리눅스 사용자 계정

1. System Default Account

 

* 시스템 계정

- 운영체제나 서버를 운용하기 위한 계정들로 특수한 목적으로 사용됨

- 시스템을 운영하면서 각종 데몬이나 특정한 디렉토리 및 파일에 접근하기 위한 계정이 필요하게 됨

 

* 불필요한 계정은 삭제하여 접근이 허가되지 않는 사용자의 접근을 제한한다.

  

* 하나의 시스템을 여러 사용자가 사용하는 멀티유저(Multi-User) 시스템인 Linux 나 Unix 는 각각의 사용자만이 접근 가능한 파일, 디렉토리들이 있다.

 

* 이런 일련의 규정들을 적용시킬 수 있는 것이 Permission 이고 이런 Permission에 의해 사용자들은 자신의 영역을 갖게 된다. 각각의 사용자들은 고유한 이름을 갖고 그 이름들에 대한 내용은 Account Database File 에 저장되어 있다.

-> /etc/passwd  파일이나 /etc/shadow  파일이 바로 account database 파일이다.

 

 

* /etc/passwd

- passwd 파일은 계정에 대한 정보를 가지고 있다. 사용자들의 고유성을 나타내는 UID 부터 어느 구룹에 속해있는지 등 정보가 들어있다.

 

username:passwd:UID:GID:full_name:directory:shell

--> passwd 파일은 7개의 필드로 나뉘어져 있다. 

 

① 첫 번째 필드는 사용자 이름으로 고유한 것으로 중복될 수 없다.

② 두 번째 필드는 원래 패스워드가 암호화된 내용이 들어 있던 곳인데 현재는 shadow 파일로 옮겨졌다.

③ 세 번째 필드는 uid 이다.

④ 네 번째 필드는 gid 이다.

④ 다섯 번째 필드는 사용자의 정보가 있는 부분이다.

⑥ 여섯 번째 필드는 사용자의 홈 디렉토리이다.

⑦ 일곱 번째 필드는 사용자가 로그인하였을 때 실행되는 프로그램이다.

 

 

* /etc/shadow

- shadow 파일은 오래된 유닉스 시스템에는 존재하지 않았다. passwd 파일의 도난으로 인한 침해사고가 많아지자 패스워드의 암호화된 부분을 따로 shadow 파일로 옮긴 것이다.

 

username:passwd:last:may:must:warn:expire:disable:reserved

 

--> shadow 파일은 9개의 필드로 구성되어 있다.

 

① 첫 번째 필드는 사용자 이름이다.

② 두 번째 필드는 암호화된 패스워드 정보이다.

③ 세 번째 필드는 최근 패스워드를 바꾼 날로써 1970년 1월 1일부터 계산한 날 수 이다.

④ 네 번째 필드는 패스워드 유예기간이다.

⑤ 다섯 번째 필드는 패스워드 유효기간이다.

⑥ 여섯 번째 필드는 패스워드가 만료되기 전에 사용자에게 패스워드를 바꿀 것을 경고하는 기간이다.

⑦ 일곱 번째 필드는 패스워드가 만료된 뒤 사용자 계정이 사용 불가능한 상태가 될 때 까지의 기간이다.

⑧ 여덟 번째 필드는 계정이 사용 불가능하게 된 날로 1970년 1월 1일부터 계산한 날 수이다.

⑨ 아홉 번째 필드는 예약된 공간이다.

 

 

----------------------------------------------------------------------------------------------------------------------------------------------------

 

Password Aging

 

 

* 패스워드를 지정된 시간(maximum lifetime)의 경과 후 , 패스워드 변경을 사용자에게 요구하여, 동일한 패스워드를 장시간 사용하는 것을 막는다.  패스워드가 한 번 결정된 후, 다음 변경이 가능할 때까지의 최소의 시간(minimum lifetime)을 지정함으로써, 다시 이전의 패스워드로 돌아가는 것을 막는다.

 

* 동일한 패스워드를 오랜 시간동안 사용하는 것은 패스워드 유출의 위험을 증가시킨다. 또한, 이미 유출된 패스워드를 계속 사용함으로써 시스템의 보안에 중대한 약점으로 작용할 수 있다.

 

# chage 유저네임