콘텐츠로 이동

U-04: 비밀번호 파일 보호

분류: 01_unix

중요도: 상

개요

점검 내용

시스템의 사용자 계정(root, 일반 사용자) 정보가 저장된 파일(/etc/passwd, /etc/shadow 등)에 사용자 계정 비밀번호가 암호화 저장 여부 점검

점검 목적

일부 오래된 시스템의 경우 /etc/passwd 파일에 비밀번호가 평문으로 저장되므로 사용자 계정 비밀번호가 암호화되어 저장되어 있는지 점검하여 비인가자의 비밀번호 파일 접근 시에도 사용자 계정 비밀번호가 안전하게 관리되고 있는지 확인하기 위함

보안 위협

사용자 계정 비밀번호가 저장된 파일이 유출 또는 탈취 시 평문으로 저장된 비밀번호 정보가 노출 위험이 존재함

참고

pwconv

쉐도우 비밀번호 정책

pwunconv

일반 비밀번호 정책

점검 대상 및 판단 기준

대상

SOLARIS, LINUX, AIX, HP-UX 등

판단 기준

✅ 양호: 쉐도우 비밀번호를 사용하거나, 비밀번호를 암호화하여 저장하는 경우

❌ 취약: 쉐도우 비밀번호를 사용하지 않고, 비밀번호를 암호화하여 저장하지 않는 경우

조치 방법

비밀번호 암호화 저장·관리 설정

조치 시 영향

HP-UX 경우 Trusted Mode로 전환 시 파일 시스템 구조가 변경되어 운영 중인 서비스에 문제가 발생할 수 있으므로 충분한 테스트를 거친 후 Trusted Mode로의 전환이 필요함

점검 및 조치 사례

SOLARIS, LINUX

  1. /etc/passwd 입력 후 파일 내 두 번째 필드가 x 표시되는지 확인 

    root:x:0:0:root:/root:/bin/bash

  2. pwconv 명령으로 쉐도우 비밀번호 적용

참고

SOLARIS 11은 pwunconv 명령어가 존재하지 않음

AIX

  1. /etc/security/passwd 파일에 암호화 여부 확인

참고

AIX는 기본적으로 /etc/security/passwd 파일에 비밀번호를 암호화하여 저장·관리함

HP-UX

  1. /etc/passwd 파일에 암호화 확인
  2. pwconv 명령으로 쉐도우 비밀번호 적용

참고

HP-UX 서버는 Trusted Mode로 전환할 경우 비밀번호를 암호화하여 /tcb/files/auth 디렉터리에 계정 이니셜 과 계정 이름에 따라 파일로 저장·관리할 수 있으므로 Trusted Mode인지 확인 후 UnTrusted Mode인 경우 모 드를 전환함

Trusted mode 전환 방법

root계정으로 아래 명령어 실행 

# /etc/tsconvert

UnTrusted mode 전환 방법

root계정으로 아래 명령어 실행 

# /etc/tsconvert –r

참고

HP-UX 11.11의 경우 Shadow Password Bundle을 설치하여야 /etc/shadow 파일 생성됨