계정과 패스워드 보호

1. 리눅스 계정과 패스워드 보호 : 시스템에서 사용자가 로그인하기 위해 부여되는 고유한 사용자 이름을 말한다. 사용자에게 소유되는 모든 파일과 자원, 정보이기도 하다. 사용자들은 반드시 어느 한 그룹에 소속되어야 하며 이러한 사용자 계정과 패스워드 보호에 대하여 알아보도록 한다.

 (1) 리눅스에서 계정과 패스워드에 관련된 파일

 * /etc/password : 사용자 기본정보 파일을 포함하고 있다. (계정명, UID, GID, 쉘, 홈 디렉터리)

 * /etc/shadow : 사용자 패스워드가 암호화되어 있는 파일과 패스워드 정책 포함

 * /etc/group : 그룹 기본 정보 파일 

 * /etc/default/useradd : 사용자 계정 생성할 때 기본 정보를 가지고 있는 파일

 * /etc/login.defs : 리눅스 시스템 사용자 전체를 제한하기 위한 설정 파일

 * /etc/skel : 사용자 계정 생성할 때에 필요한 파일 및 디렉터리를 저장하고 있는 디렉터리며, 새 계정 생성할 때 해당 계정의 홈 디렉터리로 /etc/skel에 존재하는 파일 및 디렉터리가 복사된다.

 (2) 사용자 계정 관리 명령어 : 리눅스 시스템에서 계정관리를 통하여 생성, 패스워드 변경, 삭제 등을 관리할 수 있다. 

 * 계정생성 형식 : useradd <생성하고자 하는 계정 이름>

 * 계정삭제 형식 : userdel <삭제하고자 하는 계정 이름>

 * 사용자 패스워드 변경 형식 : passwd <패스워드 변경하고 하는 계정 이름>

 * 사용자 계정 속성 변경 형식 : usermod <옵션>

  usermod 명령어는 생성한 계정 사용자에 대한 설정을 변경하는 명령어이다. 리눅스 명령어 사용할 때 옵션을 잘 사용하면 효과적이다.

 ** 옵션

 -c : comment 사용자 설명을 변경한다.

 -d : 사용자 홈 디렉터리 위치를 변경한다.

 -e: 사용자의 사용 기간 제한을 해제한다.

 -f : 남은 날수 임시 사용자 사용제한을 해제한다.

 -l : 사용자 ID를 변경한다.

 -p : 사용자 패스워드를 변경한다.

 -s : 사용자 쉘을 지정한다.

 -L : 사용자의 패스워드를 막아 놓아 접근을 막는다.

 -U : 사용자의 접근을 막은 패스워드를 풀어준다.

 * 사용자 계정의 기본내용 확인 방법 : 사용자 계정생성 시 아무런 옵션 없이 생성하였을 때 기본적인 환경 변수를 볼 수 있는 것은 옵션 -D를 통하여 확인할 수 있다.

 ** 옵션

 -GROUP : 기본 그룹 ID 지정

 -HOME : 사용자 홈 디렉터리 경로를 지정

 -INACTIVE : 사용자 패스워드 기간 만료 후에 계정 사용이 불가능하게 되는 날을 지정하여 0이면 바로 사용 불가능하게 설정, -1이면 이 기능을 사용하지 않을 것이라는 의미

 -EXPIRE : 사용자 패스워드 기간 만료일 지정

 -SHELL : 사용자가 로그인할 때 사용하는 기본 쉘 지정

 -SKEL : 사용자 계정 생성 시 사용자 홈 디렉터리에 기본적으로 생성되는 환경 파일들이 있는 위치 지정

 - CREATE_MAIL_SPOOL : 새로 생성되는 계정의 메일 저장 파일 여부를 지정

2. 윈도우 계정과 패스워드 보호

 (1) 윈도우는 리눅스와 달리 오픈소스가 아니며, 텍스트 환경이 아닌 GUI라서 많은 사람이 선호하지만 라이센스를 구매해야 한다. 윈도우 환경에 익숙한 초보 관리자들이 접하기 쉬운 운영체제이다.

 (2) 시작 > 프로그램 > 관리 도구 > 관리에서 사용자 클릭 후 오른쪽 마우스를 클릭하여 새 사용자를 추가한다.

 (3) 윈도우는 상당히 편리하고 간단하게 마우스 몇 번만 클릭하면 사용자 계정에 대한 관리는 쉽게 할 수 있다.

 (4) 윈도우 그룹에 대하여 살펴보자. 리눅스는 여러 가지 사용자와 그룹에 ID로 관리 되었지만 윈도우는 그런 개념보다는 눈으로 확인할 수 있고 클릭으로 설정하면 된다.

 (5) 그룹을 클릭하였을 때 오른쪽 화면에는 여러 가지 다양한 그룹이 보인다. 대부분 시스템 관리에 필요한 시스템 그룹이며, 사용자 계정에 관련된 'User' 그룹에 속한다고 보면 된다.

3. 윈도우 계정정책 살펴보기 : 윈도우는 리눅스 시스템과 달리 GUI 환경으로 로그인 시도할 때 실패한 계정 잠금 및 암호 길이, 암호 사용 기간 등을 간단하게 설정해 줄 수 있다. 이런 일련의 모든 것을 포함하는 계정에 관련된 정책을 말한다.

 (1) 암호정책 : 제어판 > 관리 도구 > 로컬보안정책 > 계정정책 클릭한다.

 * 오른쪽 정책 제목을 클릭하면 보안설정을 수정할 수 있게 된다.

 * 데스크톱용 운영체제뿐만 아니라 서버용의 경우에는 관리자가 기업이나 조직 내에 정해진 내부 지침에 의거하여 다양하게 정책을 수립할 수 있다.

 (2) 계정 잠금정책 

 * 최근 사용자 보안의 중요성이 커짐에 따라 계정 잠금정책도 잘 수립하면 보안을 강화할 수 있다.

 * 개인정보 유출 등으로 인하여 계정과 비밀번호를 가지고 로그인 시도를 많이 하게 된다. 이런 경우 시스템적으로 로그인 실패 횟수에 제한을 두어 계정이 잠금이 되면 무차별 공격이나 사전공격 등에 대한 방어가 가능하다.

 * 계정 잠금정책의 특징 : 계정 잠금 임계 값은 0에서부터 999까지 임계 값 적용이 가능하다. 0으로 설정하면 잠금을 할 수 없다. 계정 잠금 기간의 기본값은 없다. 계정 잠금 임계 값이 '0'이 아닐 경우 활성화되며 그 임계 값은 0에서 99,999까지이다. 0으로 설정하면 계정관리자가 명시적으로 잠금 해제할 때까지 잠금 형태로 된다. 다음 시간 후 계정 잠금 수를 원래대로 설정하는 것으로 기본값은 없다. 계정 잠금 임계 값이 '0'이 아닐 경우 활성화되며 그 임계 값은 1에서 99,999까지이다.