사용자 정보

1) /etc/passwd 파일

• UNIX는 시스템 관리자가 사용자 계정을 만들 때마다 해당 사용자와 관련된 정보를 /etc/passwd 파일에 저장한다.
• passwd 파일에는 UNIX 시스템을 이용하는데 필요한 기본 정보들이 담겨 있다. 이 파일의 각 라인은 개별 사용자에 대한 정보로 이루어져 있으며, 구분자 ':'를 이용하여 7개의 필드로 구분된다.
  
  1) user_account : 사용자 계정명
  2) x : 사용자 패스워드(x는 shadow 패스워드를 사용한다는 의미)
  3) 0 : 사용자 ID(UID)
  4) 0 : 기본 그룹 ID(GID)
  5) root : 사용자 관련 기타 정보(코멘트)
  6) /root : 로그인에 성공한 후에 사용자가 위치할 홈 디렉터리
  7) /bin/bash : 로그인 쉘
• 해킹 시 주로 (3)번, (4)번을 0으로 변경한다. 시스템은 UID, GID를 기준으로 권한을 부여하기 때문에 계정이름이 root가 아니라도 UID, GID가 0이면 root가 되는 것이다. 이는 윈도우 보안식별자(SID) 500번이 관리자인 것과 같은 개념이다.
• UID, GID가 0으로 변경 된 계정이 있는지 주기적으로 확인해서 취약점을 제거해야한다.
  (7)번 로그인 쉘을 변경하여 사용자가 로그인시 악성 쉘이 실행되게 하는 경우도 있으므로 주기적으로 변경여부를 확인해야 한다.

2) 사용자 확인

• UNIX 시스템에 접속 중인 사용자를 확인하려면 'id' 명령을 사용한다. 여기서 id는 Identification의 약자로 이 명령을 실행하면 사용자의 UID와 GID를 출력해 준다.
• 입력 문법

$id           /* 명령을 실행한 사용자 확인 */
$id hacker    /* hacker 사용자 확인 */

• 예시
  
  

3) 패스워드 변경

• 사용하던 패스워드를 변경하거나 패스워드가 없는 사용자 계정에 패스워드를 부여 할 때 'passwd' 명령을 사용한다.
• 일반 사용자는 자신의 패스워드만 변경할 수 있지만 슈퍼 유저(root)는 자신을 포함하여 시스템에 등록된 모든 사용자들의 패스워드를 변경할 수 있다.
• 입력 문법

$ passwd      /* 명령을 실행한 사용자 본인의 패스워드 변경 */
$ passwd hacker   /* 슈퍼 유저(root)가 사용자(hacker)의 패스워드 변경

• 예시