[보안취약점] U-04. 계정관리-패스워드 파일 보호

■ 점검항목 설명

일부 오래된 시스템의 경우 패스워드 정책이 적용되지 않아 /etc/passwd파일에 평문으로 저장되므로 파일이 유출될 경우 시스템 사용자 계정 패스워드 노출될 수 있다. 쉐도우 패스워드 사용하거나 패스워드 암호화하여 저장할 것을 권고.

 

■ 점검 기준

양호	shadow패스워드 사용O, 패스워드 암호화O
취약	shadow 패스워드 사용X, 패스워드 암호화X

 

■ 점검 방법

1. /etc/shadow 파일을 통해 패스워드 암호화 적용 확인
2. /etc/passwd 파일 확인 파일 내 두 번째 필드가 "x"로 표시되는지 확인

※ etc/shadow : 암호화된 패스워드와 패스워드 설정 정책이 기재, 관리자 계정과 관리자 그룹만 읽을 수 있음 

root:$6$gE7 RrvmP$. qvujpLnuWZ0 LqLw8 wEPFfG.95 VlbaDJuSZxjjXpIMcXC92 YVTekmi0/d7 Bp0 fVD72 fihLRrUokQBpJmGwiPF/:18894:0:99999:7:::

root : 사용자 계정명
암호화된 패스워드$6$gE7 RrvmP$. qvujpLnuWZ0 LqLw8 wEPFfG.95 VlbaDJuSZxjjXpIMcXC92 YVTekmi0/d7 Bp0 fVD72 fihLRrUokQBpJmGwiPF/
마지막 변경 18894 : 1970년 1월 1일 기준으로 일수로 표시
패스워드 최소 사용기간
패스워드 최대 사용기간

경고 : 패스워드 만료 이전에 경고 일 수
비활성화: 패스워드 만료된 이후에 계정이 잠기기 전까지 비활성화 일수 비활성화 기간 동안에 패스워드 변경해야 계정이 잠기지 않음
만료일: 계정 만료일 필드 1970년 1월 1일 기준으로 일수로 표시

※ etc/passwd : 시스템에 등록된 사용자들의 정보가 담겨 있는 파일

root:x:0:0:root:/root:/bin/bash

root: 사용자 계정명 
패스워드 x가 의미하는 바는  사용자의 패스워드가 etc/shadow에 암호화되어 저장
UID : 사용자의 user id, 관리자의 계정은(root)는 UID=0
GID : 그룹 ID, 관리자 그룹의 GID는 0
홈 디렉터리 : 사용자의 홈 디렉터리 /root, 다른 사용자는 /home/계정명으로 위치 
로그인 쉘 : 사용자가 로그인 시에 사용할 쉘

 

■ 대응 방안

▷ shadow 패스워드 정책 적용 방법

# pwconv

▷ shadow 정책에서 -> 일반 패스워드 정책으로 변환 

# pwunconv