04. 패스워드 파일 보호

04. 패스워드 파일 보호

 

[root@centos7 mhpark]# cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
polkitd:x:999:998:User for polkitd:/:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
chrony:x:998:996::/var/lib/chrony:/sbin/nologin
mhpark:x:1000:1000:mhpark:/home/mhpark:/bin/bash

 

기본셋팅으로 shadow 패스워드를 사용하게 되어 있다.

두번째 필드중에서 x가 아닌게 있으면 수정해주어야 한다.

 

[root@centos7 mhpark]# cat /etc/shadow
root:$6tXn4vh1K$YG1DAdr6xVzSA1wn9gJGA.cExBw5OWUAvBij9tZ1RRNl9nhSf91a6ptwBAgHWQnOxPJj5KOHDv/::0:99999:7:::
bin:*:17632:0:99999:7:::
daemon:*:17632:0:99999:7:::
adm:*:17632:0:99999:7:::
lp:*:17632:0:99999:7:::
sync:*:17632:0:99999:7:::
shutdown:*:17632:0:99999:7:::
halt:*:17632:0:99999:7:::
mail:*:17632:0:99999:7:::
operator:*:17632:0:99999:7:::
games:*:17632:0:99999:7:::
ftp:*:17632:0:99999:7:::
nobody:*:17632:0:99999:7:::
systemd-network:!!:17712::::::
dbus:!!:17712::::::
polkitd:!!:17712::::::
sshd:!!:17712::::::
postfix:!!:17712::::::
chrony:!!:17712::::::
mhpark:$6ddw$YG1DAdr6xVzSA1wn9gJGA.cExBw5OWUAvBij9tZ1RRNl9nhSf91a6ptwBAgHWoZ6.6rHEnxfQnOxPJj5KOHDv/::0:99999:7:::

 

■ 대상 OS : SunOS, Linux, AIX, HP-UX

 

 

■ 취약점 개요

    - 패스워드 정보를 평문으로 저장하는 경우 정보 유출 피해가 발생할 수 있으므로 패스워드를 암호화하여 보호하여야 함.

    - 쉐도우 패스워드를 사용하여 "/etc/shadow" 파일에 암호화된 패스워드가 저장되도록 하고 특별 권한이 있는 사용자들만 읽을 수 있도록 제한함.

 

■ 보안대책

    - 양호 : 쉐도우 패스워드를 사용하거나, 패스워드를 암호화하여 저장하는 경우

    - 취약 : 쉐도우 패스워드를 사용하지 않고, 패스워드를 암호화하여 저장하지 않는 경우

 

■ 조치 방법

    - 패스워드 암호화 저장·관리 설정 적용

 

■ 보안설정 방법

    ◆ OS별 점검 파일 위치 및 점검 방법

        1. SunOS, Linux

          ㉠ /shadow 파일 존재 확인 (일반적으로 /etc 디렉토리 내 존재)

             #ls /etc

          ㉡ /etc/passwd 파일 내 두 번째 필드가 "x" 표시되는지 확인

             #cat /etc/passwd

              root:x:0:0:root:/root:/bin/bash (※ "passwd" 파일 구조)

       2. HP-UX

          ㉠ /tcb 디렉토리 존재 확인

          ㉡ /etc/passwd 파일 내 두 번째 필드가 "x" 표시되는지 확인

 

    ◆ 위에 제시한 설정이 적용되지 않은 경우 아래의 보안설정 방법에 따라 설정

 

■ SunOS, Linux

    1. #pwconv    ---> 쉐도우 패스워드 정책 적용 방법

    2. #pwunconv ---> 일반 패스워드 정책 적용 방법

 

■ AIX

    - AIX 서버는 기본적으로 "/etc/security/passwd" 파일에 패스워드를 암호화하여 저장·관리함

 

■ HP-UX

    - HP-UX 서버는 Trusted Mode 로 전환할 경우 패스워드를 암호화하여 "/tcb/files/auth" 디렉토리에 계정 이니셜과 계정 이름에 따라 파일로 저장·관리할 수 있으므로 Trusted Mode 인지 확인 후 UnTrusted Mode 인 경우 모드를 전환함

 

    1. Trusted Mode 전환 방법 : root 계정으로 로그인한 후 아래 명령 수행

       #/etc/tsconvert

    2. Untrusted Mode 전환 방법 : root 계정으로 로그인한 후 아래 명령 수행

       #/etc/tsconvert -r

 

■ 조치 시 영향

    - Trusted Mode 로 전환 시 파일시스템 구조가 변경되어 운영 중인 서비스에 문제가 발생할 수 있으므로 충분한 테스트를 거친 후 Trusted Mode 의 전환 필요