4. 로그인 접근 권한

오늘은 로그인 접근 권한에 대해 배워보려고 해

명령어로 usermod -L로 계정을 잠궈버리는 간단한 명령어 말고

로그인 계정을 관리하는 파일을 한번 확인하고 

또 원격접속을 허용하거나 차단해주는 방법도 알아볼거야

자, 이제 바로 시작해보자!

 

 

 

 

 

1. 계정 관리

 

- /etc/login.defs

 

우리가 저번 시간에 useradd와 passwd를 통해 계정을 생성해봤을 거야

이번에는 계정을 생성할 때 서버가 참조하는 파일을 확인해볼 거야

그 파일은 /etc/login.defs 파일이야. 파일의 내용을 한 번 들여다보자

 

 

1. Mail_DIR /var/spool/mail

메일을 생성하는 디렉터리를 지정

home 디렉터리에 생성된 사용자 계정들에 대한 mail 파일 경로라고 볼 수 있어

 

2. pass_(max/min/warn)_days

/etc/shadow 파일의 구성에서 비밀번호 변경 최소 유지 기간, 최대 유지기간, 만료 경고일

세 가지 필드가 있었던 것 기억하지?

바로 위의 기간을 여기서 설정해주는 거야 

여기서 간단하게 하나 실험해보고 가자

최소 유지 기간을 1로 설정하면 비밀번호를 생성하고 하루 안에 한 번만 비밀번호 변경이 가능해

밑에 예시를 보면 알 수 있어

 

 

3. UID_MIN, UID_MAX / GID_MIN, GID_MAX

최초 계정 생성 시 UID_MIN의 설정값이 최초 계정의 UID가 되고,

UID_MAX는 계정 생성시 생성될 수 있는 UID 값을 설정해놓은 것!

GID도 마찬가지야

여기서 참고로 알아둘 부분은 바로 UID, GID의 값이야

계정은 계정명에 따라 그 권한이 움직이지 않는다는 것을 보여줘

바로 UID, GID에 부여된 값에 따라 계정에게 권한이 부여되게 되는데

0을 갖게 되면 해당 계정은 root의 권한을 가질 수 있게 돼

이런 건 우리가 주의해서 활용해야겠지? 밑에 예시를 보여줄게 확인해봐!

 

su 명령을 사용해서 iii 계정을 진입했는데 prompt 맨 앞자리에 root가 오는 것을 볼 수 있어!

이렇듯이 계정의 권한은 계정명에 따라 주어지는 것이 아닌 UID, GID에 따라 바뀐다!

이 내용은 꼭 기억해둬!

 

 

 

- /etc/securetty

 

이 파일은 root 계정을 타 계정이 권한 획득한 후 , 원격 접속을 가능케 해주는 역할을 해

물론, 설정을 통해 원격접속을 차단시켜주기도 하지

일단, root 계정은 default로 telnet 차단이 되어있어 

이제 차단되어 있는 telnet 접속을 허용해보도록 할게

접속 허용 shell 내용은 다음과 같아

pts/[번호]: 세션 1개 열기

우리는 이 세션으로 telnet 접속을 시도해볼 거야

 

 

 

이 상태에서 아까 root 계정을 획득한 iii 계정으로 kali 리눅스에서 telnet 접속을 시도해볼게

그러면 밑에 사진처럼 telnet 접속이 가능한 것을 볼 수 있어!

 

 

 

자 그래서 우리는 계정을 생성하기 전에 두 가지 파일을 꼭 확인해야 돼

1. /etc/login.defs  2. /etc/securetty

계정 관리에 있어서 꼭 필요한 파일들이니 잊지 말고 확인할 것!

여기서 로그인 접근 권한에 대해 마치고

다음은 파일과 디렉토리 접근 권한에 대해 알아보도록 할게!