패스워드 파일 보호

다음은 리눅스 서버의 취약점 조치 방법에 대한 가이드 내용입니다.

계정 관리 > 패스워드 파일 보호

1. 취약점 개요

 1) 점검 내용

• 시스템의 사용자 계정(root, 일반계정) 정보가 저장된 파일(예 /etc/passwd, /etc/shadow)에 사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검

 2) 점검 목적

• 일부 오래된 시스템의 경우 /etc/passwd 파일에 패스워드가 평문으로 저장되므로 사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검하여 비인가자의 패스워드 파일 접근 시에도 사용자 계정 패스워드가 안전하게 관리되고 있는지 확인하기 위함

 3) 보안 위협

• 사용자 계정 패스워드가 저장된 파일의 유출 또는 탈취 시 평문으로 저장된 패스워드 정보가 누출될 수 있음

 4) 판단 기준

• 양호 : 쉐도우 패스워드를 사용하거나, 패스워드를 암호화하여 저장하는 경우
• 취약 : 쉐도우 패스워드를 사용하지 않고, 패스워드를 암호화하여 저장하지 않는 경우

2. 내용

이 부분은 요즘엔 신경 쓸 일이 없습니다. 제가 근무하고 있는 회사에서는 CentOS7 기반 커스터마이징 OS를 사용하고 있는데 기본 설정이 쉐도우 패스워드 파일 정책을 사용합니다. 일부러 pwunconv 명령으로 일반 패스워드 정책을 사용하더라도 요즘엔 설정 파일에 평문으로 저장되지 않고 암호화되어 저장이 됩니다. 고객사에서 취약점 점검으로 해당 항목에 대한 확인을 요구하면 아래와 같이 답변을 하면 될 것 같습니다.

• 현재 운영하고 있는 OS는 쉐도우 패스워드 정책이 적용됨
• 해당 사항 없음 ( 조치 필요 없음 )

3. 조치 방안

일반 패스워드 정책을 사용하고 있을 경우, 쉐도우 패스워드 정책으로 변경합니다. 일반 패스워드 정책을 사용하고 있을 경우에는 /etc/shadow 파일이 존재하지 않고/etc/passwd 파일만 존재합니다. 이 경우 /etc/passwd 파일 안의 두 번째 필드에 사용자 암호가 저장됩니다. 일반 패스워드 정책을 사용하고 있을 경우에는 아래 명령어를 통해 쉐도우 패스워드 정책을 적용할 수 있습니다. 해당 명령어 수행 후에는 /etc/shadow 파일이 생성되며, /etc/passwd 파일의 두 번째 필드가 'x'로 표시된 것을 확인할 수 있습니다.

• # pwconv

 

쉐도우 패스워드 정책에서 일반 패스워드 정책을 적용하려면 아래 명령어를 통해 변경이 가능합니다.

• # pwunconv

 

위 두 개의 명령어를 수행 한 결과는 아래 화면과 같습니다.

[ pwconv, pwunconv 명령어 수행 화면 ]

※ 2번째 필드의 $6는 HashID 로 SHA-512 알고리즘을 사용하고 있다는 것을 의미합니다.

4. 취약점 관련 문서 참고 항목

• U-04 [KISA] 패스워드 파일 보호