탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: 보안 서비스 Oracle Solaris 11 Information Library (한국어) |
원격 로그인을 제한하고, 사용자에게 암호를 가지도록 요구하고, root 계정이 복잡한 암호를 가지도록 할 수 있습니다. 실패한 액세스 시도를 모니터하고 일시적으로 로그인을 사용 안함으로 설정할 수도 있습니다.
다음 작업 맵에서는 사용자 로그인을 모니터하고 사용자 로그인을 사용 안함으로 설정하는 절차에 대해 설명합니다.
|
root 암호를 변경할 때는 시스템의 모든 사용자에게 적용되는 암호 요구 사항을 준수해야 합니다.
시작하기 전에
root 역할을 가진 사용자여야 합니다.
# passwd root New Password: Re-enter new Password: passwd: password successfully changed for root
암호가 요구 사항을 준수하지 않을 경우 화면에 메시지가 인쇄됩니다. 메시지는 정보 제공용입니다. 세 번의 시도 후 명령을 다시 실행하여 암호를 변경해야 합니다.
passwd: Password too short - must be at least 6 characters. passwd: The password must contain at least 2 alphabetic character(s). passwd: The password must contain at least 1 numeric or special character(s).
시작하기 전에
root 역할을 가진 사용자여야 합니다.
# logins -x -l username
확장된 일련의 로그인 상태 정보를 표시합니다.
지정된 사용자에 대한 로그인 상태를 표시합니다. username 변수는 사용자의 로그인 이름입니다. 여러 로그인 이름은 쉼표로 구분됩니다.
logins 명령은 적절한 암호 데이터베이스를 사용하여 사용자의 로그인 상태를 가져옵니다. 데이터베이스는 로컬 /etc/passwd 파일 또는 이름 지정 서비스용 암호 데이터베이스일 수 있습니다. 자세한 내용은 logins(1M) 매뉴얼 페이지를 참조하십시오.
예 3-1 사용자의 로그인 상태 표시
다음 예에서는 사용자 jdoe에 대한 로그인 상태가 표시됩니다.
# logins -x -l jdoe jdoe 500 staff 10 Jaylee Jaye Doe /home/jdoe /bin/bash PS 010103 10 7 -1
사용자의 로그인 이름을 식별합니다.
사용자 ID(UID)를 식별합니다.
사용자의 기본 그룹을 식별합니다.
그룹 ID(GID)를 식별합니다.
설명을 식별합니다.
사용자의 홈 디렉토리를 식별합니다.
로그인 셸을 식별합니다.
다음과 같은 암호 에이징 정보를 지정합니다.
마지막으로 암호가 변경된 날짜
다음 번 변경까지 필요한 기간(일)
변경이 필요하기까지 남은 기간(일)
경고 기간
시작하기 전에
root 역할을 가진 사용자여야 합니다.
# logins -p
-p 옵션은 암호가 없는 사용자 목록을 표시합니다. logins 명령은 분산된 이름 지정 서비스가 nsswitch.conf 파일에 지정되지 않은 경우 로컬 시스템의 passwd 데이터베이스를 사용합니다.
예 3-2 암호가 없는 사용자 표시
다음 예에서는 사용자 pmorph에게 암호가 없습니다.
# logins -p pmorph 501 other 1 Polly Morph #
시스템 종료 또는 일반적인 유지 관리 중 일시적으로 사용자 로그인을 사용 안함으로 설정합니다. 수퍼유저 로그인은 영향을 받지 않습니다. 자세한 내용은 nologin(4) 매뉴얼 페이지를 참조하십시오.
시작하기 전에
root 역할을 가진 사용자여야 합니다.
# vi /etc/nologin
예 3-3 사용자 로그인을 사용 안함으로 설정
이 예에서는 사용자에게 시스템을 사용할 수 없는 것으로 통지됩니다.
# vi /etc/nologin (Add system message here) # cat /etc/nologin ***No logins permitted.*** ***The system will be unavailable until 12 noon.***
시스템을 실행 레벨 0(단일 사용자 모드)으로 전환하여 로그인을 사용 안함으로 설정할 수도 있습니다. 시스템을 단일 사용자 모드로 전환하는 방법은 x86 플랫폼에서 Oracle Solaris 부트 및 종료의 3 장, 시스템 종료(작업)를 참조하십시오.
이 절차에서는 터미널 창의 실패한 로그인 시도를 캡처합니다. 이 절차에서는 데스크탑 로그인 시도의 실패한 로그인을 캡처하지 않습니다.
시작하기 전에
root 역할을 가진 사용자여야 합니다.
# touch /var/adm/loginlog
# chmod 600 /var/adm/loginlog
# chgrp sys /var/adm/loginlog
예를 들어, 잘못된 암호로 시스템에 다섯 번 로그인합니다. 그런 다음 /var/adm/loginlog 파일을 표시합니다.
# more /var/adm/loginlog jdoe:/dev/pts/2:Tue Nov 4 10:21:10 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:21 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:30 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:40 2010 jdoe:/dev/pts/2:Tue Nov 4 10:21:49 2010 #
loginlog 파일에 실패한 시도마다 하나의 항목이 포함되어 있습니다. 각 항목에는 사용자의 로그인 이름, tty 장치 및 시도 실패 횟수가 들어 있습니다. 사용자의 시도 실패 횟수가 다섯 번 미만인 경우 실패한 시도가 기록되지 않습니다.
loginlog 파일이 커지면 컴퓨터 시스템에 침입하려는 시도가 있는 것일 수 있습니다. 따라서 정기적으로 이 파일의 내용을 확인하고 지우십시오. 자세한 내용은 loginlog(4) 매뉴얼 페이지를 참조하십시오.
이 절차에서는 실패한 모든 로그인 시도를 syslog 파일에 캡처합니다.
시작하기 전에
root 역할을 가진 사용자여야 합니다.
항목이 변경되도록 /etc/default/login 파일을 편집합니다. SYSLOG=YES의 주석 처리가 해제되어 있는지 확인합니다.
# grep SYSLOG /etc/default/login # SYSLOG determines whether the syslog(3) LOG_AUTH facility should be used SYSLOG=YES # The SYSLOG_FAILED_LOGINS variable is used to determine how many failed #SYSLOG_FAILED_LOGINS=5 SYSLOG_FAILED_LOGINS=0 #
# touch /var/adm/authlog
# chmod 600 /var/adm/authlog
# chgrp sys /var/adm/authlog
authlog 파일로 실패를 보냅니다.
예를 들어, 일반 사용자로 잘못된 암호를 사용하여 시스템에 로그인합니다. 그런 다음 수퍼유저로 /var/adm/authlog 파일을 표시합니다.
# more /var/adm/authlog Nov 4 14:46:11 example1 login: [ID 143248 auth.notice] Login failure on /dev/pts/8 from example2, stacey #
예 3-4 세 번의 로그인 실패 후 액세스 시도 기록
앞서 설명된 절차를 따르되, /etc/default/login 파일에서 SYSLOG_FAILED_LOGINS의 값을 3으로 설정합니다.
예 3-5 세 번의 로그인 실패 후 연결 해제
/etc/default/login 파일에서 RETRIES 항목의 주석 처리를 해제한 다음 RETRIES의 값을 3으로 설정합니다. 편집 내용이 즉시 적용됩니다. 한 세션에서 로그인을 세 번 재시도하면 시스템에서 연결을 해제합니다.