-
HP-UX에서의 OS 레벨 계정 관리 Mode
1.1. Standard Mode
- /etc/passwd 파일에서 로그인 인증 → 별도 /etc/shadow 파일 없음1.2. Shadow Password Mode
- /etc/passwd 파일에서 로그인 인증
- /etc/shadow 파일에 계정 password 값 별도 암호화 관리
※ HP-UX 11.11 ↓ : Shadow Password Bundle 설치 후 pwconv를 실행하면 Shadow 파일이 생성
※ HP-UX 11.23 ↑ : Shadow Password Product가 기본적으로 설치되어 있음
1.3. Trust Mode (HP-UX에서 제공하는 보안 사용자 계정 관리 도구)
※ LINUX에서 pam.d 와 같은 역할을 한다고 얉게 이해함
- /tcb/files/auth/[USER이니셜]/[USER] → Trust Mode 설치 경로
- Trust Mode 설정 여부 확인 방법
① /etc/passwd 파일의 2번째 필드가 '*' ('x'가 아닌)
② /tcb/... 디렉토리가 존재-
주요 사용자 계정 정보 파일
/etc/login.defs
(Config 값) PASS_MIN_LEN 8 ※ 보안가이드 : 8자 이상 권고 PASS_MAX_DAYS 70 ※ 보안가이드 : 70일 이상 권고 PASS_MIN_DAYS 70 ※ 보안가이드 : 7일 이상 권고
# /etc/default/security
(Config 값)
AUTH_MAXTRIES=10 → 계정 잠금 임계값(시도 횟수)
... ※ Brute-Force Attack에 대비한 로그인 인증 설정 값
MIN_PASSWORD_LENGTH=82.3. Trust Mode 운영 시
# /tcb/files/auth/[USER이니셜]/[USER] → Password 저장 파일 경로
# /usr/sbin/sam 실행(Tab키로 이동) → 사용자 계정 보안 설정 (Config값) 확인
Auditing and Security → System Security Policies → Password Format Policies
Auditing and Security → System Security Policeis → Password Aging Policies
# /etc/default/security → 사용자 계정 보안 설정 (Config값) 변경-
임계값 이상 로그인 실패한 계정 계정 잠김 해제
3.2. Shadow Password Mode
userdbset -d -u [USER] auth_failure → 계정 잠김 해제
3.3 Trust Mode
# /usr/lbin/getprpw -l [USER] → 계정 잠김 확인
# /usr/lbin/modprpw -k [USER] → 계정 잠김 해제
# /usr/lbin/getprpw -l [USER] → 계정 잠김 해제 확인
-
사용자 계정 정보 파일 관리 - 보안 가이드
- 사용자 계정 정보 파일의 소유자, 권한, 내용 변경의 주기적인 확인
- OS 설치 시 불필요 Default 계정 삭제
# userdel lp
# userdel uucp
# userdel nuucp
-
불필요 사용자 계정 삭제
: 로그인 쉘을 /bin/false로 수정하는 것은 보안 상 문제가 발생할 수 있으므로 삭제 권고
-
root 계정 및 그룹을 제외한 일반 계정의 UID가 '100' 이상으로 설정
: root 계정을 제외한 일반 계정의 UID가 '0'이면 삭제 또는 적절한 UID 부여
ex). # usermod -u 3003 [USER]
-
사용자 계정 정보 파일 소유, 권한 관리
chmod 644 /etc/passwd
chown root /etc/passwd
chmod 400 /etc/shadow
chown root /etc/shadow
chmod 400 /etc/group
chown root /etc/group
chmod 400 /tcb/files/auth/[USER이니셜]/[USER]
chown root /tcb/files/auth/[USER이니셜]/[USER]
...
-
사용자 계정 관리 주요 명령어
- login
logins -d → 중복된 UID 를 갖는 사용자
logins -p → 패스워드가 없는 사용자
logins -x → 모든 사용자의 확장된 정보 출력
logins -x -l [USER] → 특정 사용자의 확장된 정보 출력
-
passwd
passwd [USER] → 사용자 패스워드 변경
passwd -d [USER] → 패스워드를 Null 로 설정
passwd -f [USER] → 다음 로그인 시 패스워드 변경
passwd -l [USER] → 계정을 Lock 또는 Disable
passwd -n 7 -x 28 [USER] → 패스워드 최소, 최대 사용 기간(Aging) 설정
passwd -n 7 -x 0 [USER] → 사용자가 패스워드 변경할 수 없게 설정
passwd -s [USER] → 특정 사용자 패스워드 최소, 최대 사용 기간(Aging) 확인
passwd -sa → 모든 사용자 패스워드 최소, 최대 사용 기간(Aging) 확인
5.3. Trust Mode 명령어-
Trust Mode 설정 / 해제
/usr/bin/tsconvert → 설정
/usr/lbin/tsconvert
/usr/bin/tsconvert -r → 해제
-
Trust Mode 설정 여부 확인
/etc/lbin/getprdef -f ※ 운영 중인 시스템에는 getprdef가 없음
-
Trust Mode 관리 명령어
/usr/lbin/modprpw -k [USER] → 계정 잠김 해제
# /usr/lbin/modprpw -V → 전체 사용자의 패스워드 만료(Expired) 기간(Aging)을 초기화(해제)
많은 사용자 계정에서 로그인 시 passwd expired 메세지 나오는 경우 사용
# /usr/lbin/modprpw -v [USER] → 개별 사용자의 패스워드 만료(Expired) 기간(Aging)을 초기화(해제)
많은 사용자 계정에서 로그인 시 passwd expired 메세지 나오는 경우 사용
# /usr/lbin/modprpw -E → 전체 사용자의 패스워드 만료(Expired) 기간(Aging)을 적용
전체 사용자 계정 로그인 시 passwd expired 되어 변경하라는 메세지 나옴/usr/lbin/modprpw -e [USER] → 개별 사용자의 패스워드 만료(Expired) 기간(Aging)을 적용
사용자 계정 로그인 시 passwd expired 되어 변경하라는 메세지 나옴
/usr/lbin/modprpw -l -m mintm=-1, exptm=-1, lftm=-1,expwarn=-1 [USER]
→ 사용자 계정의 패스워드 만료(Expired) 기간(Aging) 설정 안 함/usr/lbin/modprdef -m umaxlntr=10
→ 전체 사용자 계정에 패스워드가 틀려도 로그인 접속 허용 10회로 설정
# /usr/lbin/modprpw -l -m umaxlntr=10 [USER]
→ 개별 사용자 계정에 패스워드가 틀려도 로그인 접속 허용 10회로 설정