pwconv (shadow패스워드정책으로 변환한다.)

pwconv

리눅스 시스템에 패스워드정책을 shadow 패스워드정책을 적용하도록 하는 명령어이다.
이 명령어가 수행되면 /etc/passwd 파일의 두번째 필드에 있는 암호화된 패스워드를 모두 x로 표시하고 /etc/shadow의 두번째 필드에 저장하게 된다.

그리고 /etc/passwd파일을 일반사용자들이 그 내용을 볼 수 있었던 것과는 달리 /etc/shadow파일은 root만이 읽을 수 있도록 수정된다.

그리고 패스워드 사용문자수, 사용기간설정등을 할 수 있는 여러가지 shadow패스워드정책을 적용할 수 있다.

하지만 현재의 리눅스 서버들은 대부분 shadow패스워드 정책을 이미 적용하고 있으퓐?이 명령어는 현재의 리눅스 버전에서는 거의 필요하지 않는 명령어라고 할 수 있다.

그렇지만 서버관리자가 이 명령어를 알고 있는 것과 모르고 있는 것과는 차이가 있으므로 반드시 알아두기 바란다.

그리고 명령어와는 반대로 패스워드정책을 shadow패스워드정책에서 일반 패스워드정책으로 변경하는 명령어인 pwunconv도 반드시 알아두기 바란다.

참고로 pwconv, pwunconv, grpconv, grpunconv 명령어는 모두 함께 공부하는 것이 정확한 이해와 정확한 사용에 도움이 된다.

사용형식

 pwconv

사용예 #1

설명의 편의를 위하여 현재의 패스워드정책을 shadow패스워드정책이 아닌 일반패스워드정책인 것으로 간주한다.
 
다음은 /etc/passwd 파일의 내용중 계정사용자의 내용만을 나타낸 것이다.

[root@host3 root]# cat /etc/passwd | grep bible
bible:$1$QjZIa/cV$mZDco5PvYCAJ0P6dEYyLB0:500:500::/home/bible:/bin/bash
bible1:$1$BPf2iNv0$H21GcR.TH.S/l8ucmmqha.:502:502::/home/bible1:/bin/bash
bible2:$1$F3VdlZra$P3r6y5pT3rJaU81EP1ZNt/:503:503::/home/bible2:/bin/bash
bible3:$1$fhJpZ/5O$/.wl6.Vdrjc8VKtOdbYVF0:504:504::/home/bible3:/bin/bash
[root@host3 root]#

다음은 /etc/shadow파일의 내용중에서 계정사용자의 내용만을 보려고 한 것이지만 아래 결과와 같이 일반 패스워드정책에서는 /etc/shadow파일자체가 존재하지 않는다.

[root@host3 root]# cat /etc/shadow | grep bible
cat: /etc/shadow: 그런 파일이나 디렉토리가 없음
[root@host3 root]#

다음은 일반 패스워드정책을 shadow패스워드정책으로 변경하기 위하여 "pwconv"명령을 사용하였다.

[root@host3 root]# pwconv

그리고 다음과 같이 /etc/passwd, /etc/shadow의 존재여부와 퍼미션을 각각 확인하였다.

[root@host3 root]# ls -l /etc/passwd
-rw-r--r--    1 root     root         1856  9월 18 21:38 /etc/passwd
[root@host3 root]#
[root@host3 root]# ls -l /etc/shadow
-r--------    1 root     root         1295  9월 18 21:38 /etc/shadow
[root@host3 root]#

앞에서는 존재하지 않았던 /etc/shadow파일이 생성이 되었으며 퍼미션을 확인한 결과 root만이 읽을 수 있는 퍼미션을 가지고 있다.

그리고 shadow패스워드정책으로 변경한 뒤에 다음과 같이 /etc/passwd파일의 내용과 /etc/shadow의 내용을 확인한 것이다.

[root@host3 root]# cat /etc/passwd | grep bible
bible:x:500:500::/home/bible:/bin/bash
bible1:x:502:502::/home/bible1:/bin/bash
bible2:x:503:503::/home/bible2:/bin/bash
bible3:x:504:504::/home/bible3:/bin/bash
[root@host3 root]#      

[root@host3 root]# cat /etc/shadow | grep bible
bible:$1$QjZIa/cV$mZDco5PvYCAJ0P6dEYyLB0:12313:0:99999:7:::
bible1:$1$BPf2iNv0$H21GcR.TH.S/l8ucmmqha.:12313:0:99999:7:::
bible2:$1$F3VdlZra$P3r6y5pT3rJaU81EP1ZNt/:12313:0:99999:7:::
bible3:$1$fhJpZ/5O$/.wl6.Vdrjc8VKtOdbYVF0:12313:0:99999:7:::
[root@host3 root]#

위에서 확인할 수 있는 것은 /etc/passwd파일의 두번째 필드에 있던 암호화된 패스워드가 모두 x로 표시되었으며 /etc/shadow파일의 두번째 필드에 암호가 저장된 것을 알 수있다.
그리고 /etc/shadow파일의 각 행에는 패스워드의 aging정보등이 저장되어 있어 일반 패스워드정책보다는 shadow패스워드정책이 보안을 위해 훨씬 유리함을 알수가 있다.

저작권:수퍼유저코리아(www.superuser.co.kr), 무단 재배포및 복사를 금합니다.