1. permission 설명

# ls -l

drwxr-xr-x 2 root root   4096 Feb 21 21:33 sampledir
-rw-r--r-- 1 root root 481280 Feb 21 21:36 sample.txt

첫번째 열의 10자리 중 2~10번째 자리가 해당 파일/디렉토리에 대한 권한을 의미하며,

rwxrwxrwx 으로 구성된다.(- 은 권한없음을 의미함)

• 초록색: user 가 가진 권한
• 파란색: group 가 가진 권한(group 에 속한 user 가 가진 권한)
• 주황색: other 사용자가 가진 권한(그 외 사용자)

rwx 문자는 파일이냐 디렉토리냐에 따라 아래와 같은 권한을 의미한다.

* 파일 프로그램을 실행하기 위해서는 read + execute 권한이 모두 있어야 함에 유의

2. permission 변경 명령어

2.1. symbol mode 로 지정하는 법

명령어: chmod {who}{action}{what} {대상파일/디렉토리}

• who
  • u: user
  • g: group
  • o: other
  • a: user + group + other
• action
  • +: 추가
  • -: 제거
  • =: 기존 권한을 무시하고 세팅
• what
  • r: 읽기
  • w: 쓰기
  • x: 실행하기

e.g.

# chomd ug+x sample.txt

=> sample.txt 파일에 대해 user, group 의 execute 권한을 추가한다.

# chmod u=rw-,g=r--,o=--- passwd

=> passwd 파일에 대해 user는 read, write를, group은 read를, other는 아무것도 하지 못하게 권한을 설정한다.

2.2. 8진수 모드로 지정하는 법

8진수 숫자로 권한을 세팅하는 방법도 있다.

각 권한을 8진수로 표현하면 아래와 같다.

각 권한을 더한 8진수 값의 합으로 permission set 을 표현한다.

e.g.

r-x: 4 + 1 = 5

rwx: 4 + 2 + 1 = 7

---: 0

이를 user, group, other 에게 각각 세팅하려면 아래와 같이 입력한다.

chmod {user permission set}{group permission set}{other permission set} {대상파일/디렉토리}

e.g.

# chmod 775 sample.txt

=> sample.txt 파일에 대해 rwxrwxr-x 권한을 세팅한다.

패스워드 관련 설정파일

1. /etc/passwd

# cut -d ":" -f 1,2 /etc/passwd

/etc/passwd 파일의 2번째 열 값이 encrypted password 를 의미하며, "x" 인 경우, 실제 encrypted password 는 /etc/shadow 파일에 저장되어있음

2. /etc/shadow

# cat /etc/shadow

test:$6$2i(...생략):20158:0:99999:7:10:20239:

• 2번째 열 값: encrypted password
  이 값에 "*", "!" 가 들어가는 경우는 로그인 불가 계정을 의미하며, 아래와 같다.
  • *: 시스템 계정
  • !: 잠긴 계정 또는 아직 패스워드를 설정하지 않은 계정
• 3번째 열 값: date of last password change
  패스워드가 마지막으로 수정된 날짜. 1970.01.01 기준으로 지난 일 수.
• 4번쨰 열 값: minimum password age
  수정된 패스워드를 사용해야하는 최소 일 수(기본값: /etc/login.defs 의 PASS_MIN_DAYS 값)
  즉, 3번째 열 값 + 4번째 열 값 날짜까지 수정된 패스워드를 사용해야 한다.
  passwd -n {일수} {유저명}
  으로 수정 가능
• 5번째 열 값: maximum password age
  수정된 패스워드를 사용할 수 있는 최대 일 수(기본값: /etc/login.defs 의 PASS_MAX_DAYS 값)
  즉, 3번째 열 값 + 5번째 열 값 날짜까지 수정된 패스워드를 사용할 수 있다.(273년으로 사실상 영구라고 봐도 됨)
  passwd -x {일수} {유저명}
  으로 수정 가능
• 6번째 열 값: password warning period
  패스워드 만료 경고를 알릴 일 수(기본값: /etc/login.defs 의 PASS_WARN_AGE 값)
  즉, 3번째 열 값 + 5번째 열 값 - 6번째 열 값 일 부터 경고를 띄운다.(maximum password age 에 도달하기 전 경고를 띄울 일 수)
  password -w {일수} {유저명}
  으로 수정 가능
• 7번째 열 값: passowrd inactivity period
  패스워드 만료일이 지난 후 계정이 비활성화 되기까지의 일 수(패스워드 변경을 하지 않을시)
  즉, 3번째 열 값 + 5번째 열 값 + 7번째 열 값 일 부터 계정이 비활성됨.
  (패스워드 만료일이 지나가면 로그인 시 강제로 패스워드를 수정하게 유도되는데, 계정이 비활성화되면 아예 로그인이 제한됨.)
• 8번째 열 값: account expiration date
  (패스워드 만료일과 관계 없는)계정 만료일
  useradd -e {YYYY-MM-DD} {유저명}
  으로 설정 가능
• 10번째 열 값: reserved field
  예약된 필드(빈값)

e.g.

# passwd -x 30 -w 5 -n 1 -i 10 test

=> test 계정에 대해 오늘을 기준으로 최소 1일, 최대 30일 후 까지 현재 패스워드를 사용할 수 있게 하되, 만료 5일 전 부터 경고를 띄우며, 만료일이 지나도 10일 동안 패스워드를 변경하지 않으면 계정을 비활성화한다.

3. /etc/login.defs

계정생성, 패스워드 할당시 default 로 적용되는 값

# cat /etc/login.defs

ENCRYPT_METHOD SHA512 # password 를 암호화 할 때 쓰인 알고리즘

PASS_MAX_DAYS 99999 # password 최대 유효 일 수(만료까지의 일 수)
PASS_MIN_DAYS 0 # password 최소 유지 일 수
PASS_WARN_AGE 7 # password 만료 전 경고를 띄울 일 수

UID_MIN  1000 # uid 최소값
UID_MAX 60000 # uid 최대값

GID_MIN  1000 # gid 최소값
GID_MAX 60000 # gid 최대값

USERGROUPS_ENAB yes # 유저계정 삭제시 primary group 도 값이 삭제할지 여부

ENCRYPT_METHOD 암호화 알고리즘 별로 encrypted password 의 시작하는 값이 아래와 같다.

• SHA256: $5$
• SHA512: $6$ 
• MD5: $1$

패스워드 관리 명령어

1. passwd

특정 계정에 패스워드를 할당하거나 패스워드 정책을 수정

Options:
  -d, --delete: 패스워드 삭제
  -e, --expire: 로그인할 때 새로운 패스워드를 설정하도록 유도. date of last password change 을 0 으로 세팅
  -i, --inactive {일수}: 패스워드 만료 후 계정 비활성화 유예 일 수 세팅
  -l, --lock: 패스워드 잠금(로그인 불가)
  -n, --mindays {일수}: 현재 패스워드 사용 최소 일 수 세팅
  -u, --unlock: 패스워드 잠금 해제
  -w, --warndays {일수}: 패스워드 만료 전 경고를 띄울 일 수 세팅
  -x, --maxdays {일수}: 현재 패스워드 사용 최대 일 수 세팅

2. chage

패스워드 만료 정책 수정

Options:
  -E, --expiredate {YYYY-MM-DD}: 계정 만료 일 세팅
  -I, --inactive {일수}: 패스워드 만료 후 계정 비활성화 유예 일 수 세팅
  -l, --list: 패스워드 만료 관련 정보 출력
  -m, --mindays {일수}: 현재 패스워드 사용 최소 일 수 세팅
  -M, --maxdays {일수}: 현재 패스워드 사용 최대 일 수 세팅
  -W, --warndays {일수}: 패스워드 만료 전 경고를 띄울 일 수 세팅

e.g.

# chage -M 90 -m 0 -W 7 -I 20 test

=> test 계정에 대해 오늘을 기준으로 최소 0일, 최대 90일 후 까지 현재 패스워드를 사용할 수 있게 하되, 만료 7일 전 부터 경고를 띄우며, 만료일이 지나도 20일 동안 패스워드를 변경하지 않으면 계정을 비활성화한다.

3. usermod

계정 정보 수정, 패스워드 만료 정책 수정

Options:
  -e, --expiredate {YYYY-MM-DD}: 계정 만료 일 세팅
  -f, --inactive {일수}: 패스워드 만료 후 계정 비활성화 유예 일 수 세팅
  -L, --lock: 패스워드 잠금(로그인 불가)
  -U, --unlock: 패스워드 잠금 해제

리눅스 배포판마다 조금씩 다르므로, 본 포스팅에서는 데비안 계열을 기본으로 합니다.(필요시 코멘트 달았음)

1. /etc/passwd 설명

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin

":" 을 구분자로 7개의 필드로 이루어져 있으며, 각 필드는 아래와 같은 데이터를 지님

{유저이름}:{암호화된패스워드}:{numeric uid}:{numeric gid}:{use name or comment}:{home directory}:{login shell}

• 암호화된패스워드: x 로 숨겨져있으며, 실제 값은 /etc/shadow 파일에 존재한다.
• numeric uid:
  • 0: root
  • 1~999: system account(데비안 계열인 경우)
  • 1000~60000: local user(사용자 계정)
  • 60000~65535: system account
• numeric gid: 기본적으로 user 마다 개인그룹이 생성되며, numeric uid 와 동일한 숫자를 가짐
• login shell: nologin 인 경우 시스템 계정으로, 로그인이 차단된 계정이다.

2. /etc/shadow 설명

root:*:20007:0:99999:7:::
daemon:*:20007:0:99999:7:::
bin:*:20007:0:99999:7:::

2번째 필드가 패스워드를 의미하며, *, ! 가 들어있는 경우는 login lock 걸린 유저임.(로그인 불가)

3. /etc/group 설명

root:x:0:
daemon:x:1:
bin:x:2:
sample:x:3:test1,test2,test3

":" 을 구분자로 4개의 필드로 이루어져 있으며, 각 필드는 아래와 같은 데이터를 지님

{그룹명}:{그룹패스워드}:{gid}:{본 그룹을 추가그룹으로 가지는 유저들}

4. 계정 추가

useradd[ options] {유저명}

자주 사용하는 옵션 설명

• -u: uid 지정
• -g: gid 지정. 지정하지 않으면 1000번부터 auto increment 로 uid 가 할당됨
• -c: 코멘트 작성
• -d: home directory 지정
• -e: 로그인 가능한 최대 날짜 지정
• -G: 추가그룹 지정. 여러개 지정시 "," 로 구분자 사용
• -m: home directory 자동 생성(레드헷 계열에서는 옵션을 지정하지 않아도 자동생성됨)
• -o: uid 중복가능하도록 함
• -p: 패스워드 지정. 지정 안할시 로그인 불가능 유저로 생성됨
• -r: 시스템 계정임을 명시
• -s: login shell 지정. 기본값 /bin/sh

5. 패스워드 지정

passwd {유저명}

패스워드를 지정하면 로그인 가능한 계정이 된다.

/etc/shadow 파일에 암호화된 패스워드가 추가된다.

6. 계정 정보 변경

usermod[ options] {유저명}

기본적으로 useradd 와 동일한 옵션을 가지며, 아래 옵션이 추가적으로 존재한다.

• -a: 추가그룹 추가(새로 지정이 아닌 추가임. -G 옵션과 항상 같이 쓴다.)
• -l: 유저명 수정
• -L: 계정 잠그기. /etc/shadow 의 패스워드 앞에 "!" 문자가 추가된다.
• -U: 계정 잠금 풀기

7. 계정 삭제

userdel[ options] {유저명}

• -r: 메일 사서함과 home directory 까지 지우기

8. 그룹 추가

groupadd[ options] {그룹명}

• -g: gid 지정

9. 그룹 변경

groupmod[ options] {그룹명}

• -g: gid 변경

10. 그룹 삭제

groupdel {그룹명}

추가그룹만 삭제 가능하며, 해당 그룹을 추가그룹으로 가지고 있던 계정에게서 해당 추가그룹이 삭제된다.