Linux 패스워드 정책

패스워드 정책

shadow passwdor system

- passwd 파일은 일반 사용자도 읽을 수 있는 파일이기 때문에 패스워드를 shadow 파일에 저장하기 위한 방법

- shadow 기능이 비활성화 되어 있는 경우에는 암호를 변경할 수 없다.

 

#pwunconv  // shadow 비활성화

 

useradd USER1 을 통해 유저를 만들고 비밀번호를 설정해본다

shadow를 비활성화 했기 때문에 비밀번호를 변경할 수 없으므로 인증 토큰 수정 오류 라고 출력된다.

 

#pwconv  //shadow 활성화

 

 패스워드 정책
 #chage - 사용자 패스워드 정책 관리
 #chage [옵션] [계정명]
   
 옵션 -l (List)  패스워드 정책      /etc/shadow
      -d (LastDay) 암호 변경 최종 날짜      3번째 필드
           -m (Min)  암호 변경 최소 일 수     4번째 필드
           -M (Max)  암호 변경 최대 일 수    5번째 필드
           -W (Warning)   암호 만료 경고 일 수    6번째 필드
           -I (Inactive) 암호 만료 후 계정 비할성하 일 수 7번째 필드
           -E (Expire) 계정 만료 날짜      8번째 필드

 

 

#date -s "year-month-day time:minute " 를 통해 지정해준다.

 

위에서 설정했지만 다시한번 보여준다.

계정을 생성하고 비밀번호를 지정한다.

 

그런 후 #chage -l USER1 을 입력하면 USER1에 대한 정보가 나타난다.

현재는 만료,비활성화 등이 설정되어 있지 않은 것을 볼 수 있다.

암호를 바꿀 수 있는 최소 날수는 0으로 설정해두는게 좋다. 그래야 나중에 원할때마다 제약없이 변경할 수 있기 때문이다.

하지만 지금은 개념을 알아야 하기 때문에 설정해본다.

 

 

문제 - USER1 계정의 유효기간은 2020년 7월 18일 이며, 암호는 최소 하루뒤에
        변경할 수 있으며, 암호는 10일마다 한번씩 변경해야하고, 암호만료
        3일전에 경로를 하여 암호를 변경할 수 있도록한다. 만약, 암호가
        만료된 10일 이후에도 암호를 변경하지 않으면 계정을 비활성화 시킨다.

 

옵션들을 활용하면 위에 문제를 쉽게 풀 수 있다

 

이제 세션을 하나 더 만들고 한쪽에서는 root 계정, 다른한쪽은 USER1의 계정으로 접속한다.

root 계정에서는 날짜를 바꿔서 유효기간에 가깝도록 설정해준다.

USER1의 계정에서는 경고가 제대로 작동하는지 확인해본다.

 

 

 

암호는 만료되었지만 비활성화 기간은 아직 되지 않았기에 패스워드를 변경할 수 있다.

(오래된 암호) 라는 경고메세지를 보여준다.

 

 

비활성화기간인 9월13일이 지난 20일로 설정을 해본다.

계정이 만료되었다고 출력되는것을 USER1의 계정화면을 통해 알 수 있다

이때는 root 계정만이 설정할 수 있다.