Practically Useful UNIX Security Administration

±èÈÖ°­ (Sakai Kim) sakai@major.kaist.ac.kr

Contents
General Security Administration (À̹ø È£)

I. General System Administration

1. System Administration (Intro)

System Administration À̶õ ¹«¾ùÀΰ¡?

ÇѸ¶µð·Î ÁÙ¿© À̾߱â Çϸé root °¡ µÇ¾î system À» °ü¸®ÇÏ´Â °ÍÀ» ¸»ÇÑ´Ù.

root ÀÇ ±ÇÇÑÀ» °®°Ô µÇ¾ú´Ù´Â °Í¿¡´Â ¸¹Àº Ã¥ÀÓÀÌ µÚµû¸£°Ô µÈ´Ù.

½Ã½ºÅÛÀÇ »çÈ°À» ÁÂÁö¿ìÁö ÇÒ ¼ö ÀÖÀ» »Ó¸¸ ¾Æ´Ï¶ó, »ç¿ëÀÚµéÀÇ account µµ ÀÓÀÇ·Î »èÁ¦ ÇÒ ¼ö ÀÖ´Â ±ÇÇÑÀ» ºÎ¿© ¹Þ¾Ò´Ù´Â ¶æÀ̱⠶§¹®ÀÌ´Ù.

¶Ç root ÀÇ ±ÇÇÑÀ» °®°Ô µÇ¸é Ÿ »ç¿ëÀÚµéÀÇ ¸ÞÀÏÀ̶óµç°¡ , Ȩ µð·ºÅ丮¿¡ ÀÖ´Â ¾î¶°ÇÑ ÆÄÀÏÀÌ¶óµµ ¿­¶÷ÇÒ ¼ö ÀÖ°Ô µÇ´Âµ¥ ÀÌ¿¡ µû¶ó À±¸®ÀûÀÎ ¹®Á¦µµ ¸¹ÀÌ ÆÄ»ýµÇ°í ÀÖ´Ù. ½ÇÁ¦·Î õÁÖ±³ÀÇ ÀÔ±èÀÌ °­ÇÑ ³ª¶ó¶óµç°¡, ÇÁ¶óÀ̹ö½Ã º¸È£°¡ Àß º¸ÀåµÈ ³ª¶ó¿¡¼­´Â ½Ã½ºÅÛ °ü¸®ÀÚ°¡ µÉ ¶§ ºÎµæÀÌÇÑ ¸ñÀû ¿Ü¿¡´Â »ç¿ëÀÚµéÀÇ ÆÄÀϵéÀ» touch ÇÏÁö ¾Ê´Â´Ù´Â °Í°ú »ç¿ëÀÚµéÀÇ ÇÁ·Î¼¼½º¸¦ ÀÓÀÇ·Î kill ÇÏÁö ¾Ê°í , »ç¿ëÀÚµéÀÇ ¸ÞÀÏÀ» Àý´ë º¸Áö ¾Ê´Â ´Ù´Â °ÍÀ» ¼±¼­ÇØ¾ß ÇÑ´Ù.

¶ÇÇÑ »ç¿ëÀڵ鵵 ½Ã½ºÅÛÀ» »ç¿ëÇÏ°Ô µÉ ¶§ ½Ã½ºÅÛ¿¡ ÇÇÇظ¦ ÁÖ´Â ÇàÀ§¸¦ ÇÏÁö ¾Ê´Â´Ù´Â °Í°ú , ½Ã½ºÅÛÀÇ ±ä±Þ »óȲÀÏ ¶§¿¡´Â °ü¸®ÀÚ°¡ ÀÚ½ÅÀÇ ÆÄÀϵéÀ̳ª ¸ÞÀϵéÀ» »ìÆì º¼ ¼ö ÀÖ´Ù´Â °Íµµ ¼­¸íÀ» ÇÏ°Ô µÇ¾î ÀÖ´Ù.

ÇöÀç ±¹³»¿¡¼­´Â ÀÌ·¸°Ô ±îÁö ¾ö°ÝÇÏÁö´Â ¾ÊÁö¸¸ ³ª¸§´ë·ÎÀÇ ±ÔÄ¢À» Á¤ÇØ ¼­·ÎÀÇ ¹üÀ§¸¦ ¸¹ÀÌ Ä§ÇØÇÏÁö ¾Êµµ·Ï ÇÏ°í ÀÖ´Ù.

¶Ç Ç×»ó ÀÎÁöÇØ µÎ¾î¾ß ÇÒ Á¡Àº, ½Ã½ºÅÛ °ü¸®ÀÚ´Â ºÀ»çÀÚÀÇ ÀÔÀåÀÌÁö µ¶ÀçÀÚ°¡ ¾Æ´Ï¶ó´Â Á¡ÀÌ´Ù. Ç×»ó ±Ù¸éÇÏ°Ô ½Ã½ºÅÛÀ» °ü¸®ÇÏ¸ç »ç¿ëÀÚÀÇ ¿ä±¸¿¡ ±Í ±â¿ïÀÌ´Â ÀÚ¼¼°¡ ÇÊ¿äÇÏ´Ù.

¿¹Àü¿¡´Â ¸¹Àº ¸í·É¾îµéÀ» ¾Ë¾Æ¾ß Çß°í, ÀÛ¾÷¿¡ ÀܼÕÁúÀÌ ¸¹ÀÌ °¡´Â Àϵ鵵 ¸¹¾ÒÁö¸¸ ¿äÁòÀº Menu based Interface ¸¦ °®Ãá °ü¸® ÅøµéÀÌ ¸¹ÀÌ ³ª¿À°í ÀÖ¾î °ü¸®¿¡ »ó´çÈ÷ Æí¸®ÇØ Á³´Ù.

±×·¯¸é, ÀÌÁ¦ Administrator °¡ °ü¸®ÇÏ´Â ÀÏ¿¡´Â ¾î¶°ÇÑ °ÍµéÀÌ Àִ°¡ »ìÆ캸ÀÚ.

À§¿¡¼­ ¿­°ÅÇÑ ÀÏµé ¸»°íµµ ¸¹Àº ÀϵéÀÌ ÀÖÀ» °ÍÀÌ´Ù.

À̹ø È£¿¡¼­´Â ÀÌ·¯ÇÑ ¸¹Àº Àϵé Áß¿¡¼­ System Security ¿¡ °ü·ÃµÈ »çÇ×µéÀ» ÁßÁ¡ÀûÀ¸·Î ´Ù·ç¾î º¸µµ·Ï ÇÏ°Ú´Ù.

II. General Security Administration

ÇöÀç UNIX °è¿­ÀÇ system¿¡´Â ´Ù¾çÇÑ version ÀÇ ¸¹Àº Á¾·ùÀÇ OS °¡ Á¸ÀçÇÏ°í Àִµ¥, °¢°¢ÀÇ OS ¸¶´ÙÀÇ ¸¹Àº ¹ö±×¸¦ ÀÏÀÏÀÌ ÆľÇÇϱ⵵ ¾î·Á¿î ÀÏÀÌ°í, ¸ðµç OS ¸¦ ÀüºÎ cover ÇÑ´Ù´Â °ÍÀº ½ÇÁ¦ÀûÀ¸·Î ¸¹Àº ¾î·Á¿òÀÌ µÚµû¸¥´Ù.

À̹ø ´Þ¿¡´Â system °ü¸®¸¦ ¾î¶»°Ô ÇÏ¸é º¸´Ù secure ÇÏ°Ô ÇÒ ¼ö ÀÖ´ÂÁö¿¡ ´ëÇØ °øÅëÀûÀ¸·Î ¾Ë¾Æ¾ß ÇÒ ºÎºÐÀ» ´Ù·ç¾î º¸°Ú´Ù.°øÅëÀûÀ¸·Î ÆľÇÇØ¾ß ÇÏ´Â ºÎºÐ ¿Ü¿¡µµ ¿©·¯ OS ¸¶´Ù °°Àº ¸í·É¾î°¡ ´Ù¸¥ À̸§À¸·Î Á¸ÀçÇÏ´Â °æ¿ì´Â ¤°í ³Ñ¾î°¡°Ú´Ù.

1. General Security (Intro)

¿ì¼± ÇØÄ¿(hacker) µéÀÌ ¾î¶°ÇÑ ¹æ¹ýÀ¸·Î system¿¡ ħÀÔÇÏ´Â Áö¸¦ ÆľÇÇÑ´Ù¸é ÀÌ¿¡ µû¶ó systemÀÇ º¸¾ÈÀ» º¸´Ù È¿À²ÀûÀ¸·Î °ü¸®ÇÒ ¼ö ÀÖ°Ô µÈ´Ù.

ÇØÅ·¿¡´Â ´ÙÀ½ÀÇ ¼¼°¡Áö ´Ü°è°¡ ÀÖ´Ù.(¿©±â¿¡¼­ ÇØÅ·À̶ó ÇÔÀº intruding À» ÀǹÌÇÏ°í, ÇØÄ¿´Â ¿ø·¡ÀÇ ¶æÀÌ ¾Æ´Ñ intruder ¸¦ ¼ÓĪÇÏ¿© ¾²±â·Î ÇÑ´Ù.)

1.1 Intruding & Defensing

ù¹ø° ´Ü°è·Î remote host ¿¡¼­ target host ÀÇ ½© ¾×¼¼½º¸¦ ¾òÀ¸·Á°í ½ÃµµÇÏ´Â °úÁ¤ÀÌ´Ù.
ÃÖ±ÙÀÇ ¸¹Àº ½É°¢ÇÑ ¹ö±×·Î ÀÎÇÏ¿© ħÀÔÇÏ°íÀÚ ÇÏ´Â host ÀÇ shell access ¸¦ ÇÒ ¼ö ¾ø´Ù ÇÏ´õ¶óµµ root ±ÇÇÑÀ» ¾ò¾î ³¾ ¼ö Àֱ⵵ ÇÏÁö¸¸ ÀϹÝÀûÀ¸·Î local host ·Î ħÀÔÇÑ ÈÄ OS ÀÇ ¹ö±×¸¦ ÀÌ¿ëÇÏ¿© root ÀÇ ±ÇÇÑÀ» ¾ò´Â °ÍÀÌ º¸ÅëÀÌ´Ù.

±×·² ¼ö ¹Û¿¡ ¾ø´Â ÀÌÀ¯·Î¼­ ¿ì¼± remote ¿¡¼­ Á÷Á¢ root ±ÇÇÑÀ¸·Î ¸í·ÉÀ» ½ÇÇà½ÃÅ°µµ·Ï Á¶ÀÛÇÏ´Â °ÍÀº »ó´ç¼öÁØ¿¡ À̸¥ ÇØÄ¿µé¸¸ÀÌ ±¸»çÇÒ ¼ö ÀÖÀ» »Ó ¾Æ´Ï¶ó remote ¿¡¼­ µ¿ÀÛÇÏ´Â ¹ö±× ¼ö´Â local host ¿¡¼­ OS ÀÇ ¹ö±× ¼ö¿¡ ºñÇØ »ó´çÈ÷ Àû±â ¶§¹®ÀÌ´Ù.

¶ÇÇÑ remote ¿¡¼­ Á¶ÀÛÀ» ÇÏ¿© root ±ÇÇÑÀ» ¾ò´Â´Ù ÇÏ´õ¶óµµ ¾îÂ¥ÇÇ Áõ°Å (systemÀÇ log ÆÄÀϵé)¸¦ Áö¿ì±â À§ÇØ Ä§ÀÔÀ» Çؾ߸¸ Çϱ⠶§¹®¿¡ °á°úÀûÀ¸·Î ÇØÄ¿´Â system ¾ÈÀ¸·Î ħÀÔÀ» °­ÇàÇÏ°Ô µÈ´Ù.

µÎ ¹ø° ´Ü°è·Î local host ħÀÔ ÈÄ root privilege ¸¦ ¾òÀ¸·Á ½ÃµµÇÏ´Â °úÁ¤ÀÌ´Ù.
ÀÌ°ÍÀº ¿ì¼± remote ¿¡¼­ local host ·Î ÀáÀÔÇÑ ÈÄ¿¡ OS ÀÇ ¹ö±×¸¦ ÀÌ¿ëÇÑ´ÙµçÁö, °ü¸®ÀÚ ¹Ì¼÷À¸·Î ÀÎÇØ systemÀÌ misconfigure µÈ Á¡À» ÀÌ¿ëÇÑ´ÙµçÁö ÇÏ¿© systemÀÇ root ±ÇÇÑÀ» ¾ò´Â °úÁ¤À» ¸»ÇÑ´Ù.

¼¼ ¹ø° ´Ü°è·Î Áõ°Å ÀÔ¸ê ÈÄ ÀçħÀÔÀ» À§ÇÑ ¹éµµ¾î ¼³Ä¡ÇÏ´Â °úÁ¤ÀÌ´Ù.

system ·Î±× µð·ºÅ丮(º¸Åë /var ) ¿¡ ÀÚ½ÅÀÇ ÇØÅ· °úÁ¤°ú °ü·ÃµÈ ·Î±×ÆÄÀϵéÀ» º¯Á¶Çϰųª »èÁ¦ÇÏ¿© ÀÚ½ÅÀÇ Áõ°Å¸¦ ÀÔ¸êÇÑÈÄ, ÀçħÀÔÀÇ ¿ëÀ̼ºÀ» À§ÇØ ¹éµµ¾î¸¦ ¼³Ä¡ÇÏ°Ô µÈ´Ù. º¸Åë ¹éµµ¾î´Â /bin/login , /bin/rlogin , /bin/passwd µî°ú °°Àº setuid root program µé¿¡ ¼³Ä¡ÇØ ³õ´Â °ÍÀÌ º¸ÅëÀÌ´Ù.

ÀÚ, ±×·¸´Ù¸é ÀÌ¿Í °°Àº ÇØÄ¿ÀÇ Ä§ÀÔ¿¡ ´ëºñÇÏ¿© °ü¸®ÀÚµéÀº ¾î¶°ÇÑ ¹æ¹ýÀ¸·Î systemÀ» ¹æ¾îÇØ¾ß Çϰڴ°¡?

ù¹ø° ´Ü°è´Â "Network Security ¸¦ ÅëÇÑ Ä§ÀÔ ¹æÁö" ÀÌ´Ù.

ÇØÄ¿°¡ remote ¿¡¼­ºÎÅÍ ¾Æ¿¹ ħÀÔÇÒ ¼ö°¡ ¾ø´Ù¸é, Áï ÀÚ½ÅÀÇ host°¡ Network °ü·ÃµÈ ¹ö±×°¡ ¾Æ¹«°Íµµ ¾ø´Ù¸é, ÀÚ½ÅÀÌ °ü¸®ÇÏ´Â host ¿¡ OS ¹ö±×°¡ ¸¹ÀÌ Á¸ÀçÇÑ´Ù ÇÏ´õ¶óµµ ÇØÄ¿´Â ħÀÔÀ» ÇÒ ¼ö ¾øÀ» °ÍÀÌ´Ù.

ÀÌó·³ ÀÚ½ÅÀÇ host ¸¦ network »ó¿¡ ±¸µ¿ ½ÃÄÑ ³õ¾ÒÀ» ¶§ ¾Æ¹«·± ¹®Á¦Á¡ÀÌ ¾øµµ·Ï ÇÏ¿© (system ¹«°á¼º- system Integrity) ÀÚ½ÅÀÇ host°¡ vulnerable ÇÏÁö ¾Êµµ·Ï ÇÏ´Â °ÍÀÌ Network Security ÀÌ´Ù.

µÎ ¹ø° ´Ü°è´Â "Host Security ¸¦ ÅëÇÑ root ±ÇÇÑ ³ëÃâ ¹æÁö"ÀÌ´Ù.

ÇØÄ¿°¡ remote ¿¡¼­ ÀÚ½ÅÀÇ host·Î ħÀÔÀ» Çϴµ¥ ¼º°øÇÏ¿© shell access ±ÇÇÑÀ» ¾ò°Ô µÇ¾ú´Ù°í Çß´Ù°í ÇÏ´õ¶óµµ ÀÚ½ÅÀÇ host ³»ºÎ¿¡ ¾Æ¹«·± security »óÀÇ ¹®Á¦Á¡ÀÌ ¾ø´Ù°í ÇÑ´Ù¸é ÇØÄ¿´Â ÇØÅ·¿¡ ½ÇÆи¦ ÇÏ°Ô µÈ´Ù.

ÀÌ·± ½ÄÀ¸·Î ÀÚ½ÅÀÇ È£½ºÆ® ³»ºÎÀÇ misconfiguring µÈ »çÇ×µéÀ» Á¤»óÀûÀ¸·Î °íÃÄ ³õ´Â °Í, ¶ÇÇÑ ÀÚ½ÅÀÇ system¿¡¼­ »ç¿ëÁßÀÎ OS ÀÇ ¹ö±×¸¦ ÆÐÄ¡ÇÏ´Â Administration °úÁ¤À» Host Security ¶ó°í ÇÑ´Ù.

¼¼ ¹ø° ´Ü°è´Â "Administration À» ÅëÇÑ Ä§ÀÔÀÚ ÃßÀû, ¹éµµ¾î Á¦°Å" ÀÌ´Ù.

ÇöÀç ÀÚ½ÅÀÇ host °¡ ÇØÅ·À» ´çÇß´ÂÁö ÀÌ»óÇÑ ±â¹Ì°¡ º¸ÀÌ´Â °æ¿ì ÀûÀýÈ÷ ´ëóÇÏ¿©, ÇØÄ¿°¡ ¼³Ä¡ÇØ ³õ°í ³ª°£ ¹éµµ¾î¸¦ ã¾Æ³»¾î ¾ø¾Ö¾ß ÇÏ°í, ½Ã½ºÅÛ¿¡ ½É°¢ÇÑ ÇÇÇظ¦ ÀÔÇû´Ù¸é À̸¦ ÃßÀûÇÒ ¼öµµ ÀÖ¾î¾ß ÇÑ´Ù.

¾ÆÁ÷ ¸¹Àº ´ëÇÐÀÇ °æ¿ì ½Ã½ºÅÛ °ü¸®ÀÚ¸¦ Àü¹® °ü¸®ÀÚ°¡ ¾Æ´Ñ ¹Ì¼÷ÇÑ Çлýµé¿¡°Ô ¸Ã±â´Â °æ¿ì°¡ ´ëºÎºÐÀ̹ǷΠÀÚ½ÅÀÇ ½Ã½ºÅÛÀÌ ÇØÅ·À» ´çÇß´ÂÁöÁ¶Â÷ ¸ð¸£´Â °æ¿ì°¡ ¸¹°í, º¸¾È¿¡ ¾Æ¿¹ ¹«°ü½ÉÇÑ °æ¿ìµµ ¸¹ÀÌ À־ ¹®Á¦°¡ µÇ°í ÀÖ´Ù.

ÀÌÁ¦, º¸¾ÈÀÇ ÀÎÁõÀÇ °¡Àå ±âº»À̶ó ÇÒ ¼ö ÀÖ´Â password °ü¸®¿¡ ´ëÇØ ¾Ë¾Æº¸±â·Î ÇÏÀÚ.

2. General Security (password Security)

2.0 /etc/passwd ÆÄÀÏÀÇ ±¸Á¶

UNIX ½Ã½ºÅÛÀº °¢ »ç¿ëÀÚµéÀÇ password ¹× ±âŸ Á¤º¸¸¦ /etc/passwd ¿¡ º¸°üÇÏ°í ÀÖ´Ù. vi ³ª cat À» ÀÌ¿ëÇÏ¿© ÀÌ file À» »ìÆ캸ÀÚ.

(´Ü, º¸´Â ¹æ¹ýÀÌ ¾î¶² ½Ã½ºÅÛÀ» ¾²´À³Ä¿¡ µû¶ó ´Ù¸£´Ù. À§´Â ÀϹÝÀûÀÎ °æ¿ìÀÌ°í

¡¡/etc/passwd ÆÄÀÏÀº 6 °³ÀÇ colon À¸·Î ±¸ºÐµÇ¾îÁ® 7 °³ÀÇ Çʵå·Î ±¸¼ºÀÌ µÇ¾î ÀÖ´Ù.

username:password:UID:GID:User's Information:home directory:login shell

¿¹:

sakai:JpCRcHUZgpvGs:501:100:Sakai Kim:/home/sakai:/bin/tcsh

1¹ø° field: User Name (login name)Àº sakai ÀÌ´Ù.

2¹ø° field: Password °¡ encrypt µÈ ºÎºÐÀ¸·Î ¿äÁòÀÇ ´ëºÎºÐÀÇ OS ¿¡¼­´Â ±âº»ÀûÀ¸·Î C2 Level À̹ǷΠpassword ÀÇ encrypt µÈ ³»¿ëÀ» µû·Î ´Ù¸¥ ÆÄÀÏ¿¡ ÀúÀåÇÑ´Ù.

(ÀÌ ÆÄÀÏÀº OS ¿¡ µû¶ó ´Ù¸£´Ù. SunOS 4.x ¿¡¼­´Â /etc/security/passwd.adjunct ·Î ÀúÀåÀÌ µÇ°í, Solaris 2.x ¿¡¼­´Â /etc/shadow ¿¡ ÀúÀåÀÌ µÈ´Ù.)

¾Æ¸¶ ¿©·¯ºÐµéÀÌ »ç¿ëÇÏ´Â ´ëºÎºÐÀÇ OS ¿¡¼­´Â ´ÙÀ½°ú °°ÀÌ µÇ¾î ÀÖÀ» °ÍÀÌ´Ù.

sakai:x:501:100:Sakai Kim:/home/sakai:/bin/tcsh

¶Ç´Â

sakai:##sakai:501:100:Sakai Kim:/home/sakai:/bin/tcsh

±×¸®°í Âü°í·Î TCSEC(Trusted Computer System Evaluation Criteria)¿¡ ´ëÇØ ¸»Çغ¼±î ÇÑ´Ù.ÀÌ´Â ½Ã½ºÅÛ º¸¾ÈÀÇ Ç¥ÁØ µî±ÞÀ» ³ª´©¾î µÐ °ÍÀε¥ D Level ºÎÅÍ A Level ±îÁö µî±ÞÀ» ³ª´©°í ÀÖ´Ù.·¹º§µé »çÀÌÀÇ °ü°è´Â D -> A ·Î °¥¼ö·Ï , ¶Ç °°Àº ·¹º§¿¡¼­´Â ¼ýÀÚ°¡ Ŭ¼ö·Ï º¸¾È¼ºÀÌ ÁÁÀ½À» ÀǹÌÇÑ´Ù.

========================[Âü°í: TCSEC ]===================================

º¸¾ÈÀÌ ÀüÇô °í·ÁµÇ¾î ÀÖÁö ¾Ê´Â ½Ã½ºÅÛ Áï, PC ó·³ ¿ÜºÎ¿¡ ¿ÏÀüÈ÷ °ø°³µÇ¾î ÀÖ´Â °æ¿ì.

¿¹: MS/DOS, Macintosh, Atari Amiga
C1 Level: Discretionary Security Protection

»ç¿ëÀÚ °£¿¡ ¼­·Î ħ¹üÇÒ ¼ö ¾ø°Ô µÇ¾î ÀÖ´Ù.

rwx ÀÇ permission Á¶Á¤°ú owner, group, other µîÀ» ÀÌ¿ëÇÏ¿© ÀÚ½ÅÀÇ Á¤º¸¸¦ º¸È£ ÇÒ ¼ö ÀÖ´Ù.

µ¥ÀÌÅÍ´Â ¸ðµÎ »ç¿ëÀÚ ´ÜÀ§·Î Á¢±ÙÀÇ Çã°¡¸¦ ÁÙ ¼ö À־ ¾î¶² »ç¿ëÀڴ ƯÁ¤ÇÑ Á¤º¸¿¡ ´ëÇÏ¿© »ç¿ëÇÒ ¼ö ÀÖ´Â ±ÇÇÑÀÌ ÀÖ´Ù. ±×¸® °­·ÂÇÑ º¸¾ÈÀº ¾Æ´Ï°í ´Ù¸¥ »ç¿ëÀÚ°¡ ´Ù¸¥ »ç¶÷ÀÇ ÆÄÀÏÀ» ¸¶À½´ë·Î ÇÒ ¼ö ¾ø´Ù´Â Á¤µµÀÌ´Ù. º¸ÅëÀÇ UNIX ½Ã½ºÅÛÀÇ ´ëºÎºÐÀÌ ÀÌ¿¡ ¼ÓÇÑ´Ù.

C2 Level: Controlled Access Protection

C1 levelº¸´Ù´Â Á¶±Ý ´õ ¾ö°ÝÇØÁø Á¤µµ¿¡ ºÒ°úÇÏÁö¸¸ C2 level¿¡ À̸£·¯ ºñ·Î¼Ò º¸¾È»ó ÇãÁ¡À» ´ëÆø ÁÙ¿´´Ù°í ÇÒ ¼ö ÀÖ´Ù. C1 ÀÇ ±âÁØÀ» ÃæÁ·½ÃÅ°¸ç, »ç¿ëÀÚ °¢°¢ÀÇ ÇൿÀ» °Ë»çÇÒ ¼ö ÀÖ´Â audit , log ±â´É µîÀÌ ´õ Ãß°¡µÇ¾úÀ¸¸ç, Ư¡ÀûÀ¸·Î passwd ÀÇ µÎ ¹ø° Çʵ带 ´Ù¸¥ ÆÄÀÏ¿¡ ÀúÀåÇÏ¿© °ü¸®ÀÚ ¿Ü¿¡´Â º¼ ¼ö ¾øµµ·Ï Çصξú´Ù.¿äÁòÀÇ ´ëºÎºÐÀÇ UNIX ½Ã½ºÅÛ°ú VMS(DEC) ³ª AOS/VS(Data General), VM/SP,NOS µîÀÌ ÀÌ¿¡ ¼ÓÇÑ´Ù.
B1 Level: Labeled Security Protection

C2 levelÀÇ ±âÁØÀ» ÃæÁ·½ÃŲ´Ù. °¢°¢ µ¥ÀÌÅÍ¿¡ º¸¾È levelÀ» ¼³Á¤ÇÏ¿©, ³·Àº º¸¾È levelÀ» Áö´Ñ »ç¿ëÀÚ´Â °í levelÀÇ Á¤º¸¿¡ Á¢±ÙÀÌ ±ÝÁöµÇµµ·Ï µÇ¾îÀÖ´Ù.±â¹Ð µî±Þº°·Î Mandatory Access Control À» ÇÒ ¼ö ÀÖµµ·Ï Çß´Ù.System V/MLS µîÀÌ ÀÌ¿¡ ¼ÓÇÑ´Ù.

B2 Level: Structured Protection

B1 ÀÇ ±âÁØÀ» ÃæÁ·½ÃÅ°¸ç °¢ ·¹º§ÀÇ Æ¯±Ç »ç¿ëÀÚ´Â ÀÚ½ÅÀÇ ÀÛ¾÷¿¡ ´ëÇÑ ÃÖ¼ÒÇÑÀÇ ±ÇÇѸ¸À» ºÎ¿© ¹Þµµ·Ï ÇØ µÎ¾ú´Ù.º¸¾È Á¤Ã¥À» ½Ã½ºÅÛ ³»¿¡ ÀÏÁ¤ÇÏ°Ô À¯ÁöÇÏ°í ÀÖ¾î¾ß ÇÑ´Ù.µ¥ÀÌÅ͸¦ access Çϴµ¥ ÇÊ¿äµÇ´Â Á¢±Ù¹æ¹ýÀ¸·Î ü°èÈ­µÈ º¸È£½Ã½ºÅÛÀÌ ±¸ÃàµÇ¾î¾ß ÇÑ´Ù.

¿¹: Multics, Trusted XENIX

B3 Level: Security Domain

B2 ÀÇ ±âÁØÀ» ÃæÁ·½ÃÅ°¸ç Ãß°¡ÀûÀ¸·Î H/W ÀÚ¿øÀ» Æ÷ÇÔÇÑ º¸¾È °ü¸®ÀÚ ±â´É ¹× À§Çè½Ã ½º½º·Î Ž»öÀ» Çϸç, ÃÖ¾ÇÀÇ °æ¿ì ½º½º·Î ½Ã½ºÅÛÀ» Á¤Áö½ÃÅ°´Â ±â´É±îÁö Æ÷ÇԵǾî ÀÖ´Ù.¿î¿µÃ¼Á¦ ³»ºÎ¿¡ º¸¾È°ú °ü·ÃµÈ code¿Í °ü·ÃÀÌ ¾ø´Â °ÍÀº ¸ðµÎ Á¦°ÅµÇ¾î¾ß ÇÑ´Ù. ¶ÇÇÑ ¸ðµâÀ» ÀÛ°Ô ÇÏ¿© ºÐ¼®À» ½±°Ô ÇØ¾ß ÇÑ´Ù.Áï º¸¾È ºÐ¼®°ú Å×½ºÆ®°¡ ÀÌ·ç¾î Áú ¼ö ÀÖ¾î¾ß ÇÑ´Ù.
A1 Level: Verified Design

¼öÇÐÀûÀ¸·Î secure ÇÏ´Ù´Â °ÍÀÌ Áõ¸íµÈ ½Ã½ºÅÛÀ¸·Î¼­ ÇöÁ¸ÇÏÁö ¾Ê´Â´Ù.

========================[Âü°í: TCSEC ]===================================

3¹ø° field: User ID Number °¡ ±â·ÏµÇ´Â ÇʵåÀÌ´Ù.

4¹ø° field: Group ID Number °¡ ±â·ÏµÇ´Â ÇʵåÀÌ´Ù.

5¹ø° field: GECOS Çʵå¶ó°íµµ Çϴµ¥, »ç¿ëÀÚÀÇ Real-Name À̳ª, ÀüÈ­¹øÈ£ µîÀÇ User Information ÀÌ ÀúÀåµÇ´Â ÇʵåÀÌ´Ù.

6¹ø° field: User ÀÇ home directory À§Ä¡¸¦ Àý´ë°æ·Î·Î ±â·ÏÇÏ´Â ÇʵåÀÌ´Ù.

7¹ø° field: User °¡ »ç¿ëÇÏ´Â shell ÀÇ À§Ä¡¸¦ Àý´ë°æ·Î·Î Ç¥½ÃÇÑ ÇʵåÀÌ´Ù.

¿äÁòÀÇ OS µéÀº º¸Åë C2 Level ÀÌÁö¸¸ ¾ÆÁ÷µµ ¾Æ·¡¿Í °°ÀÌ encrypted µÈ password°¡ /etc/passwd ¿¡ ³ëÃâÀÌ µÇ¾î ÀÖ´Â C1 ½Ã½ºÅÛÀÇ °æ¿ì¿¡´Â C2 ·¹º§·Î ¾÷±×·¹À̵åÇÒ °ÍÀ» °­·ÂÈ÷ ±ÇÇÑ´Ù.

sakai:JpCRcHUZgpvGs:501:100:Sakai Kim:/home/sakai:/bin/tcsh

ÀÌ·¸°Ô encrypt µÈ password Çʵ带 Crack µîÀÇ ÇÁ·Î±×·¥¿¡ ÀÔ·ÂÇÏ¸é °£´ÜÇÏ°í ´Ü¼øÇÑ passwordÀÎ °æ¿ì password°¡ ¹«¾ùÀÎÁö¸¦ ¾Ë¾Æ ³¾ ¼ö ÀÖ°Ô µÈ´Ù.½Ã½ºÅÛ ³»ºÎ¿¡ ħÀÔÇÑ ÇØÄ¿°¡ ÀÌ·± ½ÄÀ¸·Î ´Ù¸¥ »ç¿ëÀÚÀÇ password¸¦ ¾Ë¾Æ³½ µÚ ´Ù¸¥ »ç¿ëÀÚÀÇ account ¸¦ µµ¿ëÇÒ ¼ö ÀÖ°Ô µÇ¹Ç·Î C2 ·¹º§À» À¯ÁöÇÏ´Â °ÍÀÌ ¿ä±¸µÈ´Ù.

C2 ·¹º§·Î ¾÷±×·¹À̵带 ÇØÁÖ´Â tool ·Î C2conv °¡ ÀÖ´Ù.single »ç¿ëÀÚ »óÅ¿¡¼­ ÀÌ ÇÁ·Î±×·¥À» ½ÇÇà½ÃÅ°¸é C2 Level ·Î ¾÷±×·¹ÀÌµå ½ÃÄÑÁØ´Ù. ±×¸®°í C2 convert ½Ã ¹®Á¦°¡ »ý±â¸é C2unconv ¸¦ ÀÌ¿ëÇÏ¿© ´Ù½Ã º¹±Í½Ãų ¼ö µµ ÀÖ´Ù.

C2conv ÀÌ¿Ü¿¡µµ Linux ¿ëÀÇ shadow ÆÐÅ°Áö °°Àº °Íµµ C2 ·¹º§·Î ¾÷±×·¹ÀÌµå ½ÃÄÑÁÖ´Â ÅøÀÇ ÁÁÀº ¿¹°¡ µÉ °ÍÀÌ´Ù.

2.1 password°¡ ³ëÃâµÇÁö ¾Êµµ·Ï ÇÑ´Ù.

ÇØÄ¿°¡ remote »ó¿¡¼­ ħÀÔÇϱâ À§Çؼ­´Â targethost ÀÇ username °ú password °¡ ÇÊ¿äÇÒ °ÍÀÌ´Ù. ±×·¡¼­ ÇØÄ¿´Â À̸¦ ¾î¶»°Ôµç ¾Ë¾Æ³»·Á ¾Ö¸¦ ¾²´Âµ¥, ´Ü¼øÈ÷ guessing À» ÀÌ¿ëÇÏ´Â Àú¼öÁØ ¹æ¹ýµµ ÀÖÀ» ¼ö ÀÖ°ÚÁö¸¸, ´ëºÎºÐÀÇ ÇØÄ¿´Â À̸¦ ¾ò±â À§ÇØ Sniffing À» ½ÃµµÇÑ´Ù.

´ÙÀ½Àº sakai.kaist.ac.kr ¶õ È£½ºÆ®¿¡¼­ sniffing À» ÇÏ´Â ¿¹ÀÌ´Ù.

sakai# ./sniffit
Log started at => Mon Apr 8 20:29:04 [pid 10937]
¡¡
-- TCP/IP LOG -- TM: Mon Apr 8 20:29:44 --
PATH: sakai.kaist.ac.kr(1270) => cenda.kaist.ac.kr(telnet)
STAT: Mon Apr 8 20:29:48, 30 pkts, 77 bytes [TH_FIN]
DATA: (255)(253)^C(255)(251)^X(255)(251)^_(255)(251)
(255)(251)!(255)(251)"(255
)(253)^E(255)(251)#(255)(251)$(255)(250)^X
: IRIS-ANSI-NET(255)(240)(255)(253)^A(255)(252)^Aaragorn
: evenstar
: cls
: du -s -k *
: elm arwen
--

À§ÀÇ ¿¹¸¦ º¸¸é ¾Ë°ÚÁö¸¸ sakai.kaist.ac.kr ¿¡¼­ cenda.kaist.ac.kr ·Î aragorn À̶õ »ç¿ëÀÚ°¡ evenstar ¶ó´Â password¸¦ »ç¿ëÇÑ´Ù´Â °ÍÀ» ¾Ë¾Æ ³¾ ¼ö ÀÖ´Ù.±âº»ÀûÀ¸·Î TCP °ü·Ã ÆÐŶµéÀº encrypt µÇÁö ¾ÊÀ¸¹Ç·Î root password°¡ ³ëÃâÀÌ µÈ´Ù¸é Á¤¸» Å«ÀÏÀ̶ó°í ÇÒ ¼ö ÀÖ´Ù.À̸¦ ¸·±â À§Çؼ­ °ü¸®ÀÚ´Â »ç¿ëÀڵ鿡°Ô password°¡ ³ëÃâµÇÁö ¾Êµµ·Ï ÁÖÀÇÇØ ÁÙ °ÍÀ» ÁÖÁö½ÃÄÑ¾ß Çϴµ¥ , ÁÖÁö½Ãų ³»¿ëÀº ´ÙÀ½°ú °°´Ù.

ÀÌ ¿¹´Â °¡»óÀÇ ¾î¶°ÇÑ È£½ºÆ®ÀÇ °ü¸®ÀÚ°¡ »ç¿ëÀڵ鿡°Ô ÁÖÁö½ÃÅ°±â À§ÇØ ÀÛ¼ºÇÑ ¹®¼­ÀÌ´Ù. ÀÌ ¹®¼­¸¦ º¸¸é °ü¸®ÀÚ°¡ ¾î¶°ÇÑ ¸éÀ» ½Å°æ ½á¾ß ÇÏ´ÂÁö¸¦ ½±°Ô ¾Ë ¼ö ÀÖÀ» °ÍÀÌ´Ù.

=====================================================================
sakai.kaist.ac.kr À» »ç¿ëÇϽô »ç¿ëÀÚ ¿©·¯ºÐµé²².
¡¡
»ç¿ëÀÚ ¿©·¯ºÐ, ÇöÀç sakai.kaist.ac.kr Àº ¸®Æ÷Æ® µÈ ¹ö±×µéÀº ¸ðµÎ ÆÐÄ¡
¸¦ ÇÏ¿´À¸³ª, ¿©·¯ºÐµéÀÇ password°¡ ³ëÃâÀÌ µÇ´Â °æ¿ì ¿©·¯ºÐµéÀÇ ¼ÒÁßÇÑ
ÀÚ·áµéÀÌ ´©ÃâµÇ°Å³ª ÀÒ¾î¹ö¸± ¿ì·Á°¡ ÀÖÀ¸´Ï ´ÙÀ½ »çÇ×µéÀ» ÁÖÁöÇØ Áֽðí
ÁöÄÑÁÖ½Ã¸é °¨»çÇÏ°Ú½À´Ï´Ù.
¡¡
passwordÀÇ ´©ÃâÀÌ µÇÁö ¾Ê±â À§ÇØ ´ÙÀ½ »çÇ×µéÀ» ÁöÄÑÁֽʽÿÀ.
¡¡
1. ÇöÀç ½Ã½ºÅÛ ¾È¿¡ ssh ÀÌ ¼³Ä¡µÇ¾î ÀÖ½À´Ï´Ù. ssh ¸¦ ÀÌ¿ëÇÏ¿© ¿ÜºÎÀÇ
È£½ºÆ®·ÎºÎÅÍ Á¢¼ÓÀ» ÇÏ°Ô µÇ¸é ¾ÈÀüÇÏ°Ô µË´Ï´Ù.
»ç¿ë¹ýÀº % ssh sakai.kaist.ac.kr -l username ÀÔ´Ï´Ù.
¡¡
2. password¸¦ ÁÖ±âÀûÀ¸·Î ¹Ù²Ù¾î ÁֽʽÿÀ. ÇöÀç password aging À» ÇÏ°í
ÀÖÁö¸¸, ÀÚ½ÅÀÇ ID °¡ µµ¿ë ´çÇÑ °Í °°Àº °æ¿ì¿¡´Â root@sakai.kaist.ac.kr
·Î e-mail À» º¸³»Áֽðí, password ¸¦ Áï½Ã ¹Ù²Ù¾î ÁֽʽÿÀ.
¡¡
3. guessing Çϱâ Èûµç password¸¦ »ç¿ëÇØ ÁֽʽÿÀ. ÁÁÀº password´Â Ư¼ö
¹®ÀÚ³ª white space ¸¦ Æ÷ÇÔÇÏ°í ,»çÀü¿¡ ¾ø´Â ´Ü¾îµé, ÀÚ½ÅÀÇ ID ¿Í ¹«°ü
ÇÑ ´Ü¾îÀÔ´Ï´Ù.
¿¹: " ±îÀÌ~!@"
¡¡
4. X windows ȯ°æ¿¡¼­ login À» ÇÏ½Ç ¶§¿¡´Â hanterm À̳ª xterm ¿¡ Æ÷ÇÔ
µÇ¾î ÀÕ´Â secure keyboard »ç¿ëÇØ ÁֽʽÿÀ. Ctrl Å°¸¦ ´©¸£°í µ¿½Ã¿¡ ¸¶
¿ì½ºÀÇ ¿ÞÂÊ ¹öÆ°À» ´©¸£¸é secure keyboard menu ¸¦ popup window ¿¡¼­ ¼±
ÅÃÇÏ½Ç ¼ö ÀÖ½À´Ï´Ù.
¡¡
5. ÇöÀç ½Ã½ºÅÛ ¾È¿¡ pgp °¡ ¼³Ä¡µÇ¾î ÀÖÀ¸´Ï Áß¿ä¹®¼­´Â passwordÈ­ÇÏ¿© º¸°ü
ÇØ Áֽñ⠹ٶø´Ï´Ù.
¡¡
6. ·Î±ä½Ã¸¶´Ù last ¸í·ÉÀ» ÀÌ¿ëÇϸé ħÀÔ´çÇß´ÂÁö¸¦ ¾Ë ¼ö ÀÖ½À´Ï´Ù.
¡¡
% last -3 sakai
sakai pts/12 eve.kaist.ac.kr Fri Nov 8 12:51 °è¼Ó ·Î±×ÀÎ Áß
sakai pts/0 cspc15.kaist.ac. Fri Nov 8 12:25 °è¼Ó ·Î±×ÀÎ Áß
sakai pts/0 cspc15.kaist.ac. Fri Nov 8 12:00 - 12:23 (00:22)
¡¡
¹ø°Å·Î¿ì½Ã´õ¶óµµ ÁؼöÇØ ÁÖ½Ã¸é °¨»çÇÏ°Ú½À´Ï´Ù.
¡¡
½Ã½ºÅÛ °ü¸®ÀÚ ±èÈÖ°­ ¹é
======================================================================

ƯÈ÷ ÃÖ±Ù °ü¸®ÀÇ ÆíÀǸ¦ À§ÇØ sudo ¸¦ ÀÌ¿ëÇÏ¿© root privilege ¸¦ ÀÏ¹Ý »ç¿ëÀÚµéÀ̳ª staff ±×·ì, wheel ±×·ìµé°ú °øÀ¯ÇÏ´Â °æ¿ì°¡ ¸¹´Ù.

¿¹:

% id

uid=103(sakai) gid=101(wheel)

% sudo /sbin/shutdown -y NOW

Password:

(¿©±â¿¡¼­ root password¸¦ ÀÔ·ÂÄ¡ ¾Ê°í sakai ¶õ »ç¿ëÀÚÀÇ password¸¦ ÀÔ·ÂÇÑ´Ù.)

ÇÏÁö¸¸ ¿øÄ¢ÀûÀ¸·Î ÀÌ´Â À§ÇèÇÑ ÀÏÀÓÀ» ¾Ë¾Æ¾ß ÇÑ´Ù.±×·ì¿¡ µî·ÏµÈ »ç¿ëÀÚµéÀÇ password ¸¸ ´©ÃâÀÌ µÇ¾îµµ, root ÀÇ password °¡ ´©ÃâµÇ´Â °Í°ú ¸¶Âù°¡ÁöÀÇ ÆıÞÈ¿°ú°¡ ÀϾ±â ¶§¹®ÀÌ´Ù.¹Ýµå½Ã sudo ¸¦ ½á¾ß¸¸ ÇÏ´Â °æ¿ì¶ó¸é /etc/sudoers µîÀÇ ÆÄÀϵéÀÌ root ¸¸ read Æ۹̼ÇÀ» °®µµ·Ï Á¶Á¤ÇØ ÁÖ´Â °ÍÀÌ ÁÁ´Ù.su ¸í·É¾î¸¦ ÀÌ¿ëÇÏ¿© ÁÖ´Â °ÍÀÌ sudo º¸´Ù´Â ´õ ¾ÈÀüÇÏ´Ù.

¿¹:


% su root -c "/sbin/shutdown -y NOW"


Password:

Âü°í·Î SCO UNIX ¿¡¼­´Â sudo ¿Í ºñ½ÁÇÑ ¸í·É¾î·Î asroot (·çÆ®Àξç...) ¶ó´Â ¸í·É¾î°¡ ÀÖ´Ù. (/tcb/bin/asroot) Àâ´ãÀÌÁö¸¸ SCO UNIX ´Â ±¹³»¿¡¼­ ±×´ÙÁö ¸¹Àº Á¡À¯À²À» º¸ÀÌ´Â OS ´Â ¾Æ´ÏÁö¸¸, ½Ã½ºÅÛ °ü¸® °ü·Ã ÅøÀÇ GUI °¡ Ÿ OS ¿¡ ºñÇØ »ó´çÈ÷ ¶Ù¾î³ª¼­ °íÁ¤ ÆÒµéÀÇ Áö¼ÓÀûÀÎ »ç¶ûÀ» ¹Þ°í ÀÖ´Ù.

ÀÌ·± °Íµé°ú ¸¶Âù°¡Áö·Î ¿äÁòÀº °¢ OS ¸¶´Ù GUI °¡ ¶Ù¾î³­ Integrated System Administration tool µéÀ» Á¦°øÇÏ°í ÀÖ´Â Ãß¼¼ÀÌ´Ù. (Solaris ÀÇ admintool, HP-UX ÀÇ sam , AIX ÀÇ SMIT, VSM , Digital UNIX ÀÇ setup, IRIX ÀÇ Cadmin series , SCO UNIX ÀÇ sysadmsh , scoadmin µîµî)

2.2 Password Aging

À§¿¡¼­ ¿¹·Î µéÀº °¡»óÀûÀÎ ¹®¼­¿¡µµ ÀûÇô ÀÖÁö¸¸ ¾Æ¹«¸® »ç¿ëÀڵ鿡°Ô password¸¦ ÁÖ±âÀûÀ¸·Î ¹Ù²Ù¾î ´Þ¶ó°í ÁÖÁö¸¦ ½ÃÄѵµ, °ÔÀ¸¸£°í *¹«ÁöÇÑ* »ç¿ëÀÚµéÀº °è¼Ó ÃßÃøÇϱ⠽¬¿î password¸¦ »ç¿ëÇϸç, ¶ÇÇÑ password¸¦ ¹Ù²ÙÁö ¾Ê°Ô ¸¶·ÃÀÌ´Ù. ÀÌ·± °ÍÀ» °­Á¦ÀûÀ¸·Î ½ÃÅ°±â À§ÇØ Password Aging (password °»½Å) ¸¦ ¼öÇàÇÒ ÇÊ¿ä°¡ ÀÖ´Ù.

¡¡Passwd aging

¡¡password aging ±â´ÉÀº System V ¿¡¼­ óÀ½À¸·Î ±¸ÇöÀÌ µÈ ±â´ÉÀ¸·Î, ÀÏÁ¤ÇÑ ½Ã°£ÀÌ È帥 ÈÄ¿¡´Â password ¸¦ ·Î±ä ½Ã¿¡ ÀÚµ¿À¸·Î ¹Ù²Ùµµ·Ï ÇØÁÖ´Â °ÍÀ» ¸»ÇÑ´Ù. password aging À» ÁöÁ¤ÇØ ÁÖ±â À§ÇØ shadow facility ¿¡¼­´Â /etc/shadow ÆÄÀÏ¿¡ Á÷Á¢ ±â·ÏÇØ Áְųª, /bin/passwd ¸í·ÉÀ» ÀÌ¿ëÇϰųª, Administration tool À» ÀÌ¿ëÇÏ¿©¾ß ÇÑ´Ù. /etc/shadow ÆÄÀÏÀ» »ç¿ëÇÏ´Â OS µé¿¡´Â Solaris 2.x , IRIX µîÀÌ ÀÖ´Ù.

HP-UX ÀÇ °æ¿ì 9.x ¿¡¼­´Â ¼ÕÀ¸·Î ±â·ÏÇØ ÁÖ¾î¾ß ÇÏÁö¸¸ 10.x ÀÎ °æ¿ì ¾ÆÁÖ °­·ÂÇÑ Administration tool ÀÎ SAM À» ÅëÇÏ¿© °£´ÜÇÏ°Ô ÁöÁ¤À» ÇØ ÁÙ ¼ö ÀÖ°í, Solaris ÀÇ °æ¿ì /etc/shadow ¸¦ Á÷Á¢ ÆíÁýÇϰųª admintool À» ÀÌ¿ëÇÏ¿© ÁöÁ¤ÇØ ÁÖ¸é µÈ´Ù.

¹°·Ð °øÅëÀûÀ¸·Î /bin/passwd ¸¦ »ç¿ëÇϸé ÁöÁ¤À» ÇÒ ¼ö ÀÖ´Ù.

¡¡¸ÕÀú /etc/shadow ÆÄÀÏÀÇ °¢ Çʵ带 »ìÆ캸ÀÚ.

ID:encrypted password:lastchange:minday:maxday:warnday:inactiveday:expiredate

1¹ø° field: User Name ÀÌ ±â·ÏµÇ´Â ÇʵåÀÌ´Ù.

2¹ø° field: »ç¿ëÀÚ°¡ ÀÔ·ÂÇÑ password °¡ passwordÈ­ µÇ¾î ÀúÀåµÇ´Â ÇʵåÀÌ´Ù.

3¹ø° field: password ¸¦ ¸¶Áö¸·À¸·Î ¹Ù²Û ³¯Â¥°¡ ±â·ÏÀÌ µÇ´Â ÇʵåÀÌ´Ù.

4¹ø° field: Çѹø password ¸¦ ¹Ù²Ù¾úÀ» ¶§ ¹Ù²ï password¸¦ Àû¿ë½ÃÄÑ¾ß ÇÏ´Â ÃÖ¼ÒÀϼö¸¦ ¸»ÇÑ´Ù.

Áï Çѹø password¸¦ ¹Ù²Ù¸é ÀÌ Àϼö µ¿¾ÈÀº password¸¦ ´Ù½Ã ¹Ù²Ü ¼ö ¾ø°Ô µÈ´Ù.

5¹ø° field: »ç¿ëÀÚ°¡ Çѹø password ¸¦ ¹Ù²Ù¾úÀ» ¶§ ¹Ù²ï password¸¦ »ç¿ëÇÒ ¼ö ÀÖ´Â ÃÖ´ëÇÑÀÇ Àϼö¸¦ ±â·ÏÇÏ´Â ÇʵåÀÌ´Ù.

6¹ø° field: password ¸¦ ¹Ù²Ùµµ·Ï warning ¸Þ½ÃÁö¸¦ º¸³»´Â Àϼö¸¦ ±â·ÏÇÑ ÇʵåÀÌ´Ù.(Áï password À¯È¿ ¸¸±â°¡ ´Ù Â÷±â ÁöÁ¤µÈ ³¯¼ö ÀüºÎÅÍ ¸Þ½ÃÁö¸¦ º¸³»¾î password¸¦ ¹Ù²Ù±â¸¦ ±Ç°íÇÑ´Ù.)

7¹ø° field: password °¡ expire µÈÁö ¸çÄ¥ ÈÄ¿¡ access ¸¦ disable ½Ãų °ÍÀÎÁö¸¦ ±â·ÏÇÏ´Â ÇʵåÀÌ´Ù.

8¹ø° field: ÀÌ account °¡ »ç¿ë ÁßÁöµÇ´Â ³¯Â¥¸¦ ±â·ÏÇÏ´Â Çʵå

ÀÌÁ¦ ½ÇÁ¦·Î /bin/passwd ¸¦ ÀÌ¿ëÇÏ¿© aging À» ½ÃÅ°´Â °ÍÀ» »ìÆ캸ÀÚ.

(Administration tool À» »ç¿ëÇÏ´Â °æ¿ì´Â °¢ Çʵ忡 ¼ýÀÚ¸¸ ±â·ÏÇÏ¸é µÇ¹Ç·Î »ý·«ÇÏ°Ú´Ù.)

-n : minimum day

-x : maximum day

-f : ´ÙÀ½ ·Î±ä½Ã¿¡ ¹«Á¶°Ç password¸¦ »ç¿ëÀÚ°¡ ¹Ù²Ùµµ·Ï ÇÑ´Ù.

-s : password aging status ¸¦ º¸¿©ÁØ´Ù.

-a : ¸ðµç »ç¿ëÀÚÀÇ password aging status ¸¦ º¸¿©ÁØ´Ù.

-l : »ç¿ëÀÚ°¡ ·Î±ä ÇÏÁö ¸øÇϵµ·Ï password¸¦ lock Çسõ´Â´Ù.

-u : lock À» °É¾î³õÀº »ç¿ëÀÚÀÇ password¸¦ unlock ½ÃŲ´Ù.

-d : »ç¿ëÀÚÀÇ password ¸¦ »èÁ¦ÇÑ´Ù.

¿¹:


# passwd -n 1 -x 158 sakai


(password¸¦ ¹Ù²Ù°í ¹Ù²Û password¸¦ 158 ÀÏ µ¿¾È »ç¿ëÇÒ ¼ö ÀÖ´Ù.)


# passwd -x 3 -n 30 username


# passwd -w 3 username


(password ¸¦ ÃÖ¼Ò 3ÀÏ¿¡¼­ ÃÖ´ë 30 ÀÏ ±îÁö »ç¿ëÇÒ ¼ö ÀÖ°í, password ¸¦ ¹Ù²Ùµµ·Ï ¸¸ 3ÀÏÀüºÎÅÍ °æ°í¸¦ º¸³»°Ô µÈ´Ù.)

BSD °è¿­ UNIX ¸¦ »ç¿ëÇÏ´Â °æ¿ì¿¡´Â À§¿¡ ¿­°ÅÇÑ ¿É¼Çµé°ú ¸Å¿ì ´Ù¸£´Ù. ±× ÀÌÀ¯´Â ÃÊâ±â BSD °è¿­ UNIX ¿¡¼­´Â shadow facility ¸¦ °í·ÁÇÏÁö ¾Ê¾Ò±â ¶§¹®ÀÌ´Ù. ¶Ç °ü·ÃµÈ ¸í·É¾î·Î, AIX ÀÇ °æ¿ì pwdadm (password Administration ÀÇ ¾àÀÚ)ÀÌ ÀÖ´Ù. AIX 4.1 ÀÇ °æ¿ì /etc/security/user ÆÄÀÏÀ» µ¥ÀÌÅͺ£À̽º·Î »ç¿ëÇÏ°í, AIX 3.2.5 ÀÇ °æ¿ì /etc/security/login.cfg µîÀÇ ÆÄÀÏ¿¡ °ü·ÃµÈ ³»¿ëÀ» ÀúÀåÇÑ´Ù.

2.3 ÁÁÀº password¸¦ »ç¿ëÇÏÀÚ.

ÁÁÀº password¶õ ŸÀÎÀÌ ¾Ë¾Æ³»±â Èûµç password¸¦ ¸»ÇÑ´Ù. ¿äÁòÀÇ OS ¿¡¼­ Á¦°øµÇ´Â /bin/passwd ´Â password ¸¦ ¹Ù²Ü ¶§¿¡ ÁÁÀº password ¸¦ ¼±ÅÃÇϵµ·Ï ¾ö°ÝÈ÷ °ü¸®ÇÏ°í ÀÖ´Ù. Áï, Ư¼ö¹®ÀÚ°¡ ¹Ýµå½Ã Æ÷ÇԵǾî¾ß ÇÏ°í, ¼Ò´ë¹®ÀÚ¸¦ ¼¯¾î ½á¾ß ÇÏ´Â °Í µîÀ» ±ÔÄ¢À¸·Î Á¤ÇØ ÃßÃøÀÌ ¾î·Æµµ·Ï °ü¸®¸¦ ÇØÁØ´Ù.

±×·¸´Ù¸é ¹Ý´ë·Î ³ª»Û password ¿¡´Â ¾î¶°ÇÑ °ÍµéÀÌ ÀÖÀ»±î? ´ÙÀ½°ú °°Àº °ÍµéÀÌ ÀÖ´Ù.

---------------------[BAD PASSWORD]---------------------------
* ID ¿Í °°Àº password
* »ç¿ëÇÏ´Â ½Ã½ºÅÛÀÇ À̸§
* ÄÄÇ»ÅÍÀÇ È£½ºÆ®ÀÇ À̸§
* ¿µ¾î»çÀü¿¡ ³ª¿À´Â ´Ü¾î (boss , world .... )
* ÀüÈ­¹øÈ£
* »ýÀÏ
* Å°º¸µå À§ÀÇ °°Àº ¼±»ó¿¡ ÀÖ´Â ±Û¼èµéÀÇ ¿¬¼Ó.(qwert,asdf .....)
* µ¿ÀÏÇÑ ±ÛÀÚÀÇ ¿¬¼Ó (11111, eeeee .... )
--------------------------------------------------------------

³ª»Û password¸¦ »ç¿ëÇÏ´Â °æ¿ì crack °ú °°Àº password guessing ÇÁ·Î±×·¥À» ÀÌ¿ëÇÏ¿© password ¸¦ ¾Ë¾Æ³¾ ¼ö ÀÖ°Ô µÇ°í, À̸¦ ¾Ç¿ëÇÒ ¿©Áöµµ »ý±â°Ô ¸¶·ÃÀÌ´Ù. À̸¦ ¸·±â À§ÇØ °ü¸®ÀÚ´Â ÁÁÀº password¸¦ »ç¿ëÇÒ °ÍÀ» »ç¿ëÀڵ鿡°Ô ÁÖÁö½ÃÅ°°í,ÁÖ±âÀûÀ¸·Î password¸¦ Á¡°ËÇÏ¿© ½¬¿î password¸¦ »ç¿ëÇÏ´Â »ç¿ëÀڵ鿡°Ô password ¸¦ ¹Ù²Ü °ÍÀ» ±Ç°íÇØÁà¾ß ÇÑ´Ù.

¿¹Àü¿¡´Â °ü¸®ÀÚ°¡ ÀÏÀÏÀÌ password ¸¦ guessing Çس»¾î ½¬¿î password ¸¦ »ç¿ëÇÏ´Â »ç¿ëÀÚ¸¦ ã±â À§ÇØ crack ,cops °°Àº ÅøÀ» µû·Î ¼³Ä¡ÇØ¾ß ÇßÁö¸¸, ¿äÁòÀÇ OS ¿¡´Â ±âº»ÀûÀ¸·Î password checking tool ÀÌ Æ÷ÇԵǾîÁ® ³ª¿À°í ÀÖ´Ù.

* /etc/security/user ¿¡ dictionlist°¡ ÀúÀåµÇ¾î Àִµ¥ , pwdchecks ¸í·ÉÀ» »ç¿ëÇÏ¿© »ç¿ëÀÚÀÇ password ¸¦ üũÇÑ´Ù.

goodpw facility ¸¦ ÀÌ¿ëÇÑ´Ù.

¡Ø /usr/bin/goodpw ¸¦ ÀÌ¿ëÇϱâ À§ÇØ /etc/default/passwd ÆÄÀÏ ¾È¿¡¡¡´ÙÀ½°ú °°Àº »çÇ×À» ÁöÁ¤ÇØ µÐ´Ù.

GOODPW = YES


DESCRIBE = /usr/lib/goodpw/describe


SUMMARY = /usr/lib/goodpw/summary


ONETRY = YES


CHECKDIR = /usr/lib/goodpw/checks
  • ±× ¿ÜÀÇ °æ¿ì

    • ÀڱⰡ °ü¸®ÇÏ´Â OS ¿¡ ÀÌ·¯ÇÑ facility °¡ Áö¿øµÇÁö ¾Ê´Â´Ù¸é passwd+ ³ª npasswd¸¦ »ç¿ëÇÏ¸é µÉ °ÍÀÌ´Ù.

    passwd+ ´Â /bin/passwd ÀÇ ¾àÁ¡À» º¸¿ÏÇÑ °ÍÀ¸·Î ÀÚüÀÇ decrypt ¾Ë°í¸®ÁòÀÌ À־ °£´ÜÇÑ password ¸¦ »ç¿ëÇÏ°í ÀÖ´Â »ç¿ëÀڵ鿡°Ô ÀÚµ¿À¸·Î ¸ÞÀÏÀ» º¸³»¾î ÁÖÀǸ¦ Áֱ⵵ ÇÏ°í password aging (ƯÁ¤±â°£ÀÌ Áö³ª¸é ¹Ù²Ùµµ·Ï ¸ÞÀÏÀ» º¸³»¾î üũ ÇØ ÁØ´Ù.) ±â´ÉÀÌ À־ »ç¿ëÀÚµéÀÇ ºñ¹Ð¹øÈ£ÀÇ °ü¸®¿¡ µµ¿òÀ» ÁØ´Ù.

    npasswd ´Â Åػ罺 Austin ´ëÇÐÀÇ Clyde Hoover ¿¡ ÀÇÇØ °³¹ßµÈ ÇÁ·Î±×·¥ÀÌ´Ù.À̰͵µ passwd+ °ú À¯»çÇÑ ±â´ÉÀ» °¡Áö°í ÀÖ´Ù.

    À̸¦ Á¤¸®ÇØ º¸¸é,

    1. ÃÖ¼ÒÇÑÀÇ password ÀÇ ±æÀ̸¦ Á¶Á¤ÇÒ ¼ö ÀÖ´Ù.

    2. »ç¿ëÀÚ·Î ÇÏ¿©±Ý ´ë¼Ò¹®ÀÚ, ¼ýÀÚ. ¸¶Ä§Ç¥ µîÀ» °­¿äÇÒ ¼ö ÀÖ´Ù.

    3. ´Ü¼øÇÑ password ¸¦ üũÇØ ³¾ ¼ö ÀÖ´Ù.

    4. È£½ºÆ® À̸§°ú È£½ºÆ® Á¤º¸¸¦ üũÇØ ³¾ ¼ö ÀÖ´Ù.

    5. ·Î±×ÀÎ À̸§°ú ¼º¸í µîÀ» üũÇÒ ¼ö ÀÖ´Ù.

    6. ½Ã½ºÅÛ »çÀüÀ» ºñ·ÔÇÏ¿© ¿©·¯ »çÀüÀÇ ´Ü¾î¸¦ ÀÌ¿ëÇÏ¿© üũ¸¦ ÇØ º¼ ¼ö ÀÖ´Ù.

    ÀÌ ÅøµéÀº °¢ ftp ¼­¹ö¿¡¼­ ½±°Ô ±¸ÇÒ ¼ö ÀÖ´Ù.

    location: ftp://ftp.cc.utexas.edu/pub/npasswd/

    location: ftp://ftp.dartmouth.edu/pub/security/

    ¶Ç´Â Crack À̳ª COPS ¸¦ ÀÌ¿ëÇØ º¸´Â °Íµµ ÁÁÀº ¹æ¹ýÀÌ µÉ °ÍÀÌ´Ù. Crack À̳ª Cops ´Â ´ÙÀ½ÀÇ ftp ¼­¹ö¿¡¼­ ½±°Ô ±¸ÇÒ ¼ö ÀÖ´Ù.

    Location: ftp://info.cert.org/pub/tools/cops/

    C Program ¹öÀüµµ ÀÖ°í Shell script, Perl script ¹öÀüÀÌ ¸ðµÎ Á¸ÀçÇÑ´Ù.

    Location: http://www.users.dircon.co.uk/~crypto/

    ftp://info.cert.org/pub/tools/crack/

    ftp://info.cert.org/pub/tools/cracklib/

    ÃÖ±Ù¿¡ ³ª¿Â Crack 5.0 Àº ¿¹ÀüÀÇ 4.x ¹öÀü¿¡ ºñÇØ password ÃßÃøÇÏ´Â ¼º´ÉÀÌ Çâ»óµÇ¾úÀ¸¸ç gecos ÇʵåÀÇ Ã¼Å©¸¦ º¸´Ù °­·ÂÇÏ°Ô ÇØÁØ´Ù. Âü°í·Î Crack °ú Cops ¿¡ ´ëÇØ »ìÆ캸°Ú´Ù. ³ªÁß¿¡ Security °ü·Ã stuff µé¿¡ ´ëÇØ Á¤¸®ÇÒ ¶§ ´õ¿í ÀÚ¼¼È÷ ´Ù·ç°Ô µÉ °ÍÀÌ´Ù.

    =========================[Crack & Cops briefing]==============================
    Cops °¡ °Ë»çÇÏ´Â ºÎºÐ
    ¡¡
    ( ÁÖ¾îÁø »ç¿ëÀÚ¸¦ üũÇÏ´Â expert ½Ã½ºÅÛ ±â´É)
     
    ¡¡
    Crack
    ¡¡
% Crack
Crack 4.1f RELEASE, The Password Cracker (c) Alec D.E. Muffett, 1992
Invoked as: Crack
Usage: Crack [options] [bindir] passwdfile [...]
Or: Crack -network [options] passwdfile [...]
Options:-
-v - to produce verbose output
-nnicevalue - to run niced to 'nicevalue'
-rpointfile - to recover a crashed-out job
-Rpointfile - to recover (with verify) a crashed-out job
-f - to run in foreground (output to stdout)
-m - to mail the user a warning message if cracked
¡¡
# Crack /etc/shadow
¡¡
À§ÀÇ ¸í·ÉÀ» µ¹¸®¸é , Crack ÀÌ ÇÁ·Î¼¼½º·Î µÇ¾î ¼öÇàµÇ°Ô µÇ¸ç ¾ó¸¶ ÈÄ
out.$HOSTNAME$$ ¶ó´Â À̸§ÀÇ È­ÀÏ·Î ÀúÀåÀÌ µÇ°Ô µÈ´Ù.
¡¡
Ãâ·Â ÆÄÀÏ¿¡¼­ ¾òÀ» ¼ö ÀÖ´Â °á°ú
¡¡
-----------------------------------------------------------------------
join: Guessed yddd (/bin/csh in passwd) [harmony] Lr95Q
join: Guessed skan (/bin/csh in passwd) [JinSeok] Psyjvi0Oa
join: Guessed gni (/bin/csh in passwd) [genius.] ZkUag
-----------------------------------------------------------------------
¡¡
À§ÀÇ ¿¹¿¡¼­ º¸µíÀÌ, ½±°Ô ÃßÃøÇÒ ¼ö ¾øÀ» °Í °°Àº passwordµµ ¾Ë¾Æ³»´Â
°á°ú¸¦ º¼ ¼ö ÀÖ´Ù.
´Ü¼øÈ÷ ¿µ¾î·Î µÈ ´Ü¾î¸¸ÀÌ ¾Æ´Ï¶ó ÇÑ±Û ´Ü¾î¸¦ 2 ¹ú½Ä ¿µ¾î´Ü¾î·Î ¿Å±ä
»çÀüÀ» ÀÌ¿ëÇÏ¿© crack database ¸¦ ±¸ÃàÇÑ °æ¿ìµµ ÀÖ¾î, ´Ü¼øÈ÷ ÇѱÛÀ»
¿µ¾î·Î ¿Å°Ü¼­ Ä¡´Â °æ¿ìµµ ÁÁÀº password¶ó°í ¸¸Àº º¼ ¼ö ¾ø´Ù.
¡¡
=========================[Crack & Cops briefing]==============================

    2.4 /etc/passwd ÆÄÀÏ °ü¸®

    ¿ì¼± /etc/passwd ÆÄÀÏÀ» ÅëÇÏ¿© , NULL passwordÀÎ »ç¿ëÀÚµéÀ» üũ ÇØ º¸´Â °ÍÀÌ Áß¿äÇÏ´Ù. password ¸¦ »ç¿ëÇÏÁö ¾Ê´Â °æ¿ì ħÀÔÀ» ´çÇϱ⠽¬¿ö¼­ ¹®Á¦¸¦ ¹ß»ý½Ãų ¼ö Àֱ⠶§¹®ÀÌ´Ù. ÀÏÀÏÀÌ È®ÀÎÇÏ´Â ¹æ¹ýµµ ÀÖÁö¸¸ ´ÙÀ½°ú °°Àº awk ¸í·ÉÀ» ÀÌ¿ëÇÏ¸é ½±´Ù.

    % awk -F: 'length($2) find_idler.sh
    

    #!/bin/sh
    

    # À̹ø ´Þ¿¡ ·Î±×ÀÎ ¾ÈÇÑ »ç¶÷ ã¾Æ³»±â
    

    #
    

    THIS_MONTH='date |awk '{print $2}''
    

    last |grep $THIS_MONTH |awk '{print $1}' |sort -u > /tmp/users1$$
    

    cat /etc/passwd |awk -F : '{print $1}' |sort -u > /tmp/users2$$
    

    comm -13 /tmp/users[12]$$
    

    /bin/rm -f /tmp/users[12]$$
    

    ^D
    

    ¡¡
    

    % sh find_idler.sh
    

    audit
    

    backup
    

    bin

    ¶ÇÇÑ, À§¿¡¼­ ¸»ÇÑ ¿Ü¿¡, ½Ã½ºÅÛ °ü¸®ÀÚ°¡ ÁÖÀÇÇØ¾ß ÇÒ °ÍÀº ´ÙÀ½°ú °°´Ù.

    uid°¡ 0ÀÎ °èÁ¤À» ¾Ë¾Æ³»·Á¸é ´ÙÀ½°ú °°ÀÌ ÇÑ´Ù.

    % awk -F: '$3 == 0' /etc/passwd

    ¡ØÀß ¾Ë·ÁÁø °èÁ¤ÀÎ, vendor, service, sysdiag, wheel µî°ú °°Àº °èÁ¤Àº Çʿ伺 ¿©ºÎ¸¦ Àß ÆÇ´ÜÇؼ­, ºÒÇÊ¿äÇÑ °ÍÀº Áö¿ì°í, ³²±æ °ÍÀº ³²±âÁö¸¸, À§¿¡¼­ ¸»ÇßµíÀÌ, Àý´ë·Î uid¸¦ 0À¸·Î Çؼ­´Â ¾È µÈ´Ù.

    À§ÀÇ »çÇ׵鿡 ´ëÇØ Á» ´õ ±íÀÌ µé¾î°¡ º¸±â·Î ÇÏÀÚ.

    1. NULL password ¸¦ »ç¿ëÇÏ´Â °èÁ¤ÀÌ ¾ß±âÇÏ´Â º¸¾È¹®Á¦ I
"sync" ¶ó´Â °èÁ¤Àº º¸Åë SunOS ¿¡¼­ Null password ·Î µÎ¾î ¾Æ¹« »ç¿ëÀÚ³ª
·Î±ä¸¸ Çϸé sync °¡ µÇµµ·Ï µÇ¾î ÀÖ´Ù.
ÇÏÁö¸¸ À̸¦ ¾Ç¿ëÇÏ¿© ´ÙÀ½°ú °°Àº ÇØÅ·ÀÌ ÀϾ´Â °ÍÀÌ °¡´ÉÇÏ´Ù.
--------------------------------------------------------------
% cat > exit.c ...
^C
$ LD_PRELOAD=
$ id
uid=daemon(1) gid=daemon(1)
$ ^D
%
--------------------------------------------------------------
À§¿Í °°ÀÌ ¾Æ¹«¸® º¸¾È¿¡ ½Å°æÀ» ½è´Ù Çصµ ¿ì¼± Null password ÀÎ »óŶó¸é
¿ÜºÎÀÇ »ç¿ëÀÚ°¡ ¶Õ°í µé¾î¿Ã ¹ßÆÇÀ» ¸¶·ÃÇØ ÁÖ´Â °Í°ú ´Ù¸¦ ¹Ù°¡ ¾ø´Ù.
À§ÀÇ ½ºÅ©¸³Æ®´Â sync ·Î µé¾î°¡¸é ¿ø·¡´Â Ãʱâ shell ÀÌ ¾øÀÌ sync ¸í·É¾î¸¦
È£ÃâÇÏ°Ô µÇ¾îÀÖÁö¸¸ ±× ´ë½Å shell À» ¶ç¿ìµµ·Ï Á¶ÀÛÀ» ÇØ ³õÀº °ÍÀÌ´Ù.
ÇØÄ¿´Â ¿ì¼± Àú·± ¹æ½ÄÀ¸·Î ¶Õ°í µé¾î°¬´Ù¸é ´ÙÀ½¿¡ µé¾î°¡±â ÆíÇÔÀ» À§ÇØ chsh
À̳ª passwd -s ·Î Ãʱâ shell À» ¹Ù²Ù¾î ³õÀ» °ÍÀÌ´Ù.

NULL password ¸¦ »ç¿ëÇÏ´Â °èÁ¤ÀÌ ¾ß±âÇÏ´Â º¸¾È¹®Á¦ II
¡¡
$ grep '^[^:]*::' /etc/passwd
root::NQI1235sdq3.:0:0:Super User:/:/bin/csh
demo::7:17:Demo User:/home/demo:/bin/sh
::0:0:::
$ su ""
#
¡¡
À§¿Í °°ÀÌ NIS ÀÇ setupÀ» À߸øÇÏ¿© "::0:0:::" °ú °°Àº ÁÙÀÌ µé¾îÀÖ´Â °æ¿ì
À§¿Í °°ÀÌ Ä§ÀÔÀ» ´çÇÒ ¼ö ÀÖ°Ô µÈ´Ù. ¶ÇÇÑ, root ±ÇÇÑÀ» °®´Â uid °¡ 0
ÀÎ »ç¿ëÀÚÀÇ °æ¿ì, Null Password ¶ó¸é ±×´ë·Î ¾î¶°ÇÑ »ç¿ëÀÚ¶óµµ login À»
ÇÏ¿© root ±ÇÇÑÀ» ȹµæÇÏ°Ô µÇ¹Ç·Î ¹Ýµå½Ã Null Password ÀÎ »ç¿ëÀÚ¸¦ µÎ¾î¼­
´Â ¾ÈµÇ°Ú´Ù.
¡¡
ºÎµæÀÌ Null passwd ID ¶Ç´Â UID=0 ÀÎ ID¸¦ ÀÌ¿ëÇÏ´Â ¼­ºñ½º¿¡¼­´Â, shell
access ¸¦ Á¦ÇÑ ÇÏ´Â °ÍÀÌ ÁÁ´Ù.
----------------------------------------------------------------------
¿¹:
anonymous FTP ÀÇ °æ¿ì initial shellÀ» /bin/false ·Î ÇÒ´çÇÑ´Ù
/usr/lib/rsh (restricted shell) À» ÀÌ¿ëÇÏ¿© File System À» Á¦ÇѵǰÔ
Access Çϵµ·Ï ÇÑ´Ù.
----------------------------------------------------------------------

      2. ¡¡

      ÀÏÀÏÀÌ password ÆÄÀÏÀ» check ÇϱⰡ ½¬¿î ÀÏÀº ¾Æ´Ï´Ù. ƯÈ÷ »ç¿ëÀÚÀÇ ¼ö°¡ ¾öû³ª°Ô ¸¹Àº °æ¿ì´Â OS ¿¡¼­ Á¦°øÇØÁÖ´Â ÇÁ·Î±×·¥À» ÀÌ¿ëÇÏ´Â °ÍÀÌ ÁÁ´Ù.

    2. ´ëºÎºÐÀÇ System V °è¿­ UNIX, SunOS , Linux ÀÇ °æ¿ì

    ¡¡/sbin/pwdck À» »ç¿ëÇÑ´Ù. »ó´çÈ÷ ¼º´ÉÀÌ ¶Ù¾î³­ ÇÁ·Î±×·¥ÀÌ´Ù. ÀÌ¿Í ¸¶Âù°¡Áö·Î group ÆÄÀÏÀ» üũ ÇØ ÁÖ´Â ÆÄÀϵµ ÀÖ´Ù. /sbin/grpck ÀÌ´Ù.

    »ç¿ëÀÚ°¡ »ó´çÈ÷ ¸¹Àº °æ¿ì password ÆÄÀÏ¿¡ »õ·Î¿î »ç¿ëÀÚ°¡ ºÒ¹ýÀûÀ¸·Î ÇØÄ¿¿¡ ÀÇÇØ Ãß°¡µÇ¾ú´ÙµçÁö, º¯Á¶°¡ µÇ¾ú´ÙµçÁö¸¦ Çѹø¿¡ ´«Ä¡ ä±â°¡ ¾î·Á¿ö Áø´Ù. ±×·¯¹Ç·Î ÁÖ±âÀûÀ¸·Î /etc/passwd ÆÄÀÏÀ» ¹é¾÷ÇÏ´Â °ÍÀÌ Áß¿äÇÏ´Ù. ´Ü, ½Ã½ºÅÛ ³»ºÎ¿¡ ¹é¾÷ÆÄÀÏÀ» µÎÁö ¸»°í ¹Ýµå½Ã ÇϵåÄ«Çdzª ¹é¾÷Å×ÀÙ, Ç÷ÎÇÇ µð½ºÅ© µîÀ» ÀÌ¿ëÇÏ¿© offline »óÅ¿¡¼­ º¸°üÇϵµ·Ï ÇÑ´Ù.

    ¿¹:
    

    # mcopy /etc/passwd a:
    

    ·Î ¹é¾÷À» ÇÑ ÈÄ, ³ªÁß¿¡
    

    # mcopy a:/passwd /tmp/old_passwd
    

    # diff /etc/passwd /tmp/old_passwd

    2.5 Password Security Administration (Further Study)

    Áö±Ý±îÁö ¾ÆÁÖ ±âº»ÀûÀÎ Æнº¿öµå º¸¾ÈÀ» À§ÇØ ÇØ¾ß ÇÒ ÀϵéÀ» Á¤¸®ÇØ º¸¾Ò´Ù. ÀÌÁ¦ Á»´õ ±íÀÌ ÀÖ°Ô ´Ù·ç¾î º¸ÀÚ.

    Trust ¶õ ¸» ±×´ë·Î "½Å·Ú" ÀÌ´Ù. ÀÌ °³³äÀº ¹öŬ¸® °è¿­ À¯´Ð½ºÀÇ r-(remote) ¸í·É¾îµéÀ» ±¸ÇöÇϸ鼭 »ý±ä °ÍÀÌ´Ù. (rsh, rlogin, rcp, rdist...)

    À̸¦ Àû¿ëÇÏ¿© A ¶õ È£½ºÆ®°¡ B ¶õ È£½ºÆ®¸¦ trust ÇÏ°í ÀÖÀ¸¸é, Áï B °¡ A ÀÇ trusted È£½ºÆ®À̸é B È£½ºÆ®ÀÇ »ç¿ëÀÚ°¡ A È£½ºÆ®¿¡ ·Î±ä ÇÏÁö ¾Ê°íµµ ÆÄÀÏÀ» ¾×¼¼½º ÇÒ ¼ö ÀÖÀ¸¸ç, ¶ÇÇÑ Æнº¿öµå ÀÎÁõ ÀýÂ÷ ¾øÀÌ ·Î±ä ÇÒ ¼öµµ ÀÖ°Ô µÈ´Ù. ¾î¶»°Ô º¸¸é »ó´çÈ÷ Æí¸®ÇÏÁö¸¸ , ÀÌ°ÍÀÌ ¾Ç¿ëµÇ¾î ÇöÀç ¸¹Àº º¸¾È ¹®Á¦µéÀ» ³º°í ÀÖ´Ù. ¿©±â¿¡¼­ ÀÎÁõÀýÂ÷¿¡ ¿ä±¸µÇ´Â ÆÄÀÏÀÌ $HOME/.rhosts ÆÄÀÏÀÌ´Ù. ÀÌ ÆÄÀÏÀº rlogin À¸·Î µé¾î¿Ã ¶§¿¡ ¾Æ¹«·± Æнº¿öµå ÀÎÁõÀýÂ÷°¡ ¾øÀ̵µ ·Î±×ÀÎÀ» Çã°¡ÇØ ÁÙ ¼ö ÀÖµµ·Ï ÇÑ´Ù.

    -------------------------------------------------------------------------
¿¹:
% hostname
chiak
¡¡
% cat .rhosts
baram.kaist.ac.kr sakai
chiak.kaist.ac.kr seoro
¡¡
ÀÌÁ¦ baram.kaist.ac.kr ¿¡¼­ chiak.kaist.ac.kr ÀÇ sakai ¶õ À¯Àú·Î rlogin ÇÏ´Â
¿¹ÀÌ´Ù.
¡¡
$ rlogin chiak.kaist.ac.kr -l sakai
Last login: Fri Mar 3 01:53:29 from baram.kaist.ac.kr
....
You have mail
$
-------------------------------------------------------------------------

    ºñ´Ü .rhosts ¿¡ + + °¡ ÀûÇô À־ ¸ðµç È£½ºÆ®ÀÇ ¸ðµç »ç¿ëÀڷκÎÅÍÀÇ rlogin ½Ã¿¡ Æнº¿öµå ÀÎÁõÀ» ÇÏÁö ¾Ê°Ú´Ù´Â .rhosts ÆÄÀÏÀÌ ¾Æ´ÒÁö¶óµµ, ¿ÜºÎ·ÎºÎÅÍÀÇ ÀÎÁõµÇÁö ¾Ê´Â ·Î±äÀ» Çã°¡ÇÏ°Ô µÇ¸é ¹®Á¦°¡ ¹ß»ýÇÒ ¼ö ÀÖÀ¸¹Ç·Î ¾Æ¿¹ /etc/services ³ª /etc/inetd.conf ¿¡¼­ r-command µéÀ» disable ½ÃÅ°´Â °ÍÀÌ ÁÁ´Ù. .rhosts ´Â °³Àλç¿ëÀÚ ´ÜÀ§¿¡¼­ÀÇ Æнº¿öµå ÀÎÁõ »ý·«À» À§ÇÑ ÆÄÀÏÀÌÁö¸¸ ¾Æ¿¹ ½Ã½ºÅÛ ÀÚü¿¡¼­ ƯÁ¤ È£½ºÆ®¿¡¼­ µé¾î¿À´Â Ä¿³Ø¼Ç¿¡¼­´Â Æнº¿öµå ÀÎÁõÀ» ÇÏÁö ¾Ê°Ú´Ù´Â °ÍÀ» ÁöÁ¤ÇÒ ¼ö Àִµ¥ ¿©±â¿¡ »ç¿ëµÇ´Â ÆÄÀÏÀº /etc/hosts.equiv ÀÌ´Ù.

    =============================================================================

    ¿¹:

    # cat /etc/hosts.equiv

    gold.acs.com

    silver.acs.com

    adam.kaist.ac.kr

    ¡¡

    -@netgroup1

    +@netgroup2

    ¡¡

    À§ÀÇ ÆÄÀÏÀÌ ÀǹÌÇÏ´Â ¹Ù´Â gold.acs.com , silver.acs.com , adam.kaist.ac.kr

    ¿¡¼­ µé¾î¿À´Â ¸ðµç À¯Àú¿¡ ´ëÇؼ­´Â Æнº¿öµå¸¦ ¹¯Áö ¾Ê°í µé¾î¿À´Â °ÍÀ»

    Çã¿ëÇϸç, netgroup1 ¿¡ ¼ÓÇÑ ¸ðµç È£½ºÆ®¿¡ ´ëÇؼ­´Â ºÒ°¡, netgroup2 ¿¡ ¼ÓÇÑ

    È£½ºÆ®µé¿¡ ´ëÇؼ­´Â Çã¿ëÀ» Ç¥½ÃÇÑ °ÍÀÌ´Ù.

    =============================================================================

    À̵é ÆÄÀϵéÀº Â÷¶ó¸® »ç¿ëÀ» ÇÏÁö ¾Ê´Â °ÍÀÌ À¯¸®Çϸç, ´ÙÀ½°ú °°Àº ¸í·ÉÀ» ÀÌ¿ëÇÏ¸é ½±°Ô Áö¿ï ¼ö ÀÖ´Ù.

    # cd /
    

    # find . -name ".rhosts" -o -name ".netrc" -print -depth -exec rm -f {} \;
    

    # rm /etc/hosts.equiv

    ´ÙÀ½Àº ÀÚ½ÅÀÇ È£½ºÆ®¿¡ ÀÖ´Â .rhosts ÆÄÀϵé°ú À̸¦ ¼ÒÀ¯ÇÏ°í ÀÖ´Â ¾ÆÀ̵𸦠°Ë»öÇÏ´Â ½ºÅ©¸³Æ® ÀÌ´Ù.

    -----------------------------------------------------------------------------
#!/bin/sh
# Search for .rhosts files in home directories
¡¡
PATH=/bin:/usr/bin:/usr/ucb:
export PATH
¡¡
case $# in
1)
if test -f $1/.rhosts; then
echo "There is a .rhosts file in $1"
fi
;;
0)
(ypcat passwd; cat /etc/passwd) 2> /dev/null | \
awk -F: 'length($6)>0 {print command, $6}' command=$0 - | \
sort -u | sh
;;
*)
echo "usage: $0 [home directory]"
;;
esac
-----------------------------------------------------------------------------

    ´ÙÀ½Àº ÀÚ½ÅÀÇ È£½ºÆ®¿¡ ÀÖ´Â .rhosts ¸¦ ¸ðµÎ Áö¿ï ¶§ »ç¿ëÇÏ´Â ½ºÅ©¸³Æ®ÀÌ´Ù.

    -----------------------------------------------------------------------------
#!/bin/sh
# Search for .rhosts files in home directories
# And delete them.
¡¡
PATH=/bin:/usr/bin:/usr/ucb:
export PATH
¡¡
case $# in
1)
if test -f $1/.rhosts; then
echo "The .rhosts file in $1 has been deleted"
rm -f $1/.rhosts
fi
;;
0)
(ypcat passwd; cat /etc/passwd) 2> /dev/null | \
awk -F: 'length($6)>0 {print command, $6}' command=$0 - | \
sort -u | sh
;;
*)
echo "usage: $0 [home directory]"
;;
esac
-----------------------------------------------------------------------------

    ÀÌ¿Í °°ÀÌ hosts.equiv ³ª .rhosts µéÀ» »èÁ¦Çß´Ù°í Çصµ ÀÌ·¯ÇÑ ÆÄÀÏÀ» ¾Ç¿ëÇÏ´Â ÇØÅ· À¯Çü¿¡¼­´Â .rhosts ÆÄÀÏÀ̳ª hosts.equiv ÆÄÀÏÀÌ Á¸ÀçÇÏ´Â °æ¿ì append ½ÃÅ°°í ¾ø´Â °æ¿ì¿¡´Â create ½ÃÅ°±â ¶§¹®¿¡ ¾Æ¿¹ /etc/hosts.equiv , ~root/.rhosts ¸¦ /dev/null ·Î ¸µÅ© ½ÃÅ°´Â °ÍÀÌ ÁÁÀº ÇØ°áÃ¥À̶ó ÇÒ ¼ö ÀÖ´Ù.

    ÀÌ ¿Ü¿¡µµ Á»´õ °­µµ ³ô°Ô ½Ã½ºÅÛÀ» °ü¸®ÇÏ·Á¸é ssh À̳ª S/Key À» »ç¿ëÇÏ´Â °ÍÀÌ ÁÁ´Ù.

    ¿¹:

    % ssh baram.kaist.ac.kr -l sakai
    

    Connection to baram.kaist.ac.kr was refused.
    

    Using rsh. WARNING: Connection will not be encrypted.

    ÇÏÁö¸¸ ssh À» ÀÌ¿ëÇÏ´Â °æ¿ì ½Ã½ºÅÛ¿¡ ºÎÇÏ°¡ ¸¹ÀÌ °É¸®°í »ç¿ëÀÚµéÀÌ ºÒÆíÇØ ÇÒ ¼öµµ ÀÖ´Ù.

    ¾ðÁ¦³ª ±×·¸Áö¸¸ ¾ö°ÝÇÏ°Ô ½Ã½ºÅÛÀ» °ü¸®ÇÏ´Â °ÍÀº Ç×»ó »ç¿ëÀÚµéÀÇ ÆíÀÇ¿Í trade off ÇÏ´Â °ÍÀÓÀ» ¾Ë°í ÀûÁ¤ÇÑ ¼öÁØ¿¡¼­ Á¶Á¤ÇÏ´Â °ÍÀÌ ÁÁÀ» °ÍÀÌ´Ù.

    ÀÌÁ¦ ¾î´À Á¤µµ Æнº¿öµå °ü¸®Çϴµ¥ ÇÊ¿äÇÑ Áö½ÄÀÌ ½×¿´À¸¸®¶ó »ý°¢ÀÌ µÈ´Ù. ÇÏÁö¸¸ passwd ´Â ½Ã½ºÅÛ °ü¸®ÀÇ Ã¹ ´Ü°èÀÎ »ç¿ëÀÚ account Ãß°¡, »èÁ¦¿¡ ÇÊ¿äÇÑ °¡Àå ±âº»ÀûÀÎ ³»¿ëÀÏ »ÓÀÌ´Ù. ÀÌÁ¦ ´ÙÀ½ È£¿¡¼­´Â process ¸¦ °ü¸®ÇÏ´Â ¹ý ¹× ½Ã½ºÅÛÀÇ ·Î±×µéÀ» °ü¸®ÇÏ´Â °ÍÀ» security ¿Í °ü·ÃÀ» ¸Î¾î ¼³¸íÀ» ÇÒ ±î ÇÑ´Ù.

    ¡¡

    - ³¡ -

    ¡ØÀоîÁּż­ °¨»çÇÕ´Ï´Ù.

    (´ÙÀ½ È£ ¿¹°í)

    General Secure Administration 2 ºÎ

    ======================================================================

    (footnote)

    # ´Â root shell ÇÁ·ÒÇÁÆ®¸¦ ¶æÇÑ´Ù.

    $ Àº ÀÏ¹Ý »ç¿ëÀÚÀÇ borne shell °è¿­ ½© ÇÁ·ÒÇÁÆ®¸¦ ¶æÇÑ´Ù.

    % ´Â ÀÏ¹Ý »ç¿ëÀÚÀÇ C shell °è¿­ ½© ÇÁ·ÒÇÁÆ®¸¦ ¶æÇÑ´Ù.

    ======================================================================

    ¡¡

    References

    1. Essential System Administration, O'Reilly & Assoiates, Inc.

    2. KUS Bulletin ; NULL Password ¿¡ °üÇÑ ¹®Á¦Á¡ - À̼®Âù

    3. [General Security Technique - Practically Useful], ±èÈÖ°­ ,Á¦ 4 ȸ WWW-KR Conference