備忘log

Password Aging 이란 패스워드에 시간 개념을 도입하는 것으로
사용자가 현재 사용중인 패스워드를 사용할 수 있는 기간과
패스워드를 바꾸지 못하는 날짜 등을 추가하여 사용자에게 패스워드를
강제적으로 바꾸도록 종용하는 것이다.

일반 사용자들은 현재 사용중인 패스워드를 바꾸지 않고 계속 사용하는 경향이 많다.
즉 사용자들은 시스템의 패스워드를 한 번 만들면 특별한 일이 없는 동안
계속 하나의 패스워드를 사용한다.
하지만 이런 성향은 시스템 보안을 강화하고 유지하는 데는 적합하지 않다.
이는 사용자들의 암호가 여러방법으로 유출될 가능성이 상당히 높다.
특히 네트워크로 로그인해서 사용하는 경우 패스워드가 유출될 가능성이 더욱 높아진다.
사용자의 패스워드가 타인에게 노출되면 악의를 가진 사용자가
현재 시스템에 패스워드를 알아낸 사용자로 로그인하여
시스템에 좋지 않은 행동을 할 수 있다.
이러한 가능성을 줄이는 목적으로 사용하는 것이 Password Aging이다.

Password_Aging 관련 파일은 /etc/shadow/etc/default/passwd 두개이다.
(/etc/passwd 가 아니다!)

* /etc/shadow

  : 한 라인에는 사용자 한명의 정보를 저장하며, 각각의 항목은 :(colon) 으로 구분된다.

root:kaiek82au99sf:10336:7:60:5:10:11942

- id (root)
 : login name을 표시한다.

- encrypted password (kaiek82au99sf)
 : crypt 함수로 암호화된 패스워드를 표시한다.

- 최종 변경 날짜 (10336)
  : Password_Aging을 위한 기준 날짜, 마지막으로 패스워드를 변경 한 날짜를
   나타낸다. Solaris는 패스워드를 마지막으로 변경한 날
짜를 일반적인
   년월일 표현이 아닌 1970/1/1부터 며칠이 지났는지 그 일수로 표현한다.

- 최소 변경 일수 (7)
  : 최종 변경 날짜를 기준으로 명시된 일수 안에는 패스워드를 변경할 수
   없으며 명시한 일수가 지난 경우에만 패스워드를 변경할
수 있다.

- 최대 변경 일수 (60)
  :
역시 최종변경 날짜를 기준으로 현재 사용 중인 패스워드를 변경 않고
   사용할 수 있는 일수를 나타낸다. 변경 일수가 지났는데도
하지 않을시에는
   변경날짜 초과이후로 첫 로그인시 패스워드 변경 명령어 passwd가 자동으로
   먼저 실행되어 강제변경하도록 한다.

- 경고 일수 (5)
  :
최대 값 변경 일수가 며칠 남지 않았음을 알리는 경고 메시지를
   로그인할때마다 출력하기 위한 날짜를 나타낸다. 최대값 변경일을
 
  D-day로 "D- 값"으로 적용된다. 최대값 변경 일수의 남은 일수가
   경고일보다 같거나 적을 경우에 사용자가 로그인할 때마다 최대

   변경일 남은 일수를 메시지로 출력한다.

- 최대 값 비활성 일수 (10)
  :
시스템에 로그인을 자주 하지 않는 사용자의 로그인을 불가능하게
   설정한다. 시스템을 잘 사용하지 않는 사용자는 악의를 가진
사용자 의해
   악용될 소지가 많기 때문에 이와같은 필드를 사용한다.
   최대 비활성 일수가 지날 때까지 로그인하지 않은 사용자 계정

   root가 패스워드를 갱신해줄 때 까지 시스템에 로그인할 수 없다.

- 만기 날짜 (11942)
  :
사용자가 시스템을 마지막로 사용할 수 있는 날짜를 명시,이 값 역시
   1970/1/1이 기준인 값으로 명시한다.





* /etc/default/passwd
 : Password_Aging에 관한 시스템 전체 기본 값들을 저장하고 있다.
   초기값 "PASSLENGTH=6" 이외에는 설정되어 있지 않다.

- MINWEEKS
  : 마지막 패스워드 변경일로부터 패스워드를 변경할수 없는 일수를
   주 단위로 설정

- MAXWEEKS
  : 마지막 패스워드 변경일로부터 패스워드를 사용할수 있는 일수를
   주 단위로 설정

- WARNWEEKS
  : MAXWEEKS 변수에 명시한 일수 며칠전부터 로그인시에 경고 메시지를
   출력할 것인가 명시

- PASSLENGTH
  : root 사용자를 제외한 일반 사용자 패스워드 최소 길이 값을 명시


※ /etc/shadow에서는 일 단위로 명시하는 반면
  MINWEEKS 와 MAXWEEKS는 주 단위로 명시한다는 것을 알아두자.

※ 두 파일의 적용 우선순위는 당연히 /etc/shadow이 먼저이다.
  /etc/default/passwd는 말그대로 Default이다!!

2006/12/13 22:25 2006/12/13 22:25

trackbacks

trackbacks rss

http://blog.piano000.net/trackback/60


facebook comments


  1. M/D R
    오오. 형 잘봤습니다.
    쉐도우에 저런 기능이 있었다니;;

    앞으로도 좋은 정보 많이 올려주세요~ ㅎㅎ 기대하고 있을께요.

Leave a Comment