글
3장. 사용자 관리
먹고는 살아야지;;;
2008/11/08 14:51
1. 사용자와 그룹
/etc/passwd 파일
루트와 시스템 그룹 소유, 소유주만 접근 가능
passwd 파일은 총 7가지의 필드로 구성
※ 시스템 관리자가 계정 정보 생성 및 변경으로 /etc/passwd를 편집중이라면 다른 사용자가 패스워드 변경이 올바르게 돼지 않음. vipw를 이용해서 해당 파일의 LOCK을 거는 방식으로 구정해야함. (vipw는 실행과 동시에 해당 파일을 /etc/ptmp 로 복사해 놓는다)
/etc/passwd 파일의 일관성 유지를 위해서 /usr/sbin/pwck 명령을 사용
에러가 발생한 경우 상기와 같이 에러 메시지 출력
/etc/group 파일
/etc/group 파일의 일관성 유지를 위해서 /usr/sbin/grpck 명령을 사용
2. 사용자 생성과 삭제
사용자 생성
SAM을 이용한 사용자 생성
a) sam 진입 후 accounts for users and groups 선택
b) users 를 선택하여 사용자 생성 모드 진입
c) 사용자 리스트 출력 후 action > add 실행
d) 사용자 정보 입력, 선택 후 사용자 생성
e) 사용자 생성 후 사용자 리스트를 통해서 생성을 확인
SAM을 이용해 많은 사용자 한번에 생성
같은 조건을 가진 많은 사용자를 간단히 생성
a) sam 진입 후 accounts for users and groups 선택
b) users 를 선택하여 사용자 생성 모드 진입
c) 사용자 리스트 출력 후 action > user templates 서브메뉴 중 create 실행
d) template title 문자를 입력하고 필드 부분은 사용자를 등록하는 것과 같이 적용
e) 사용자 ID 생성위한 방법을 선택하고 template description 입력 후 OK 선택
First Available : 할당된 UID중 가장 큰 수 다음의 수를 UID로 할당
g) Template In Use 항목에 방금 만들었던 템플릿이 맞는지 확인
사용자 삭제
sam 툴에서 Action > Remove 선택
시스템 로그인을 위해서 필요한 사항
userid, groupid, passwd, 사용자 이름과 그밖의 계정 정보가 /etc/passwd 에 정의
사용자는 한개 이상의 그룹에 참여 가능하며, /etc/group 에 그룹에 속하느 사용자 목록 기술
userid, groupid, passwd, 사용자 이름과 그밖의 계정 정보가 /etc/passwd 에 정의
사용자는 한개 이상의 그룹에 참여 가능하며, /etc/group 에 그룹에 속하느 사용자 목록 기술
/etc/passwd 파일
루트와 시스템 그룹 소유, 소유주만 접근 가능
passwd 파일은 총 7가지의 필드로 구성
userid:passwd:uid:gid:description:homedir:loginshell
※ 시스템 관리자가 계정 정보 생성 및 변경으로 /etc/passwd를 편집중이라면 다른 사용자가 패스워드 변경이 올바르게 돼지 않음. vipw를 이용해서 해당 파일의 LOCK을 거는 방식으로 구정해야함. (vipw는 실행과 동시에 해당 파일을 /etc/ptmp 로 복사해 놓는다)
/etc/passwd 파일의 일관성 유지를 위해서 /usr/sbin/pwck 명령을 사용
/etc/group 파일
groupid:grppasswd:gid:grouplist
일반적으로 그룹의 경우 패스워드를 정하지 않고, 공란으로 두는 경우가 많다./etc/group 파일의 일관성 유지를 위해서 /usr/sbin/grpck 명령을 사용
2. 사용자 생성과 삭제
사용자 생성
SAM을 이용한 사용자 생성
a) sam 진입 후 accounts for users and groups 선택
SAM을 이용해 많은 사용자 한번에 생성
같은 조건을 가진 많은 사용자를 간단히 생성
a) sam 진입 후 accounts for users and groups 선택
b) users 를 선택하여 사용자 생성 모드 진입
c) 사용자 리스트 출력 후 action > user templates 서브메뉴 중 create 실행
First Available Greater Than Value : 입력한 값보다 큰 ID를 순착적으로 할당
First Available Within Range : 입력 밤위 안의 값을 UID로 할당
Prompt For It : 생성시 UID 수동 입력
f) 작성한 템플릿의 적용을 위해서 Action > user templates 의 select 선택
First Available Within Range : 입력 밤위 안의 값을 UID로 할당
Prompt For It : 생성시 UID 수동 입력
f) 작성한 템플릿의 적용을 위해서 Action > user templates 의 select 선택
sam 툴에서 Action > Remove 선택
sam을 사용하지 않고 사용자 계정 삭제
사용자의 삭제는 /etc/passwd, /etc/group 의 해당 사용자의 정보를 삭제 정보를 삭제 가능
SAM을 이용한 그룹 관리
a) sam 실행후 account for users and group 선택
b) groups 선택
c) Action > Add 선택
d) group name 을 정하고 추가
e) 완료
3.사용자와 환경
사용자 로그인 절차
사용자가 로그인 할때 몇개의 파일을 참조. (쉘 마다 참조하는 파일이 다름)
getty 로그인시 초기화
1. /etc/copyright, /etc/motd 파일을 참고하여 로그인 시 아래의 화면 내용을 디스플레이
2. 프롬프트 형태로 읽지 않은 news 를 사용자에게 공지
3. 사용자의 홈 디렉토리에 있는 .profile, .login 을 실행하여 환경을 설정
: 만약 관리자가 sam, useradd 를 사용여 계정을 만든 경우 /etc/skel/.profile 의 내용이 그대로 홈디렉토리로 복사
4. 초기화 설정 완료후 사용자의 명령을 기다리는 프롬프트 상태로 대기
CDE1로그인시 초기화
사용자가 네트워크를 통해서 CDE로 접속할때는 $HOME/.profile, /$HOME/.login 스크립트는 참조되지 않음.
※ .dtprofile 파일의 내용중 DISOURCEPROFILE="true"로 설정하면 강제로 참조하도록 변경
최초 CDE로그인 시에는 /usr/dt/config/sys.dtprofile 로 부터 복사된다.
/etc/skel 디렉토리
4. Trust Mode
HP-UX에서 보안을 강화하기 위해서 기본 Unix 체계에 추가적으로 보안 기능을 강화하여 제공하는 모드. 현재는 대부분 적용하여 운영중
해당 모드를 키면 지원 돼는 기능
system security policies 적용 : passwd format/aging, general user account, terminal security
event, system call, users 에 대한 audit
trust mode 전환
sam을 이용한 trust 모드 전환은 단순
sam 실행 > auditing and security > system security policies 아래의 전환 요청 화면 출력
/etc/passwd 파일 변환 확인
: 해당 모드로 전환 후에는 passwd 필드의 패스워드가 암호화 강화되여 별도의 파일(shadow)파일로 관리 (패스워드 칼럼은 * 로 채워짐)
System Security Policies 적용
password format policies
: user-specified passwd attributes 에서는 null 을 사용하도록 할 수 있음.
maximum password length 에서는 passwd의 길이를 정하여 줄 수 있음 (8자)
password aging policies
: 사용 기간 및 변경 기간 설정
general user account policies
: 사용자의 inactive time 초과시 계정을 deactive 하여 사용이 불가하도록 만드는 기능. 부적절한 password 입력시 deactive 기능.
※ deactive 된 사용자의 활성화는 users 설정 화면의 Action > Reactivate 를 선택
Terminal Security Policies
사용자의 삭제는 /etc/passwd, /etc/group 의 해당 사용자의 정보를 삭제 정보를 삭제 가능
※ 이렇게 삭제할 경우 아래의 파일 정보 확인 필요
/etc/sam/rmuser.excl : 지워지면 안돼는 리스트
/etc/sam/rmfiles.excl : 지워지만 안되는 파일 리스트
/etc/sam/sam/rmgroup.excl : 지워지면 안돼는 구룹 리스트
/etc/sam/rmuser.excl : 지워지면 안돼는 리스트
/etc/sam/rmfiles.excl : 지워지만 안되는 파일 리스트
/etc/sam/sam/rmgroup.excl : 지워지면 안돼는 구룹 리스트
SAM을 이용한 그룹 관리
a) sam 실행후 account for users and group 선택
b) groups 선택
사용자 로그인 절차
사용자가 로그인 할때 몇개의 파일을 참조. (쉘 마다 참조하는 파일이 다름)
getty 로그인시 초기화
1. /etc/copyright, /etc/motd 파일을 참고하여 로그인 시 아래의 화면 내용을 디스플레이
: 만약 관리자가 sam, useradd 를 사용여 계정을 만든 경우 /etc/skel/.profile 의 내용이 그대로 홈디렉토리로 복사
4. 초기화 설정 완료후 사용자의 명령을 기다리는 프롬프트 상태로 대기
CDE1로그인시 초기화
사용자가 네트워크를 통해서 CDE로 접속할때는 $HOME/.profile, /$HOME/.login 스크립트는 참조되지 않음.
※ .dtprofile 파일의 내용중 DISOURCEPROFILE="true"로 설정하면 강제로 참조하도록 변경
최초 CDE로그인 시에는 /usr/dt/config/sys.dtprofile 로 부터 복사된다.
/etc/skel 디렉토리
유닉스에서 미리 지정된 사용자명
4. Trust Mode
HP-UX에서 보안을 강화하기 위해서 기본 Unix 체계에 추가적으로 보안 기능을 강화하여 제공하는 모드. 현재는 대부분 적용하여 운영중
해당 모드를 키면 지원 돼는 기능
system security policies 적용 : passwd format/aging, general user account, terminal security
event, system call, users 에 대한 audit
trust mode 전환
sam을 이용한 trust 모드 전환은 단순
sam 실행 > auditing and security > system security policies 아래의 전환 요청 화면 출력
/etc/passwd 파일 변환 확인
: 해당 모드로 전환 후에는 passwd 필드의 패스워드가 암호화 강화되여 별도의 파일(shadow)파일로 관리 (패스워드 칼럼은 * 로 채워짐)
System Security Policies 적용
password format policies
: user-specified passwd attributes 에서는 null 을 사용하도록 할 수 있음.
maximum password length 에서는 passwd의 길이를 정하여 줄 수 있음 (8자)
: 사용 기간 및 변경 기간 설정
: 사용자의 inactive time 초과시 계정을 deactive 하여 사용이 불가하도록 만드는 기능. 부적절한 password 입력시 deactive 기능.
보안이 적용된 사용자의 deactive
Terminal Security Policies
더보기
- 유닉스 기종에 상관없이 그래픽 환경에서 각종 작업을 하도록 만들어주는 표준. [본문으로]
