3. 5 (월) 정리 Linux - 사용자 관리

Linux

모든 사용자은 등록 전에 그룹이 정해져 있어야 한다.

user 기반 그루핑 - 사람을 기준으로 그루핑
role 기반     "     - 권한을 기준으로 그루핑

○ 사용자 등록 정보

- /etc/passwd

 + 패스워드는 해시코드로 저장

  암호 - 원문으로 복호화 가능 (느림)

  해시 - 원문으로 복호화 할 수 있는 방법이 없음 (빠름)

- 사용자의 기본 등록 정보가 저장

- 사용자 패스워드의 경우 shadow password 사용

- useradd 명령을 이용 등록

- 사용자의 직접수정이 가능(추천하지 않는다)

# cat /etc/passwd

root:x:0:0:root:/root:/bin/bash

…………

계정:암호:UID:GID:주석:홈디렉토리:쉘

계정, 암호

UID - User ID Number

GID - Group ID Number

주석 - 아무거나 써도 됨

홈디렉토리 - 개인 디렉토리

쉘 - 사용자가 입력한 내용을 받아 시스템에 전달해주는 역할을 담당   (윈도우 - 명령어 해석기)

- /etc/shadow

# cat /etc/shadow

…………

ora9i:$1$EyiB87fi$VcYrH1VIxKKeqq9tq/:13443:0:99999:7:::

계정 : 암호 : 최종변경일 : 암호변경까지 남은날 : 암호 유효기간 :

암호 만료까지 경고기간 : 암호만료뒤 계정 폐쇠까지 기간 :

계정의 만료일 : 예비

○ pwconv(pwunconv) 명령을 이용 활성화(비활성화)

  -> 쉐도 파일을 활성/비활성

○ change명령을 이용 내용 수정

+쉐도파일 설명)

shadow 파일 활성화 시킨 상태가 기본 

- 패스워드를 shadow에 별도로 관리

비활성화 = passwd 파일에 패스워드도 같이 관리됨 

○ 그룹의 등록 정보

- /etc/group

- groupadd 명령을 이용 그룹 등록

# cat /etc/group

root:x:0:

…………

dba:x:1000:ora9i,ora10g,ora8i,root

x - 사용하지 않음

그룹명:암호:GID:소속 계정

• 계정은 여러 그룹에 속하고 기본 소속 그룹은 /etc/passwd 파일에 등록 된다.

○ groupadd

- 그룹 등록

 사용자를 등록하기 전에 반드시 사용자가 속할 그룹이 먼저 만들어져 있어야 한다. 

  (반드시!!! – 사용자 관리를 개판으로 하기 싫으면…)

# groupadd [-g [그룹번호]] [그룹명]

ex) # groupadd st -> 이렇게 사용하지 말 것!, 그룹번호 必

- 옵션

-g : 생성 그룹의 GID 번호를 지정한다.

• 할당하지 않으면 500 이상 중복되지 않은 값으로 GID가 자동으로 할당된다.

• GID번호는 식별자일 뿐 값 자체에는 의미가 없다.

-r : 499번 이하의 GID 번호를 자동으로 할당한다.

• 499번 이하의 GID는 시스템이 daemon이나 관리 목적으로 사용함으로 가능한 

사용하지 않는 것이 좋다.

-o : 중복된 GID 번호 할당이 가능하다.

• GID 가 같고 이름이 다른 그룹을 생성할 수 있다.

• 이름이 같고 GID가 다른 그룹은 생성 할 수 없다.

○ groupdel

- 그룹 삭제

그룹삭제는 반드시 그룹명을 이용한다.

# groupdel [그룹명]

ex)

# groupdel st

○ useradd (adduser)

계정 생성 -> 그룹이 지정되지 않은 유저는 만들지 않는다.

# useradd [옵션] [사용자명]

옵션

-u : uid지정

-g : gid나 그룹명지정 (default : 계정명)

-d : 홈디렉토리 지정 (default : /home/[계정명])

-G : 보조 그룹 지정

-D : 기본 설정 확인 및 변경

• 설정 옵션이 다르므로 주의한다.

-M : 메일 전용 계정 생성

- r : 499번 이하의 UID 자동 할당

○ userdel

계정 삭제

# userdel -r [사용자명]

옵션

-r : 계정에 귀속된 홈디렉토리와 mailbox등을 모두 삭제한다.

• 계정 삭제시 반드시 사용한다. -> 미사용시 패스워드 파일만 삭제함, 찌꺼기가 남음

-> 여기서 유닉스 시스템의 보안상의 문제 발견

-> 계정 정보 찌꺼기가 남아있는 경우, 찌꺼기의 UID와 같은 아이디로 새로운 계정을

생성한 경우 이전의 찌꺼기 정보를 사용이 가능하다.

○ passwd

사용자의 암호 변경

관리자는 다른 사용자의 암호를 임의로 변경 할 수 있다.

(단 다른 사용자의 암호를 확인 할 수는 없다??) // hash

# passwd [사용자계정]

# passwd

- 사용자 생성 과정

① /etc/default/useradd, /etc/login.defs

② /etc/passwd, /etc/group

③ 홈디렉토리 생성

④ /etc/skel/ 파일 복사

⑤ /var/mail/ 계정 파일 생성 - mailbox(사서함)

○ 개인 실습 예제

- 계획 개요

 1. 사용자 등록 정보 확인 (cat /etc/passwd) / (cat /etc/group)

 2. 사용자 그룹 2개 생성 (groupA-500/groupB-501)

 3. 사용자 계정은 4개 생성, A그룹에 1계정, B그룹에 3계정 생성

 4. UID는 A그룹은 501 ~ 600 / B그룹은 601 ~ 700 에서 할당

 5. B그룹에 두번째로 생성된 사용자 계정 삭제

 6. A그룹 삭제

-> 배정된 사용자가 있기 때문에 삭제 불가

-> 배정된 사용자를 모두 삭제해야 삭제 진행

 7. 모든 그룹 및 사용자 삭제

 ->모든 계정 및 그룹 삭제 완료

++추가 실습) 기존 계정 testU01을 -r 옵션 없이 삭제하고, UID가 같은 testhackU01을 만들어 기존 계정에서 만들어둔 파일 접근해보기.