[System Security] 계정 및 패스워드 관리
계정과 패스워드는 사용자를 식별하기 위한 가장 기본적인 인증 수단
❶ 운영체제와 데이터 베이스 계정 관리
시스템을 구성하고 운영하는 운영체제에 대한 권한을 가진다는 것은 다른 응용 프로그램에 대해서도 어느 정도 권한을 가지는 것을 의미 → 응용 프로그램에 존재하는 기밀 정보 및 인증 정보 보호를 위해서는 응용 프로그램 암호화 필요
따라서 관리자 계정뿐만 아니라 일반 사용자 계정도 적절하게 제한해야 함.
1. WINDOWS 시스템의 계정 관리
administrator : 운영 체제에 대한 관리자 권한을 가진 계정으로 시스템에 가장 기본으로 설치되는 계정
관리자 그룹(administrarors)에 속하는 계정 확인
👩🏻💻 net localgroup administrators
모든 사용자 계정 확인
👩🏻💻 net user
시스템에 존재하는 그룹 목록을 확인
👩🏻💻 net localgroup
Windows Account
| Administrators | 대표적인 관리자 그룹으로 윈도우 시스템의 모든 권한을 가짐. 사용자 계정을 만들거나 없앨 수 있으며, 폴더와 프린터를 공유하는 명령 내릴 수 있음 |
| Power Users | Administrators 그룹이 가진 권한을 대부분 가지고 있지만, 로컬 컴퓨터에서만 관리할 능력을 가짐. 파워 유저는 해당 컴퓨터 밖의 네트워크에서는 일반 사용자로 존재 |
| Backup Operators | 윈도우 시스템에서 시스템 파일을 백업하는 권한을 가지고 있으며, 로컬 컴퓨터에 로그인하고 시스템을 종료할 수 있음 |
| Users | 대부분의 사용자가 속하는 그룹으로, 여기에 속한 사용자는 네트워크를 통해 서버나 다른 도메인 구성 요소에 로그인 할 수 있으며, 관리 계정에 비해서 한정된 권한을 가짐 |
| Guests | 윈도우 시스템에서 Users 그룹과 같은 권한을 가짐. 두 그룹 모두 네트워크를 통해서 서버에 로그인 할 수 있으며, 서버로의 로컬 로그인은 금지됨 |
2. UNIX/LINUX 시스템의 계정 관리
root : 기본 관리자 계정
/etc/passwd 파일에서 계정 목록 확인 가능
👩🏻💻 root : x : 0 : 0 : root : /root : /bin / bash- 사용자 계정
- 패스워드가 암호화되어 shadow 파일에 저장되어 있음을 명시
- 사용자 번호
- 그룹 번호
- 실제 이름. 시스템 설정에 영향이 없으며, 자신의 이름 입력 가능
- 사용자의 홈 폴더 설정.
- 위의 예에서는 관리자 계정이므로 홈 폴더가 /root
- 일반 사용자는 /home/user와 같이 /home 폴더 하위에 위치
- 사용자의 shell 정의로 기본 설정은 bash shell. 사용하는 shell을 이곳에 정의
/etc/group 파일에서 그룹 목록 확인 가능
👩🏻💻 root : x : 0 : root- 그룹 이름
- 여기서 root는 그룹을 의미
- 그룹에 대한 패스워드. 일반적으로는 사용하지 않음
- 그룹 번호
- 0은 root 그룹
- 해당 그룹에 속한 계정 목록
3. 데이터베이스 계정 관리
데이터베이스 종류에 따라 계정이 존재함
❶ 운영체제 계정과 동일한 경우
❷ 데이터베이스 계정만 별도로 생성되어 있는 경우
별도로 데이터베이스 계정이 생성되어 있는 경우,
운영체제 관리자 권한에 의해 DB 정보가 노출되거나 제어될 수 있으므로 계정관리에 특별히 주의
데이터베이스에 따른 관리자 계정
MS-SQL : sa(sustem administrator)
Oracle : sys, system
- system : 데이터베이스 생성 불가
- sys : 데이터베이스 생성 가능
Oracle은 Scott이라는 기본 계정이 존재하고, 솔루션을 설치하거나 테이블을 생성할 때 관련 계정이 자동으로 생성되는 경우가 일반적이기 때문
❷ 네트워크 장비와 응용 소프트웨어 계정 관리
네트워크 장비는 컴퓨터 시스템 간 통신을 위하여 회선의 연결, 패킷 전송 · 분배 · 필터링 등의 기능을 수행
네트워크 장비들은 인증을 통해 사용자 계정에 접속하고, 설정 등을 변경함으로써 네트워크를 관리
1.네트워크 장비의 계정 관리
네트워크 구정이 대규모인 경우에는 통합된 계정 관리를 위해 TACACS¹+(Terminal Access Controller Access Control System+)와 같은 Solution²을 적용하기도 함
TACACS+ 인증구조
RADIUS 인증 구조 : https://rin21-17.tistory.com/96
¹TACACS : 원격 접근 서버가 인증 서버에 사용자 로그인 패스워드를 보내는 유닉스 망에 공통된 인증 프로토콜. RFC 1492로 된 암호 프로토콜
²Solution : 소프트웨어 패키지나 응용 프로그램과 연계된 문제들을 처리해 주는 하드웨어나 소프트웨어. 컴퓨터 사용자가 하드웨어와 소프트웨어, 서비스, 응용 프로그램, 파일 형식, 회사, 상표명, 운영체제 등을 일일이 구분해야 하는 어려움을 겪지 않고도 원하는 해결책을 구할 때 사용한다.
2.응용 소프트웨어의 계정 관리
취약한 응용 프로그램을 통해 운영체제 접근해서 민감한 정보를 습득 → 운영체제 공격에 이용
e.g. TFTP(Trivial File Transfer Protocol)처럼 인증이 필요하지 않은 응용 프로그램은 더욱 주의가 필요
❸ 패스워드(암호) 관리
패스워드는 가장 기본적인 인증 방법. 패스워드는 적절한 강도를 가진 상태로 설정되어야 하고 정책에 따라 적절히 보호되어야 한다. 좋은 패스워드란 기억하기 쉽지만 크래킹하기는 어려운 패스워드를 말한다.
- 패스워드 설정 정책
- 길이와 복잡도 설정 → 길이 8자 이상, 숫자+특수문자+알파벳(대/소문자)
- 패스워드 변경 정책
- 일반적으로 60일 또는 90일 간격으로 패스워드를 변경
- 잘못된 패스워드 반복 입력 시, 크래킹 공격 또는 비인가자의 접근 시도로 판단 → 패스워드 입력 대기 또는 계정 비활성화
- 부적절한 패스워드
- 길이가 너무 짧거나 Null인 패스워드
- 키보드 자판의 일련 나열
- 사용자 계정 정보로 유추 가능한 단어
- 사전에 나오는 단어나 이들의 조합
2025.01.27