니 다.최 단 8 글자 로 바 꾸 고/etc/login.defs 파일 을 편집 해 야 합 니 다.이 파일 에서 PASS 를MIN_LEN 5 변경:PASSMIN_LEN 8 표 1 사용자 Uid gid Directory shell Root 0 0 /root /bin/bash   Bin 1 1 /bin   Daemon 2 2 /sbin   Adm 3 4 /var/adm   Lp 4 7 /var/spool/lpd   Sync 5 0 /sbin /bin/sync   shutdown 6 0 /sbin /sbin/shutdown   Halt 7 0 /sbin /sbin/halt   Mail 8 12 /var/spool/mail   News 9 13 /var/spool/news   Uucp 10 14 /var/spool/uucp   Operator 11 0 /root   Games 12 100 /usr/games   Gopher 13 30 /usr/lib/gopher-data   ftp 14 50 /home/ftp   Nobody 99 99 / 표 2 그룹 Gid Members   Root 0 Root   Bin 1 root,bin,daemon   Daemon 2 root,bin,daemon   Sys 3 root,bin,adm   Adm 4 root,adm,daemon   Tty 5   Disk 6 Root   Lp 7 daemon,lp   Mem 8   Kmem 9   Whell 10 Root   Mail 12 Mail   News 13 News   Uucp 14 Uucp   Man 15   Games 20   Gopher 30   Dip 40   ftp 50   nobody 99   Users 100   floppy 19

좋은 웹페이지 즐겨찾기