반응형
utmp(x) : 시스템에 현재 로그인한 사용자들의 상태 – w, who 명령
wtmp(x) : 사용자 로그인 또는 로그아웃 기록 – last 명령, #last user01, #last reboot
(접속계정, 터미널 타입, 접속주소, 로그인 시간, 로그아웃 시간, 시스템 부팅, shutdown시간)
/var/log/btmp : 실패한 로그인 시도(유닉스의 경우 /var/adm/loginlog), lastb
acct 또는 pacct : 사용자들에 의해 실행된 모든 명령 기록 – lastcomm
(활성화 : accton /var/account/pacct, 비활성화 : accton )
/var/log/lastlog : 각 사용자들이 가장 최근에 로그인한 기록을 담고 있는 파일,
( #lastlog –u user01 , -t x옵션은 x일 이내)
/var/log/xferlog : FTP 로그
syslogd : 시스템의 다양한 로그들을 생성/저장하기 위한 프로세스
- /var/log/messages에 실시간 로그 관리,
- /etc/syslog.conf 설정 : _*_._notice_ _/var/log/messages_
*syslog 로그 수준(level/severity)
수준
|
설명
|
Emergency
|
시스템이 전면 중단되는 패닉상태
|
alert
|
즉각적인 조치가 필요한 상황
|
Critical
|
하드웨어 등의 심각한 오류가 발생한 상황
|
Error
|
일반적인 에러/오류가 발생한 상황
|
Warning
|
경고 메시지
|
Notice
|
에러/오류는 아니지만 관리자의 조치가 필요한 상황
|
Information
|
의미 있는 정보 관련 메시지
|
debug
|
디버깅용 메시지
|
리눅스 시스템에서 텔넷을 통해 접속한 사용자의 계정과 PID, 접속 시간, 로그인한 터미널 등을 분석 시 로그 파일 2개 : /var/log/secure, /var/log/messeges
PAM모듈 설정 옵션
#cat /etc/pam.d/sustem-auth
auth required /lib/security/pam_tally.so deny=4 unlock_time=120 no_magic_root
account required /lib/security/pam_tally.so no_magic_root reset
- deny 5 : 5회 입력 실패 시 패스워드 잠금
- unlock_time : 계정 잠김 후 마지막 계정 실패 시간부터 120초가 지나면 자동 계정 잠금 해제
- no_magic_root : root계정은 패스워드 잠금 설정을 적용안함
- reset : 접속 성공 시 실패 횟수 초기화
/etc/shadow 파일 설정 의미
root : $1$nL5SgjKF$lvSugCjkDGmQKmopLvq0t/ : 15455 : 0 : 99999 : 7 : : :
-암호화된 패스워드
-마지막으로 패스워드를 변경한 날(1970년1월1일 기준)
-패스워드 만료일
-경고일수(패스워드 만료 전 경고 일수)
패스워드 암호화에 적용된 일방향 해시 알고리즘 식별 ID
패스워드 암호화에 적용된 솔트
* 레인보우 테이블((평문과 대응되는 해시값을 저장해 놓은 파일) 공격 시 크랙된 평문 패스워드로 로그인을 시도하면 패스워드 검증 시 입력한 패스워드에 솔트를 조합한 해시값을 비교하기에 로그인을 실패하게됨
암호화된 패스워드(해시값)
* pwunconv : 사용자 계정 패스워드 정책을 shadow패스워드 정책->일반 패스워드 정책으로 변경
(<->pwconv)
두 번째 필드가 암호화된 값이 아닌, *, !!로 되어 있는 경우에 대한 의미
▶ Null : 패스워드 미설정. 바로 로그인 가능하므로 패스워드 설정 요망
▶ * : 패스워드 잠김 상태(패스워드 로그인 불가. 별도 인증 방식(인증서)으로 로그인 가능)
▶ !! : 패스워드 잠김 상태(모든 로그인 불가]
리눅스에서 패스워드 정책 설정은 크게 3가지로 분류되며, PAM(Pluggable Authentication Modue, 확장 인증모듈)을 이용하여 관리
1) 패스워드 복잡도 설정(/etc/security/pwquality.conf)
2) 패스워드 사용기간 설정(/etc/login.defs)
-PASS_MAX_DAYS 60 (최대 60일간 패스워드 사용 가능)
-PASS_MIN_DAYS 1 (최소 1일 경과 후 패스워드 변경 가능)
-PASS_WARN_AGE 7 (만료일 7일이 남은 시점부터 패스워드 변경 알림)
3) 패스워드 잠금 임계값 설정(/etc/pam.d/system-auth)
※ PAM : 각 응용에 대한 인증 형태, 사용자 권한, 접근 자원 등의 선택이 가능한 사용자 인증 라이브러리로, 각 프로그램(login, telent, ftp 등)은 인증 필요시 PAM에게 요청.
반응형
'보안기사' 카테고리의 다른 글
[보안기사] 정리3 (0) | 2022.09.01 |
---|---|
[보안기사] 정리1 (0) | 2022.08.31 |
댓글