취약점
시스템의 사용자 계정 정보가 평문으로 저장되었다면 패스워드가 노출될 수 있음
따라서, 계정 정보를 포함하는 파일에 사용자 계정 패스워드가 암호화되어 있는지 점검하자!
보안조치
살펴볼 파일은 2가지로 /etc/passwd, /etc/shadow
각 각 계정 정보와 암호화된 패스워드가 저장된 파일이다.
■ 두번째 필드가 x인지 확인!
[root@localhost ~]# vi /etc/passwd
root:x:0:0:root:/root:/bin/bash
test:x:1000:1000::/home/test:/bin/bash
test2:x:1001:1001::/home/test2:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
...
*x처리 되었다는 것은 /etc/shadow에 암호를 저장하겠다는 의미
*파일명 : 암호화여부 : UID : GID : 코멘트 : 홈디렉토리 : 쉘 종류
■ 암호화되어있는지 확인해보자
[root@localhost ~]# vi /etc/shadow
root:$6$8ENNViD/$vfuTIgR7auG3sTACSusNYHypDIUrrbDPeagimsVh96JZ9HDyst1AbtnWkLtWs78V8YmEK3EQWDH.T4icl1qUp1:18625:0:99999:7:::
test:$6$2SxS4Y3U$BobgW3YEDqlf04oy4z7uBR66ZDKJur6APphZpEdkRPCJS6fzo//S6pWwjPpI7REiz6e7WP/4uLPrZPDT6g3pm/:18625:1:60:7:::
test2:$6$B0PgwlUW$OXvi78nRXbCVLJ19.8wrFsJVfLIhBMQutlbE2ncQR9WtDGep793My.sIG2wvYl.OHoRJ/ONAqIZwibfl91upq0:18629:1:60:7:::
bin:*:18353:0:99999:7:::
...
암호화가 되어있는 것을 확인할 수 있다.
$SHA-512 해쉬$솔트 값$암호화된 패스워드
더보기
○ Hash 종류
- $1 : MD5
- $2 / $2a / $2y : Blowfish
- $5 : SHA-256
- $6 : SHA-512
○ salt : 동일한 패스워드가 서로 같은 해시 값을 갖지 않도록 사용하는 랜덤 값
○ hash 결과 : 패스워드 + salt 데이터를 해시 함수에 넣은 결과 값
추가로 pwunconv명령어는 passwd에 암호를 표기하겠다는 뜻이지만
passwd파일이 모든 사용자에게 읽기 권한을 허용하기 때문에 리눅스에서는 자동으로 shadow에 저장되고 있다.
[root@localhost ~]# pwunconv
[root@localhost ~]# vi /etc/passwd
root:$6$8ENNViD/$vfuTIgR7auG3sTACSusNYHypDIUrrbDPeagimsVh96JZ9HDyst1AbtnWkLtWs78V8YmEK3EQWDH.T4icl1qUp1:0:0:root:/root:/bin/bash
test:$6$2SxS4Y3U$BobgW3YEDqlf04oy4z7uBR66ZDKJur6APphZpEdkRPCJS6fzo//S6pWwjPpI7REiz6e7WP/4uLPrZPDT6g3pm/:1000:1000::/home/test:/bin/bash
test2:$6$B0PgwlUW$OXvi78nRXbCVLJ19.8wrFsJVfLIhBMQutlbE2ncQR9WtDGep793My.sIG2wvYl.OHoRJ/ONAqIZwibfl91upq0:1001:1001::/home/test2:/bin/bash
참조
'리눅스 > 계정관리' 카테고리의 다른 글
| [CentOS 7] root 계정 su 제한 (0) | 2020.12.30 |
|---|---|
| [CentOS 7] UID,GID와 관련한 보안 (0) | 2020.12.30 |
| [CentOS 7] 패스워드 복잡성 및 계정 잠금 임계값 설정 (0) | 2020.12.28 |
| [CentOS 7] root 계정 원격 접속 제한 (0) | 2020.12.25 |
| 개요 (0) | 2020.12.25 |