시스템 관리자의 중요한 업무
- 데이터 접근 제어
- 데이터 보안
보안 구성
- 패스워드 및 로그인 제어
- 시스템 감사
- 파일에 대한 접근 제어
- 루트 계정 감사
- setuid 프로그램 감사
- 원격 접근 제어
시스템을 사용하는 모든 사용자는 패스워드가 있어야 한다!!!
사용자가 시스템에 로그인 성공을 하면 성공한 정보는 로그에 기록된다. 하지만 로그인에 실패하면 실패에 대한 기록은 되지 않는데, 관리자가 /var/adm/loginlog 파일을 생성해주면 실패에 대한 기록까지 모두 기록된다.
/etc/default/login 의 RETRIES는 로그인에 몇 번 실패 재시도를 할 것인가를 뜻하는데, RETRIES=5를 주면 5번 실패시 /var/adm/loginlog에 실패에 대한 기록을 쓴다.
● who
시스템을 사용하고 있는 사용자를 표시하는 명령어
/var/adm/utmpx에 정보 저장
● whodo -l
시스템에 로그인한 사용자와 실행한 명령어까지 표시하는 명령어
Login Device Type
- Console
- Pts => terminal
- term => Serial port를 통한 접근
- Console
- Pts => terminal
- term => Serial port를 통한 접근
● last
최근에 로그인, 로그아웃 한 정보 표시해주는 명령어
한번이라도 서버에 로그인했던 사용자의 목록을 표시.
/var/adm/wtmpx 참조
/etc/wtmpx 참조
last {username}
# last root
위 명령은 루트가 최근에 접속했던 정보를 보여줌.# last > list.txt
위 명령은 최근 접속한 사용자의 목록을 list.txt에 저장함.● su(switching user)
보안적인 면에서 루트라 할지라도 일반계정으로 로그인하는 것이 좋다.
일반계정이라 할지라도 루트권한을 획득하면 루트로써 관리 업무를 할 수 있다.
로그아웃하면 하던 작업은 종료되는데, su하면 사용자 전환이기 때문에 하던 작업은 종료가 되지 않는다.
su {-} {username}
- : 초기화 파일 정보도 같이 로딩# su - user100
위 명령은 현재 루트계정에서 user100계정으로 유저전환을 하는데, 전환시 user100의 초기화 파일에 담긴 정보도 같이 불러옴.그룹 중에 14번을 가진 그룹은 sysadmin 그룹이라고 함. (GID=14)
위 그룹은 사용자 계정이나 그룹 생성, 소프트웨어 설치, 프린터, serial device 등을 관리한다.
admintool 사용 가능함.
일반계정에게 sysadmin 그룹을 부여하면 권한이 상승된다.
○ /etc/default/su
보안적인 감사 설정
사용자가 su 명령어를 실행했을 때 모니터링에 대한 설정
SULOG=/var/adm/sulog
#CONSOLE=/dev/console
첫번째 줄은 사용자가 su 명령어를 이용해 유저전환을 시도한 로그를 기록하는 파일을 뜻한다. 즉, sulog 파일을 열면 누가 su 명령을 쳤는지 알 수 있다.#CONSOLE=/dev/console
두번째 줄은 #를 제거하면 루트로 su 한 경우만 console로 접속된다.
○ /etc/default/login
보안적인 목적
원격에서 접속시 루트나 일반사용자에 대한 접근 제어 설정
SLEEPTIME=4
RETRIES=5
SYSLOG_FAILED_LOGINS=5
CONSOLE
#CONSOLE=/dev/console
CONSOLE=/dev/console
CONSOLE=
CONSOLE=/dev/term/a
PASSREQ=YES
첫번째 줄은 로그인시 잘못된 입력을 했을 경우 다음 프롬프트가 생기는 delay time(초단위)RETRIES=5
SYSLOG_FAILED_LOGINS=5
CONSOLE
#CONSOLE=/dev/console
CONSOLE=/dev/console
CONSOLE=
CONSOLE=/dev/term/a
PASSREQ=YES
두번째 줄은 로그인 실패시 terminate되는 횟수. 이 횟수를 초과하면 다시 로그인 해야 한다.
세번째 줄은 로그인 실패시 syslogd에 message 전송.
네번째 줄은 루트 사용자가 로그인할 수 있는 터미널을 지정하는 변수이다.
- 네트워크로 접속하든 서버로 직접 접속하든 모두 로그인 가능.
- 루트는 console로만 로그인 가능.
- 어떤 방법으로도 루트는 로그인 불가능.
- Serial port A로만 로그인 가능.
다섯번째 줄은 반드시 패스워드를 입력해야만 로그인 가능. 패스워드가 없는 사용자는 패스워드를 생성하라는 프롬프트가 뜬다.
'운영체제 > 솔라리스' 카테고리의 다른 글
| [솔라리스] 원격 접속 관리 (0) | 2010.07.17 |
|---|---|
| [솔라리스] UID와 GID, EUID와 EGID, setuid와 setgid 및 sticky bit (0) | 2010.07.17 |
| [솔라리스] 그룹 관리 관련 명령어 (0) | 2010.07.17 |
| [솔라리스] 사용자 관리 관련 명령어 (0) | 2010.07.17 |
| [솔라리스] 백업 관련 명령어 (0) | 2010.07.16 |
