shadow 패스워드 시스템

1. shadow패스워드란?

/etc/passwd의 내용은 다음과 같은 퍼미션으로 설정되어 있기 때문에 수정은 못하지만 아무나 볼수는 있습니다. 이로인하여 보안문제가 심각히 대두될 수 있습니다.

특히 앞에서 보았던 Crack과 같은 툴로서 계정사용자들의 패스워드를 알아낼 수 있는데, shadow패스워드를 사용하게되면 /etc/passwd에 있는 패스워드부분을 /etc/shadow에 두고서 /etc/shadow를 root만이 읽을 수 있는 퍼미션(400)으로 설정해두게 됩니다.

2. shadow패스워드의 주된기능

그리고 shadow 패스워드가 제공해 주는 기능에 대해서 잠시 언급하면 다음과 같습니다.

• 실제로 암호화된 패스워드들을 일반 사용자는 보지 못하도록 /etc/shadow파일에 저장하게 된다.
   
• Encrypted group 패스워드들과 group administrator에 대한 정보를 대체되는 파일에 저장할 수 있다.
   
• 사용자의 패스워드의 최대 길이를 8자에서 16자로 늘여준다.
   
• 패스워드가 일정기간 경과하면 사용자로 하여금 패스워드를 바꾸도록 한다.

3. shadow패스워드를 사용하지 않는 패스워드파일(1개)

$ ls -l /etc/passwd

304 -rw-r--r--   1 root     system    301478 12월 3일 15:53 /etc/passwd

4. shadow패스워드를 사용하는 패스워드파일(2개)

원래 /etc/passwd 에 보관된 정보중 두 번째 필드의 내용인 패스워드만 따로 /etc/shadow에 보관을 하고 이 파일을 root만 볼수 있도록 퍼미션을 설정하게 됩니다. 예를 보면 다음과 같습니다.

[root@host /etc]# ls -l passwd

-rw-r--r--   1 root     root         1251 Nov 29 14:55 passwd

[root@host /etc]# ls -l shadow

-r--------   1 root     root         1319 Nov 29 14:55 shadow

퍼미션을 잘 살펴보기 바랍니다. 그리고  passwd파일의 내용과 shadow의 내용을 잠시 살펴보면 다음과 같습니다.

5. /etc/passwd의 일부내용

hongten:x:515:515::/home/hongten:/bin/bash

6. /etc/shadow의 일부내용

hongten:$1$uwZvLF9p$YTqg1bDFlo.vq0hMExA7s/:10917:0:99999:7:-1:-1:134538436

passwd의 내용중 패스워드 부분은 'x'로 되어 있습니다. 따라서 일반 사용자들은 사용자의 암호화된 패스워드를 볼수 없게 되어있습니다.

리눅스시스템의 경우에 shadow 패스워드로 변경하는 명령어와 다시 원래의 패스워드로 되돌리는 명령어는 다음과 같다.

7. 일반패스워드에서 shadow패스워드로 변경하기

$pwconv

이 명령어가 수행되고 나면 /etc/passwd의 내용중 두 번째 필드에 있는 암호화된 패스워드부분만이 /etc/shadow파일에 따로 저장되게 됩니다.

8. shadow패스워드에서 일반패스워드로 되돌리기

$pwunconv

이 명령어는 /etc/shadow파일에 보관되었던 패스워드를 다시 /etc/passwd파일에 저장하게 됩니다.