17일차

목차

1.그룹 보기

2. 그룹에 추가

3. root 권한

4. 시스템 부팅 시 하는 작업

5. 사용자에 관한 것

6. 사용자 전환

7. 사용자 잠구기

8. chage 명령어

9. chpasswd 명령어

10. userdel

11. 사용자 그룹 가입

12. 그룹 확인 

13. su와 sudo

14. PAM

15. 그룹을 생성하고 지우는 명령어- groupadd, groupdel

16. 사용자의 정보를 알려주는 명령어  – finger, id, groups, 그리고 getent(=get entry) 

 

1.그룹보기

cat /etc/group

2. 그룹에 추가

usermod -G 그룹(root) -a centos1(사용자)

grep로 골라봤더니 root 그룹과 자기 자신 centos1 그룹에 가입되어 있다. 

 

** CentOS에서 %wheel 그룹은 /etc/sudoers 파일에 기록되어 있는 sudo 명령어를 사용할 수 있는 그룹이다. 
  Ubuntu에서는 /etc/sudoers에서 sudo 명령어를 사용할 수 있는 그룹이 %sudo 그룹이다.
=>sudo 명령어는 일반 사용자가 root로 전환하지 않고 일시적으로 (5분) root의 권한을 사용하게 해준다. 

 

3. root 권한

[root@localhost centos1] cat /etc/shadow

/etc/shadow 파일을 볼 수 있다.

 

4. 시스템 부팅 시 하는 작업
시스템 부팅 직전에 해야 할 작업은 /etc/rc.local 파일의 설정대로 실행되고
시스템 부팅 시 마운트될 저장장치는 /etc/fstab 파일의 설정대로 실행되며
시스템 부팅에 관한 설정은 /etc/grub(2).conf 파일의 설정대로 실행된다.
시스템 런레벨에 관한 설정은 /etc/inittab 파일의 설정대로 실행된다.

 

5. 사용자에 관한 것
사용자 생성 시 홈 디렉터리 위치, 사용 쉘 등 속성은 /etc/default/useradd 파일의 설정대로 생성되고,
사용자의 홈 디렉터리에 들어갈 내용은 /etc/skel 디렉터리의 설정대로 들어가며, 
사용자의 패스워드에 관한 사항은 /etc/login.defs 파일의 설정대로 생성된다.

 

사용자 확인은 /etc/passwd 파일 
사용자 패스워드 확인은 /etc/shadow 파일  
사용자 그룹 확인은 /etc/group 파일에서 하면 된다.

 

6. 사용자 전환

su - paul

su paul

su paul =>현재 디렉터리에서 사용자만 paul로 전환 
su - paul =>사용자를 paul로 전환하면서 해당 사용자의 홈 디렉터리로 전환한다.

  사용자 전환 시 root는 어느 사용자 A, B라도 패스워드 없이 전환할 수 있지만
  일반 사용자 A는 전환하고자 하는 일반 사용자 B의 패스워드를 알아야 전환할 수 있으므로 실제 전환은 불가하다!!!

 

그리고 일반 사용자 A는 일반 사용자 B, root는 말할 것도 없고 B 사용자의 홈 디렉터리를 볼 수 조차 없다!!!

 

7. 사용자 잠구기

passwd -l paul

패스워드를 잠궈서 안 들어가진다. 

루트로는 들어가진다. 

 

8. chage 명령어

  이 명령어는 사용자의 패스워드 만료 등에 관한 정보를 보거나 제한해서 사용자에게 패스워드에 관한 변경을 조치하게 한다. change가 아니므로 주의한다. 

-M ~ : 15일마다 패스워드 변경

-E ~ : ~ 일자로 패스워드가 만료 된다. 

 

9. chpasswd 명령어
  이 명령어는 이름과 달리 사용자의 패스워드를 변경하는 것이 아니라 여러 사용자와 패스워드를 한 번에 생성할 때 사용되는데 chpasswd --help 해보면 암호화도 NONE, DES, MD5, SHA256, SHA512 등이 있는 것을 볼 수 있다. 

[root@localhost centos1]# adduser test1 && adduser test2 && adduser test3
[root@localhost centos1]# chpasswd < user_pass.txt
[root@localhost centos1]# tail /etc/shadow

이렇게 유저를 추가하고 chpasswd에 미리 만들어둔 패스워드 파일을 추가하면 

test1:x:1002:1002::/home/test1:/bin/bash
test2:x:1003:1003::/home/test2:/bin/bash
test3:x:1004:1004::/home/test3:/bin/bash 이렇게 x를 통해 해시되었음을 됨을 확인할 수 있다.

test1:!!:19425:0:99999:7:::
test2:!!:19425:0:99999:7:::
test3:!!:19425:0:99999:7::: 그런데 !!로 해시되었다. 뭔가 이상...

 

10. userdel

  사용자를 삭제할 때에는 userdel을 사용한다. 
  -r 옵션을 쓰면 해당 사용자의 모든 정보가 삭제된다. 

test1 사용자 사라져 있음.. 빠이빠이

 

11. 사용자 그룹 가입

  사용자를 그룹에 가입시킬 때에는 
usermod        -G      가입시킬_그룹명          -a      사용자_명   하면 사용자가 해당 그룹에 가입된다. 
gpasswd                     가입시킬_그룹명       -a      사용자_명   해도 된다.
usermod -G root -a centos OR gpasswd root -a centos 하면 centos 사용자가 root 그룹에 가입된다.
usermod -g manager centos 하면 centos 사용자의 디폴트 centos 그룹에서 manager 그룹으로 바꾼다.

 

*** Windows와 Linux, Database(Role 에 설정)에서도 그룹은 
그룹 생성한 뒤
그룹에 권한을 주고
사용자들을 그룹에 넣으면 해당 사용자들은 그룹에 설정된 권한을 가질 수 있다.
=>이렇게 하면 사용자 하나하나에게 권한을 부여할 필요가 없다. 

12. 그룹 확인 

(1) id 사용자

(2) groups 사용자

(3) grep '사용자' /etc/group

 

13. su와 sudo

su는 사용자를 완전히 전환할 때 사용된다. 
=>전환될 사용자의 패스워드를 입력한다.

su -c '관리자적_명령어' 하고 root 패스워드를 입력해도 된다.

sudo는 일시적으로(디폴트 5분) root 권한의 명령어를 사용할 때 사용된다.
=>해당 사용자의 패스워드를 사용한다. 
=>/etc/sudoers 파일에 해당 사용자가 기록되어져 있어야 한다.
    또는 /etc/sudoers 파일의 %wheel 그룹에 멤버여도 된다.

 

cat /etc/sudoers 파일에

centos                ALL=(ALL)                    ALL
사용자    모든 호스트=(모든 그룹) 모든 명령어 를 사용하게 한다.

%wheel              ALL=(ALL)           NOPASSWD: ALL
wheel 그룹  모든 호스트=(모든 그룹) 패스워드 없이 모든 명령어 를 사용하게 한다

 

이렇게 sudoers 파일을 볼 수 없고 에러가 뜰 때

루트로 들어가서 작업해준다. 

wheel 그룹 주석도 지워줬다.

 

이제 일반 사용자 centos1으로도 shadow 파일을 열람할 수 있다. 

 

tim으로 shadow파일을 처음에는 볼 수 없었지만

wheel 그룹에 추가해주니까 가능해졌다. 

 

Ubuntu

sudo를 이용하니까 바로 shadow파일 열람이 가능하다! 

왜 가능하냐

sudo에 가입이 되어있다. 

 

  정리하면 CentOS나 Ubuntu 머신에서 sudo를 일반 사용자가 실행하려면 
∎ CentOS나 Ubuntu의 /etc/sudoers 파일에 직접 사용자를 지정해 주거나
∎ CentOS에서는 %wheel 그룹의 멤버가 되거나
∎ Ubuntu에서는 %sudo 그룹의 멤버가 되면 된다. 

 

14. PAM

PAM(Pluggable Authentication Module) 모듈로 su를 설정해보자. 
 PAM은 /etc/pam.d에 있는 모듈별 파일로 인증을 관리하는데 crond, login, passwd, reboot, remote, setup, sshd, su, sudo, xserver 등을 관리한다. 

사용자가 각 프로그램마다 인증을 받는 설정을 통해서 인증받는데 일관성, 같은 작업을 반복하는 피로감으로 인해서 PAM에서 일괄 설정하면 작업이 편리해진다. 
예를 들어서 /etc/crond 아래의 설정파일이나 
/etc/ssh/sshd_conf 설정파일에서 해당 모듈에 대한 사용자 인증을 설정할 수 있지만 이 /etc/pam.d/crond나 /etc/pam.d/sshd에서 인증을 설정해주면 작업 효율과 보안이 증진되고 설정 상 오류를 줄일 수 있다. 
중요한 것은 /etc/crond나 /etc/ssh/sshd_conf의 개별 설정파일에서의 설정보다 이 /etc/pam.d/의 PAM에서의 해당 모듈에 대한 설정이 시스템에 우선 적용된다.  

앞으로 su는 %wheel 그룹의 사용자만 된다. 

 

/etc/pam.d/su에서 
auth required pam_wheel.so use_uid 로 만들면
앞으로는 su 명령어는 %wheel 그룹의 사용자만 가능하다.
=>/etc/sudoers 파일에 개별 사용자를 기록했어도 su는 불가하다. 이유는 이 PAM에서의 설정이 우선하기 때문이다. 

 

지금 su를 사용할 수 있는 사용자는 tim 밖에 없다. 

root의 패스워드를 알아도 못 들어간다. 

 

15. 그룹을 생성하고 지우는 명령어- groupadd, groupdel

[root@localhost centos1]# groupadd userss
[root@localhost centos1]# groupdel userss

 

16. 사용자의 정보를 알려주는 명령어  – finger, id, groups, 그리고 getent(=get entry)  

사용자와 그룹에 관한 속성을 관리하는 – finger, id, groups, 그리고 getent(=get entry)  
  이들 명령어는 사용자의 정보를 알려준다.

fingerl, who, w, users로 누가 들어왔는지 볼 수 있다. 

 

 

 

루트로 센토스에 접속

근데 알 수가 없다. 

 

cat -n /var/log/secure

getent passwd

 

주석으로 시작하지 않는 

조회하는 기능