[Unix 서버] 패스워드 파일 보호

 

 

U-04 패스워드 파일 보호

 

■ 항목 중요도 : 상

 

■ 점검내용

 

시스템의 사용자 계정(root, 일반계정) 정보가 저장된 파일(예 /etc/passwd, /etc/shadow)에 사용자 계정 패스워드가

암호화되어 저장되어 있는지 점검

 

■ 점검목적

 

일부 오래된 시스템의 경우 /etc/passwd 파일에 패스워드가 평문으로 저장되므로 사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검하여 비인가자의 패스워드 파일 접근 시에도 사용자 계정 패스워드가 안전하게 관리되고 있는 지 확인하기 위함

 

■ 보안위협

 

사용자 계정 패스워드가 저장된 파일이 유출 또는 탈취 시 평문으로 저장된 패스워드 정보가 노출될 수 있음

 

■ 참고

 

※ 관련 점검 항목

U-07(상) /etc/passwd 파일 소유자 및 권한 설정

U-08(상) /etc/shadow 파일 소유자 및 권한 설정

 

 

점검대상 및 판단기준

 

■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등

 

양호

쉐도우 패스워드를 사용하거나, 패스워드를 암호화하여 저장하는 경우

 

취약

쉐도우 패스워드를 사용하지 않고, 패스워드를 암호화하여 저장하지 않는 경우

 

■ 조치방법

 

패스워드 암호화 저장∙관리 설정 적용

 

 

점검 방법

 

■ OS별 점검 파일 위치 및 점검 방법

 

SOLARIS, LINUX

Step 1) /shadow 파일의 패스워드 암호화 존재 확인 (일반적으로 /etc 디렉터리 내 존재) #ls /etc Step 2) /etc/passwd 파일 내 두 번째 필드가 “x” 표시되는지 확인 #cat /etc/passwd root:x:0:0:root:/root:/bin/bash

 

HP-UX

/etc/security/passwd 파일 내 설정된 패스워드 점검

위에 제시한 설정이 적용되지 않은 경우 아래의 보안설정방법에 따라 설정을 변경함

 

■ SOLARIS, LINUX

 

Step 1) #pwconv ---> 쉐도우 패스워드 정책 적용 방법
Step 2) #pwunconv ---> 일반 패스워드 정책 적용 방법

 

■ AIX

 

Step 1) #cat /etc/security/passwd
Step 2) 패스워드 암호화 여부 확인
※ AIX 서버는 기본적으로 “/etc/security/passwd” 파일에 패스워드를 암호화하여 저장·관리

 

■ HP-UX

 

HP-UX 서버는 Trusted Mode로 전환할 경우 패스워드를 암호화하여 “/tcb/files/auth” 디렉터리에 계정 이니셜과 계정 이름에 따라 파일로 저장∙관리할 수 있으므로 Trusted Mode인지 확인 후 UnTrusted Mode인 경우 모드를 전환함

 

Step 1) Trusted Mode 전환 방법: root 계정으로 로그인한 후 아래 명령 수행
#/etc/tsconvert
Step 2) UnTrusted Mode 전환 방법: root 계정으로 로그인한 후 아래 명령 수행
#/etc/tsconvert -r2

 

■ 조치 시 영향

 

HP-UX 경우 Trusted Mode로 전환 시 파일시스템 구조가 변경되어 운영 중인 서비스에 문제가 발생할 수 있으므로

충분한 테스트를 거친 후 Trusted Mode로의 전환 필요