접근통제 개요 2/2

계정 및 패스워드 보호 정책

1. 안전한 패스워드 관리 기법 사용

2. 여러 운영체제에 따라 적용하는 패스워드 방식

3. 여러 가지 패스워드 방식

4. 계정 관리

계정을 그룹별로 설정(유닉스 계열) : 그룹 생성 및 그룹 사용자 생성 명령어(groupadd)로 계정 생성 후 chmod 명령어를 이용하여 허가권 설정
set user id 또는 set group id 사용을 제한하여 root 권한 사용을 제한
사용하지 않는 계정 제거

1. 윈도우에서 사용하는 계정과 패스워드 관리 기법

2. 유닉스 계열의 계정과 패스워드 관리 기법

유추할 수 있는 단어를 피하고 조합형 문자열 또는 특수문자를 포함한 문자열로 패스워드 생성
/etc/passwd는 일반 사용자들도 접근하여 파일 내용을 볼 수 있기 때문에 패스워드가 암호화되어 있더라도 안심할 수 없으므로 shadow 패스워드 시스템을 사용하는데 /etc/passwd의 패스워드 필드를 /etc/shadow 파일에 암호화하여 저장하고 root만이 읽을 수 있는 권한 설정으로 패스워드를 보호

시스템 관리자가 응용프로그램들이 사용자를 인증하는 방법을 선택할 수 있도록 해주는 공유 라이브러리 묶음으로 PAM을 사용하면 응용프로그램을 재컴파일(재작성)하지 않고 인증 방법을 변경할 수 있음
일반적으로 계정과 패스워드만을 이용한 인증 방식을 이용하고 있지만 다양한 형태의 인증 방식을 부가적으로 사용할 수 있고 새로운 프로그램에 적절한 인증 방식을 부가하여 사용할 수도 있게 하는데 이는 응용프로그램이 사용자 인증을 처리하기 위해 사용될 함수의 라이브러리를 제공함으로써 가능
PAM 라이브러리는 /etc/pam.conf(또는 /etc/pam.d/에 있는 여러 파일)에서 각 시스템에 맞게 설정하여 각 시스템에서 사용할 수 있는 인증 모듈을 통해 사용자의 인증 요구를 처리함

윈도우즈에서는 보안 기능이 강화된 NTFS(New Technology File System) 파일시스템을 사용하는 것을 권장

administrator 계정 사용 권한 관리 방법은 최소 권한의 정책으로 사용자 또는 프로세서는 특정 작업을 수행하는 데 필요한 최소한의 권한만을 할당받아야 하고 이 권한은 특정 작업을 수행하는 동안에만 할당되어야 함

목적에 따른 계정 그룹 사용 방법

목적에 따라서 계정 그룹을 만들어 일괄적인 권한 설정이 가능하며 그룹별로 권한 설정
윈도우는 네 가지 기본 그룹(Administrators, Power Users, Users, Backup Operators)과 세 가지 특수 그룹(Interactive, Network, Terminal Server User)이 존재하며 새로운 계정 및 그룹을 생성하여 권한을 임의로 부여할 수도 있으며 새로 생성한 계정에 대해서는 권한을 임의로 부여할 수도 있음

root로 접근 및 변경 권한을 설정해야 하는 파일

SUID(Set User ID)와 SGID(Set Group ID)는 권한이 없는 프로그램을 실행할 수 있으며 SUID는 소유자 권한으로 SGID는 소유그룹 권한으로 실행하는 것이므로 불필요한 파일에 설정된 SUID와 SGID의 Sticky Bit 제거

umask는 시스템 파일이 만들어질 때의 허가권 기본값을 정하기 위해서 사용