♥신뢰할수 있는 뉴스만 전하는♥
Linux : 사용자 계정 관리 (2) 본문
사용자 계정 관리 ( 2 )
① # useradd [옵션] [계정명]
사용자 계정 추가 ★
→ 옵션
-c (Comment) 설명
-u UID
-g (주 그룹) GID
-G (보조 그룹) Group
-s Shell
+-----------------------------------------------------------------------------------------------+
<예제 1>
# useradd Maroon5-1 → 사용자 계정 추가
계정명 : Maroon5-1
암호 : 보이는 것은 x 이지만 /etc/shadow에 저장되어있습니다.
# cat /etc/login.defs
UID : 500
GID : 500
설명 : 없음
홈디렉토리 : /home/Maroon_5
# cat /etc/login.defs
# cat /etc/default/useradd
로그인 쉘 : bash
# cat /etc/default/useradd
※ # cat /etc/login.defs, # cat /etc/default/useradd를 통해 설정된 내용을 볼 수 있습니다.
<예제 2> skel★
/etc/skel 디렉터리에 파일 생성
사용자 계정 생성 시 홈디렉터리에 기본적으로 생성되는 파일들
기본으로 .bash_logout, .bash_profile, .bashrc가 숨김파일로 들어있습니다.
skel 모든 파일이 자동으로 복사가 됩니다.
+-----------------------------------------------------------------------------------------------+
② # useradd -D
사용자 추가 시 적용되는 기본값을 변경
→ # cat /etc/default/useradd 파일의 내용과 동일한 결과가 출력
+-----------------------------------------------------------------------------------------------+
※ 기본 값 변경하기
1. vi /etc/default/useradd → vi를 이용하여 기본값 변경
2. useradd -D → 명령어를 이용하여 기본값 변경
<예제 1>
기본 홈디렉토리 경로 변경
테스트 디렉토리를 먼저 생성해준 뒤,
-b (base) 기본 홈디렉토리 경로 변경을 해줍니다.
# useradd -D 으로 경로 변경을 확인해 줍니다.
HOME=/home -> HOME=/sub_home
<예제 2>
vi를 이용하여 기본 홈 디렉토리 경로 되돌리기
#vi /etc/default/useradd 이용하기
HOME=/sub_home ---> HOME=/home 로 수정
+-----------------------------------------------------------------------------------------------+
③ # usermod [옵션] [계정명]
사용자 계정 정보 수정
→ 옵션
-c 코멘트
-u UID
-g GID
-G GROUP
-s Shell
-l 사용자 계정명 변경
+-----------------------------------------------------------------------------------------------+
<예제 1>
Maroon_5 계정 수정하기
UID - 700 GID - 502 (이어야하는데 왜나는 502..)?
설명 - sugar
쉘 - /bin/sh
* "sugar"를 입력할 때 ""를 사용해야 하나의 인자로 받아들인다.
+-----------------------------------------------------------------------------------------------+
④ #userdel [계정명] & userdel -r [계정명]
계정 삭제
userdel -r은 /home 안에 있는 디렉터리까지 다 삭제됩니다.
⑤ #passwd
패스워드 설정
1) # passwd → 현재 로그인한 사용자의 패스워드 변경
2) # passwd [계정명] → 특정 계정의 패스워드를 변경할 때 사용 (root only)
→ 옵션
-l (lock) 패스워드 잠금
-u (unloch) 패스워드 잠금 해제
-d (delete) 패스워드 제거
※ 패스워드 정책
# cat /etc/login.defs 에서 확인할 수 있습니다.
- 비밀번호 최소 5글자
- 알파벳, 숫자, 특수문자가 각 한 개씩 포함되어야 한다.
- 사용자 ID가 포함될 수 없다.
- 등등
+-----------------------------------------------------------------------------------------------+
<예제 1>
# useradd AdamLevine → 테스트 용 계정 추가
# passwd AdamLevine → 암호 → 123
※ root계정은 패스워드 정책에 맞지 않더라도 비밀번호를 설정할 수 있습니다.
<예제 2>
AdamLevine-2 계정 추가 및 암호123으로 설정
<예제 3>
AdamLevine 계정으로 스위칭 후 AdamLevine-2 계정으로 스위칭
# su - AdamLevine -> AdamLevine 계정으로 스위칭
※ root계정은 스위칭 시 해당 계정의 패스워드 입력 과정이 없습니다.
But 일반 사용자 계정은 암호를 입력해야 로그인이 가능합니다.
<예제 4> passwd -d를 이용하여 AdamLevine-2 계정의 패스워드 삭제 한 후
su를 이용하여 AdamLevine 계정으로 스위칭 후 AdamLevine-2 계정으로 스위칭
비밀번호를 입력하지 않고 바로 AdamLevine-2계정으로 넘어갈 수 있습니다.
<예제 5>
AdamLevine을 잠금 설정하고 AdamLevine-2 계정에서 AdamLevine 계정으로 스위칭하기
AdamLevine-2 계정에서 AdamLevine으로 스위칭 시 패스워드를 입력해도 로그인 불가
+-----------------------------------------------------------------------------------------------+
⑥ su (Substitute User)
사용자 전환
su [계정명] 해당 계정으로 전환하나 환경 변수는 바꾸지 않음
su - [계정명] 해당 계정으로 전환하며 환경 변수 함께 변경
<예제 1>
su AdamLevine
홈 디렉터리가 root인 것을 확인할 수 있습니다.
프롬프트 변경한 것이 유지됩니다.
<예제 2>
su - AdamLevine
홈 디렉터리가 /home/AdamLevine로 되어있습니다.
프롬프트가 기본값으로 바뀌었습니다.
+-----------------------------------------------------------------------------------------------+
그룹 관련 명령어
① # groupadd [그룹명]
그룹추가
<예제 1> Maroon5그룹 추가 후 확인
※ Maroon5 그룹은 패스워드가 /etc/gshadow 파일에 저장되어 있고 GID는 503이며 해당 그룹에 속한 멤버는 없습니다.
② # groupmod -g [그룹명]
그룹 정보 수정
-g 그룹의 GID를 변경
<예제 1> Maroon5 그룹의 GID를 600으로 변경
③ # groupdel [그룹명]
그룹 삭제
<예제 1> Maroon5 그룹 삭제
+-----------------------------------------------------------------------------------------------+
<문제 1>
BLACKPINK 그룹에 계정을 생성하여 JISOO, JENNY, ROSE, RISA 계정들의 그룹들을
BLACKPINK에 소속되어있도록 설정하세요.
But 그룹의 GID와 사용자 계정의 GID가 다르다면 그 그룹은 사용자 계정의
기본 그룹/주 그룹이 아닙니다.!!
BLACKPINK GID는 502이지만 JISOO GID는 500입니다.
즉, JISOO의 기본 그룹은 BLACKPINK가 아닙니다.
+-----------------------------------------------------------------------------------------------+
④ # groups [계정명]
해당 계정을 대표하는 GID(주 그룹)와 소속되어있는 그룹(보조 그룹)을 보여줍니다.
→ 결과
[계정명] : [GID(주 그룹)][보조 그룹1][보조 그룹2][보조 그룹3] . . .
<예제 1>
※ 정리 ※
/etc/passwd : 사용자 기본 정보 파일 (계정명, UID, GID, 홈 디렉터리, 로그인 쉘 등)
/etc/shadow : 사용자 패스워드가 암호화되어 담기는 파일
/etc/group : 그룹 기본 정보 파일
/etc/gshadow : 그룹의 패스워드가 암호화 되어 저장되는 파일 (실제로 많이 사용하지는 않음)
★/etc/default/useradd : 사용자 계정 생성 시 기본 정보를 가지고 있는 파일
/etc/login.defs
: 시스템 사용자의 전체를 제한하기 위해 사용하는 설정 파일
패스워드 정책 설정 확인 및 vi로 변경을 할 수 있는 파일
/etc/skel : 사용자 계정 생성 시 홈 디렉터리에 기본적으로 생성되는 파일들
+-----------------------------------------------------------------------------------------------+
사용자 및 그룹 파일에 무결성 검사
1. 사용자 계정 관련 파일
# pwck (PassWord ChecK)
/etc/passwd, /etc/shadow 파일을 검사합니다.
- 필드의 설정 검사
- UID와 GID 설정 검사
- 기본 그룹의 존재 유무 검사
- 홈 디렉터리 존재 유무 검사
- 로그인 쉘 존재 유무 검사
- 패스워드가 없는 계정의 존재 유무 검사
<예제 1>
2. 그룹 계정 관련 파일
# grpck (GRoup Password ChecK)
/etc/group, /etc/gshadow 파일을 검사합니다.
- 필드의 설정 검사
- GID와 이름의 설정 검사
- 사용자와 관리자의 설정 검사
+-----------------------------------------------------------------------------------------------+
Shadow System
passwd 파일은 일반 사용자도 읽을 수 있는 파일이므로 보안상 문제가 생길 수이으므로
shadow파일에 암호를 저장하기 위한 방법입니다.
Shadow System 기능 [비활성화 / 활성화]
#pwunconv
Shadow System 기능을 비활성화
<예제 1>
패스워드가 passwd 파일에 노출됩니다.
shadow기능이 비활성화 되어있는 상태에서는 암호를 업데이트(변경)할 수없습니다.
#pwnconv
Shadow System 기능을 활성화
<예제 1>
shadow기능을 사용하여 x로 패스워드를 숨깁니다.