Linux의 섀도우 파일: 시스템 보안의 핵심

Linux의 /etc/shadow 파일 전체 매뉴얼

Shadow 파일과 passwd 파일은 일반적으로 Linux에서 인증 프로세스를 수행하는 데 사용됩니다. 섀도우 파일은 시스템에 사용자 데이터를 저장하는 데 사용되는 텍스트 기반 파일입니다. 가장 중요한 것은 비밀번호가 암호화되거나 해시된 형식으로 저장되는 linux vi 명령입니다.

/etc/passwd 파일에 비밀번호를 저장하면 시스템이 쉽게 안전하지 않게 될 수 있습니다. 섀도우 파일에는 640 또는 400으로 설정된 파일 권한이 있습니다.

무엇을 다룰까요?

이 글에서는 Linux의 Shadow 파일에 대해 설명하겠습니다.

섀도우 파일이 필요한 이유는 무엇인가요?

Linux의 passwd 파일은 누구나 읽을 수 있으며 이를 위해 암호화된 비밀번호는 섀도우 파일이라는 다른 파일로 전송됩니다. 루트에서만 읽을 수 있습니다. 섀도우 파일은 /etc 폴더의 /etc/shadow에도 있습니다.

passwd 파일과 매우 유사하게 섀도우 파일의 첫 번째 배열에는 계정 이름이 포함되어 있으며 쉼표를 사용하여 다른 기본 키를 구분합니다. 암호화된 비밀번호가 포함된 별도의 파일을 갖는 것도 계정에 새 매개변수를 추가하는 데 도움이 됩니다. 이는 계정을 제어하고 비밀번호 만료를 제어하는 ​​데 도움이 되는 것으로 보고되었습니다.

Shadow 파일은 암호화된 비밀번호를 보호하기 위해 읽기 보호 상태로 유지됩니다. 파일에 대한 읽기 액세스 권한이 있는 사람은 누구나 암호화된 비밀번호를 해독하려고 시도할 수 있으므로 이는 중요한 보안 조치입니다.

섀도 파일의 보안 측면

Shadow 파일은 Linux 시스템의 루트 비밀번호를 재설정하는 데 유용한 도구입니다. 루트 사용자의 계정 항목을 찾고 일부 설정을 조작하여 루트 비밀번호를 복구할 수 있습니다. 그러나 섀도우 파일에서 비밀번호를 복구하는 프로세스는 현재 주제에서 벗어났습니다.

앞서 언급했듯이 섀도우 파일은 루트 디렉터리에서만 읽을 수 있습니다. 악의적인 계정 소유자가 다른 시스템 계정(리눅스 등 디렉토리 권한)을 해킹하려고 시도하면 나무에 머리를 부딪힐 것입니다. 누군가가 어떤 형태로든 비밀번호를 얻었다고 가정하면 비밀번호를 해독하는 데 걸리는 시간은 사용된 암호화 알고리즘에 따라 다릅니다. 그러나 암호화된 비밀번호를 해독하는 데는 몇 분에서 몇 년이 걸릴 수 있으므로 쉽지 않습니다.

섀도우 파일의 문장 패턴

섀도우 파일의 문장 패턴은 다음과 같습니다.

로그인:enencyrptedpassword:lastchangedate:min_age:max_age:warning:inactivity:expiration_date:reserved

윗줄의 배열은 일수로 표현됩니다. lastchange 및 만료는 날짜 배열입니다. 이러한 배열의 시간은 Unix 시간

linux 등 디렉터리 권한의 시작 날짜인 1970년 1월 1일에서 가져옵니다.

섀도우 파일의 기본 키에 대한 설명

이 파일에는 따옴표 ':'로 구분된 9개의 배열이 있습니다.

비트 배열에 대해 설명하겠습니다:

로그인: Shadow 파일의 모든 줄은 사용자 이름으로 시작됩니다. 사용자 이름은 Shadow 파일의 항목을 /etc/passwd의 항목에 연결합니다.

cryptopassword: 암호화된 비밀번호에 대한 자리 표시자입니다. 그래서 실제 비밀번호와 전혀 유사하지 않더라도 말이죠. 여기에 * 또는 !가 있으면 해당 계정에 비밀번호가 없다는 의미입니다.

Lastchange Date – 기본적으로 Unix 시간의 시작부터 일수로 표시되는 날짜입니다. 이전 비밀번호 변경 날짜를 알려주는 시간입니다. 값이 0이면 사용자가 마지막으로 로그인했을 때 비밀번호를 변경해야 한다는 의미입니다.

minage – 이 배열은 날짜 값이 minage+lastage인 경우에만 비밀번호가 수정됨을 나타냅니다. 배열이 비어 있으면 언제든지 비밀번호를 수정할 수 있다는 의미입니다.

maxage – 이 배열은 날짜 값이 maxage+lastage일 때 비밀번호를 변경해야 함을 나타냅니다. 실제로는 비밀번호가 만료되는 날짜입니다. 빈 비밀번호의 경우 만료 날짜가 의미가 없으므로 maxage, warning 및 inactivity 배열이 필요하지 않습니다.

경고 – 날짜가 lastchange+maxage-warning으로 변경되거나 비밀번호 경고 기간이 시작되면 사용자에게 비밀번호를 변경하라는 경고가 표시됩니다. 값이 0이거나 공백(비어 있음)이면 경고 기간이 없음을 의미합니다.

비활성 – 비밀번호가 만료되더라도 사용자는 비활성 일수까지 비밀번호를 변경할 수 있습니다. 이 배열이 채워지지 않으면 비활성 기간이 없습니다.

만료 날짜 – 사용자 계정이 만료되는 날짜입니다. 이제부터 이 계정으로 로그인이 어렵습니다. 이 배열이 비어 있으면 계정이 만료되지 않습니다. 또한 여기서는 "0" 값을 사용하지 마십시오.

특별 표시: 이 장소는 평소에는 사용되지 않으며 향후 사용을 위해 예약되어 있습니다.

이제 위 배열에 대한 이해를 설명하기 위해 반례를 사용합니다. 섀도우 파일에서 다음 샘플 항목을 사용하세요.

linux-콘솔:$6$kKRCC8ip8nKtFjjdZJIj:12825:14:45:10:30:13096

배열의 각 비트를 점진적으로 분해해 보겠습니다.

1.linux-console은 사용자 이름입니다.

2. 다음 배열은 사용자의 암호화된 비밀번호입니다. 매우 긴 비밀번호입니다. 그러나 단순화를 위해 약간 잘라냈습니다.

3. 사용자가 Unix 시대(예: 1970년 1월 1일) 이후 12825일 또는 2005년 2월 11일인 35일 1월 11일에 비밀번호를 변경했습니다.

4. 사용자가 비밀번호를 변경할 수 있는 최소 기간은 14일입니다. 비밀번호를 언제든지 변경할 수 있게 하려면 이 배열을 0으로 설정하십시오.

5. 비밀번호는 45일마다 재설정되어야 합니다.

6. 비밀번호 재설정 경고는 수정일 10일 전부터 표시됩니다.

7. 비밀번호가 만료되고 30일 이내에 로그인 작업이 수행되지 않으면 사용자 계정이 비활성화됩니다.

8. 계정은 Unix 시대 기준으로 13096일 또는 2005년 11월 9일에 만료됩니다.

추론

Shadow 파일은 계정 정보를 저장하는 데 특히 안전한 장소입니다. passwd 파일에 강력한 사용자 비밀번호가 있으면 보안 문제가 있습니다. 섀도우 파일을 루트에서 읽을 수 있도록 하면 악의적인 사용자와 공격자가 암호를 악용할 기회가 제거됩니다.

위 내용은 Linux의 섀도우 파일: 시스템 보안의 핵심의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!