사용자 패스워드 관리 정책

 

 

리눅스에서 사용자의 패스워드 관리는 기본적으로 /etc/passwd 파일과 암호화된 파일인 /etc/shadow파일에서 관리를 한다.

 

/etc/passwd 파일은 기본 사용자 또한 해당 파일을 읽을 수 있지만 /etc/shadow 파일은 root계정만이 읽을 수 있는 permission이 존재한다.

 

보안상의 이유로 /etc/passwd파일을 숨기고 /etc/shadow파일만을 가지고 사용자 패스워드를 관리하기 위해선 pwconv명령어를 사용하여, /etc/passwd파일을 사용하지 않을 수 있다. 

반대로 pwunconv 명령어를 사용하면 /etc/shadow파일을 사용하지 않는다는 설정이다. 즉/etc/shadow를 사용하는 정책에서 /etc/passwd 사용 정책으로 변경하는 명령어 이다.

 

/etc/passwd의 데이터를 검증하는 명령어도 존재하는데 바로 pwck이다.  /etc/passwd 파일을 분석하여, 잘못된 내용을 표시해 준다.

 

vipw명령어는 /etc/passwd 파일을 잠금 한 후 편집하고, 편집 완료 시 잠금해제하는 명령어이다.

 

 

/etc/login.defs 파일과 /etc/default/useradd

 

이 두개의 파일을 신규 계정을 생성시 즉 useradd명령 시 참조하는 파일입니다.

 

우선 /etc/default/useradd 파일을 첫번 째로 참조하며 useradd -D 명령어와 내용이 같습니다.

 

/etc/default/useradd  field 설명

 

Group : 기본 그룹의 GID

HOME : 홈 디렉터리 경로

INACTIVE : 비밀번호 유효기간 종료 후 처리 여부이다,  -1은 유효기간 없음, 0은 패스워드잠금 1이상은 정수 값동안 비밀번호 유효
EXPIRE : 계정 종료일자

SHELL : 사용쉘

SKEL :  생성 시 홈디렉토리에 복사되는 파일들이 있는 디렉터리의 경로

CREATE_MAIL_SPOOL : 메일함 생성여부

 

/etc/login.defs field 설명

 

MAIL_DIR : 메일 디렉터리 위치

PASS_MAX_DAYS : 비밀번호 만료일
PASS_MIN_DAYS : 비밀번호 변경 후 유지해야 하는 최소 일 수 

PASS_MIN_LEN : 비밀번호 최소 길이

PASS_WARN_AGE  :  지정 값만큼 만료일이 되었을 때 만료 경고 메시지 보냅니다.

CREATE_HOME : 홈 디렉터리 생성여부

USERGROUPS_ENAB: userdel 명령 시 그룹도 삭제 (그룹에 속한 유저가 없어야함)

ENCRYPT_METHOD : 암호화 방법

 

- 새로운 사용자 계정을 생성할 때에 부여되는 설정 값들을 미리 정의해놓은 파일이다. 당연히 root계정의 권한이 필요하다.