Linux 사용자 관리 가이드
보안/네트워크 보안 관점에서 Linux 사용자 관리 가이드의 목적, 구성 흐름, 실행 전 확인할 항목을 정리한 기술 노트입니다. 원문 핵심: 리눅스에서 사용자 등록 정보를 등록해 그룹으로 나눠 따로 관리를 할 수 있다 각각 사용자마다 퍼미션을 따로 수여함으로써 보다 안전하고 효율적인 관리가 가능해진다 이제 사용자 관리에 관해 알아보자 [사용자 등록...
핵심 요약
- 보안/네트워크 보안 업무에서 Linux 사용자 관리 가이드를 빠르게 검토할 수 있도록 원문을 운영 절차 중심으로 재구성했습니다.
- 실습/설정/로그 내용은 보존하되, 적용 범위와 검증 포인트를 먼저 확인할 수 있게 정리했습니다.
- 원문 핵심: 리눅스에서 사용자 등록 정보를 등록해 그룹으로 나눠 따로 관리를 할 수 있다 각각 사용자마다 퍼미션을 따로 수여함으로써 보다 안전하고 효율적인 관리가 가능해진다 이제 사용자 관리에 관해 알아보자 [사용자 등록 정보] (/etc/passwd) /etc/passwd에 사용자의 기본 등록 정보가 저장된다 사용자의 패스워드의 경우는 shadow password가 사용된다 useradd 명령을 이용해 등록할 수 있다 사용자의 직접...
적용 범위
이 글은 보안/네트워크 보안 영역에서 Linux 사용자 관리 가이드를 검토하는 사람을 위한 정리본입니다. 원문은 네이버 블로그에 작성된 실습/메모를 기반으로 하며, 현재 환경에 적용할 때는 명령어와 설정값을 반드시 재검증해야 합니다.
정리된 본문
리눅스에서 사용자 등록 정보를 등록해 그룹으로 나눠 따로 관리를 할 수 있다
각각 사용자마다 퍼미션을 따로 수여함으로써 보다 안전하고 효율적인 관리가 가능해진다
이제 사용자 관리에 관해 알아보자
[사용자 등록 정보] (/etc/passwd)
/etc/passwd에 사용자의 기본 등록 정보가 저장된다
사용자의 패스워드의 경우는 shadow password가 사용된다
useradd 명령을 이용해 등록할 수 있다
사용자의 직접 수정이 가능하다
순서대로
계정:암호:UID:GID:주석:홈디렉토리:쉘
[사용자 패스워드. 암호정책 정보] (/etc/shadow)
pwconv(pwunconv) 명령을 이용해서 활성화(비활성화)
change명령을 이용해서 내용 수정
[그룹의 등록 정보] ( /etc/group )
groupadd 명령을 이용해서 그룹 등록
그룹 : 권한 할당 단위
계정은 여러 그룹에 속할 수 있고 기본 소속 그룹은 /etc/passwd 파일에 등록 된다.
퍼미션을 부여할 때 그룹에 한명이면 직접주고 아니면 그룹에게 준다
[관리 명령어]
-groupadd (그룹 등록)
사용자를 등록하기 전에 반드시 사용자가 속할 그룹이 먼저 만들어져 있어야 한다
옵션)
-g : 생성 그룹의 GID 번호를 지정한다
할당하지 않으면 1001 이상 중복되지 않은 값으로 GID가 자동으로 할당된다
GID번호는 식별자일 뿐 값 자체에는 의미가 없다
-r : 1000번 이하의 GID 번호를 자동으로 할당한다
1000번 이하의 GID는 시스템이 daemon이나 관리 목적으로 사용함으로 가능한 사용하지 않는 것이 좋다
-o : 중복된 GID 번호 할당이 가능하다
GID가 같고 이름이 다른 그룹을 생성할 수 있다
이름이 같고 GID가 다른 그룹은 생성할 수 없다
-groupdel (그룹 삭제)
그룹삭제는 반드시 그룹명을 이용한다
-useradd (adduser) : 계정 생성
옵션)
-u : uid 지정
-g : gid나 그룹명 지정 (default : 계정명)
-d : 홈디텍토리 지정 (default : 계정명)
-G : 보조 그룹 지정
-D : 기본 설정 확인 및 변경
-s : 쉘 지정 (default : bash)
-userdel (계정 삭제)
옵션)
-r : 계정에귀속된 홈디렉토리와 mailbox등을 모두 삭제한다
계정 삭제시 반드시 이용한다
특별한 사용자 생성 옵션)
-M : 메일 전용 계정 생성
홈디렉토리가 생성되지 않는다
-r : 999번 이하의 UID 자동 할당
서비스를 위한 더미 계정으로 보통 실 사용자가 없다
shell은 /sbin/nologin으로 지정한다
홈디렉토리가 생성되지 않는다
-passwd (사용자의 암호 변경)
[사용자 생성 과정]
1 : /etc/default/useradd, /etc/login.defs
2 : /etc/passwd, /etc/group
3 : 홈디렉토리 생성
4 : /etc/skel/ 파일 복사
5 : /var/mail/ 계정 파일 생성
[/etc/default/useradd]
useradd -D를 이용해서 수한다
GROUP : 기본등록 그룹의 GID (default : user,user)
HOME : 생성될 홈 디렉토리의 위히
INACTIVE : 패스워드 만료 이후의 유효(기간)여부설정
EXPIRE : 계정 종료일 지정
SHELL : 기본 사용 쉘 지정
SKEL : 홈 디텍토리에 복사할 기본환경파일위치
useradd -D [옵션]
-b : 홈디렉토리 수정
-g : 기본 그룹 변경
-s : 기본 쉘 변경
-m : skel 디렉토리 변경
-e : 패스워드 만료일 변경
-f : grace(만료일 +3일 유예기간) 기간 변경
[/etc/login.defs]
MAIL_DIR : 메일이 저장되는 디렉토리 설정
PASS_MAXDAYS : 패스워드 유효기간 (99999 : 무한대)
PASS_MINDAYS : 지정 기간내에는 패스워드 변경 불허
PASS_MIN_LEN : 패스워드의 최소길이
PASS_WARN_AGE : 패스워드 grace time
UID_MIN : 생성 UID의 최소 숫자
UID_MAX : UID의 최대 가능 숫자
GID_MIN : 생성 GID의 최소 숫자
GID_MAX : GID의 최대 가능 숫자
CREATE_HOME : 홈디렉토리 생성 여부
*안전한 패스워드 설정
-영문 대문자, 소문자, 숫자, 특수 문자 중에 둘 이상을 포함한다
-반드시 8글자 이상으로 한다
-ID와 연관성 있거나 개연성이 있는 단어는 사용하지 않는다
사정 대입 공격에 대비하기 위해 위 세가지는 꼭 지켜준다
-시스템마다 상이한 패스워드를 이용한다
-가급적 자주 변경한다 (최소 6개월에 한번)
해당 내용은 일반인을 대상으로 안전한 패스워드를 만들기 위한 정책이고 관리자의 경우 아무리 복잡한 패스워드도 생일 공격과 같이 해시 충돌에 의한 공격에는 대비가 되지 않음으로 직접 장시간 크랙을 실시해서 안전한 패스워드를 이용한다
운영 체크리스트
- 대상 OS, 네트워크 대역, 계정 권한, 패키지 버전이 현재 환경과 맞는지 확인합니다.
- 운영 장비에서 실행하기 전 랩 환경 또는 읽기 전용 명령으로 먼저 검증합니다.
- 설정 변경, 서비스 재시작, 방화벽 변경, 디스크 작업은 백업과 롤백 경로를 준비한 뒤 진행합니다.
- 본문의 IP, 계정명, 경로, 장비명은 예시 또는 당시 실습 환경 기준이므로 실제 환경 값으로 치환합니다.
원문 출처
원문: https://blog.naver.com/hermes_u/222302971518
네이버 카테고리: Linux, Unix
원문 작성일: 2021-04-08T16:32:00.000+09:00
Paid Launch Help
If this article connects to a real product, infrastructure workflow, web app, or game launch, I can turn the rough signal into a small paid deliverable.
- $1 Korean Launch Signal Audit: three friction points, three concrete fixes, and one Korea/global buyer angle for one URL or page.
- $100 Launch Conversion Sprint: a 48-hour audit, compact copy rewrite, implementation handoff, and 7-day action list.
Best fit for security-lab notes, safe validation paths, and launch risk review related to Linux 사용자 관리 가이드. No login, private source code, production credential, or sensitive customer data is required for the first pass.