[UNIX 계정관리] passwd, shadow파일 구조와 권한

passwd 파일과 shadow 파일이 무엇이고 어떻게 설정되는지 정리하고자 한다.

passwd파일은 unix 사용자 계정 정보가 저장되어 있는 파일이고

shadow파일은 암호화된 비밀번호가 저장되어 있는 파일이다.

 

passwd 파일 구조

passwd 파일은 7개 필드를 가진다.

[계정명] : [패스워드] : [UID] : [GID] : [설명] : [홈디렉터리 명] : [로그인 쉘] 

LINUX 기준의 보안 관점에서 설명하자면

패스워드는 보통 암호화된 패스워드를 가지므로 x 로 표현된다.

UID는 고유해야하고 특히, ROOT 계정만 UID 0을 가지고 있어야한다.

홈디렉터리 명은 홈디렉터리가 해당 사용자명의 디렉터리가 아니면 의심해봐야한다.  

로그인 쉘은 접속이 필요 없는 서비스 계정일 경우 /bin/false, /sbin/nologin 설정이 되어 불필요한 접근을 차단해야한다.

 

passwd 파일 권한

passwd 파일 권한은 644로 설정해야한다.

소유자(root)는 사용자를 등록하고 사용자 계정 정보를 확인 할 수 있어야하고, 그룹과 일반 사용자는 사용자 등록은 할 수 없지만 사용자 계정 정보 열람은 가능해야한다.

 

shadow 파일 구조

shadow 파일은 9개 필드를 가진다.

[계정명]: [암호화된 패스워드] : [last_change] : [minlife] : [maxlife] : [warn] : [inactive] : [expires]

 

여기서, 중요한 필드는 암호화된 패스워드 필드이다.

encrypted_password 필드는 $ID$Salt$encrypted_password 형식으로 되어 있다.

 

ID 값은 1: MD5, 5:SHA-256, 6:SHA-512를 의미한다.

최근에는 SHA-256이 빠른시간 내 복호화 가능하기 때문에 Salt값을 꼭 붙여야한다.

 

shadow 파일 권한

shadow 파일 권한은 400으로 설정해야한다. 시스템 환경에 따라 파일 권한 000 설정도 가능하다.

소유자(root)만 파일을 읽고 참조 할 수 있어야한다. 

만약, other 사용자에게 읽기권한이 있다면 해시 데이터를 빼서 무작위 대입 공격을 시도해볼수 있다.