사용자 계정 보안
사용자 계정의 보안위협은 크게 세가지로 나뉨
- 무차별 대입공격: 비밀번호를 무작위로 입력해 사용자/시스템 계정 비밀번호를 알아냄
- 시스템 계정 유출: root 사용자의 비밀번호를 획득 후 사용자 계정 정보를 탈취함
- 파일 및 디렉터리의 변조와 유출: 서버 내에 저장된 데이터를 변조하거나 유출함
공격자의 시스템 접근을 막으려면 불필요한 사용자의 로그인을 제한해야 함.
사용자 계정 관리법
1. sudo useradd -m <계정명> 명령어와 sudo passwd <계정명> 명령어를 사용하여 실습 계정을 하나 만들고 암호를 등록
2. sudo passwd -S [계정명] 명령어를 통해 계정 상태를 확인
3. 위 그림에서 P는 계정이 비밀번호 입력 가능 상태를 의미하며, L은 비밀번호가 잠겨 있는 상태를 의미
4. sudo usermod -L [계정명] 명령어를 통해 불필요한 사용자 계정 비밀번호를 잠금
(비밀번호를 입력을 잠금하여 계정 로그인을 불가능하도록 막는것임)
5. 사용자 계정 비밀번호를 풀고 싶을 경우 sudo usermod -U [계정명] 명령어를 통해 계정을 잠금 해재 가능
사용자 로그인 제한하기
서비스 관리 계정의 경우, 사용자가 파일을 조작하기 위한 계정이 아니라 서비스에서 권한을 주고 자동으로 실행하기 위해 사용하는 계정이므로, 서비스 관리 계정의 경우 로그인 자체를 막는것이 권장됨.
1. sudo cat /etc/passwd를 입력해 보면 bin, daemon 등 리눅스 서비스 관리용 사용 계정들은 코드 셸 마지막 부분이
/sbin/nologin으로 되어있음 (로그인 불가능한 계정임을 의미)
2. sudo usermod -s /usr/sbin/nologin/ [계정명] 명령어를 통해 콘솔 로그인을 제한할 수 있음
3. 위와 같이 로그인 불가능 한 계정으로 만들 경우 계정의 상태가 비밀번호 입력 가능한 P 상태가 되어도
해당 계정으로 접근이 불가능하여 로그인이 불가능해짐.
(비밀 번호 잠금과 다르게 해당 계정에 접근이 불가능 함]
비밀번호 정책 설정법
무차별 대입 공격에 대한 보안을 위해서는 비밀번호 설정 시, 대소문자 + 숫자 + 특수무자 조합이 필요
1. sudo vi /etc/login.defs 명령어를 통해 비밀번호 정책 설정을 변경 가능
2. /etc/login.defs의 비밀번호 명령어 정책중 비밀번호 길이에 대한 명령어(PASS_MIN_LEN)를 통해 비밀번호 설정 시,
최소 비밀번호의 길이를 8글자로 설정해 놓음
3. 비밀번호 설정 시 비밀번호 정책 값(최소 비번 길이 8글자)보다 작을 경우 비밀번호 설정이 불가능함
'Security' 카테고리의 다른 글
| Security_PAM 활용 사용자 계정 보안 (0) | 2025.01.07 |
|---|---|
| Security_방화벽 (0) | 2025.01.07 |
| Security_부트로더(GRUB) 보안 (3) | 2025.01.02 |
| Security_서버 관리 명령어 (0) | 2025.01.01 |
| Security_실습 환경 구축 (3) | 2025.01.01 |