이메일을 적으시면 보안관련 소식을 받을수 있습니다.
이메일:
앞에서 우리는 리눅스상에서 암호가 passwd에 저장된다는 것과 shadow에 해시화 되서 저장된다는 것에 대해알아 보았습니다.


그리고 이러한 암호화가 결코 완벽하지만은 않다는 것에 대해서도 말씀을 드렸습니다. 아래 화면은 실제로 사용으로 쓰이는 도구를 이용하여 shadow에 해시암호화 된 문구를 해독한 결과입니다. 무료로 배포되고 있고 워낙 유명한 프로그램이니 따로 프로그램명은 말하지 않겠습니다.


군대를 다녀왔다면 익숙한 비밀번호가 위와같이 해독되어서 출력되는 것을 알 수 있습니다. 이처럼 리눅스에서의 암호에 대한 보안또한 안전하지 않은 것이 현실이고 그 해독 방법또한 너무나도 쉽게 해독이 되는 모습을 볼 수 있습니다. 겨우 4분이 채 되지도 않는 시간안에 암호가 해독이 되는 모습입니다. 

이러한 일이 쉽게 발생하지 않기 위해서는 최소한의 방어조치또한 필요할 것입니다. 위와 같은 경우에는 root계정으로 실행을 하긴 했습니다. 하지만 실제로 서버상에서 root의 권한을 얻기위해서는 많은 준비와 노력이 필요합니다. 그리고 위와같은 경우가 발생하는 이유는 shadow 파일의 기본 권한이 644로 설정되어 있어서 아무 계정으로 접근을 하여도 열람이 가능하기 때문입니다.


위와 같이 일반계정인 hyuk계정으로 로그인을 한 후에도 passwd와 shadow 파일에 접근이 가능한 것을 알 수있습니다. 이러한 접근을 막기 위하여 shadow에 관한 읽기권한을 600 즉 root계정만이 접근이 가능하도록 chmod명령어를 사용하여 변경해 주도록 합니다.


passwd에 대한 권한을 변경하고 일반계정으로는 접근이 안되는 것을 볼 수있습니다. shadow에도 같은 권한변경을 해주면 오직 root계정에서만 암호파일들에 대한 접근이 가능합니다. 또 간혹가다가 passwd 파일을 열람 했는데 호가 shadow상에 저장되어 있지 않고 해시알고리즘으로 적용되어서 바로 출력되는 경우가 있습니다.


현재는 제가 이러한 상황을 연출하기 위하여 pwunconv 명령어를 사용해서 passwd상에 존재하는 암호숨기기 기능을 해제한 경우입니다. 리눅스를 사용하던중 이러한 상황이 발생했을 경우 pwconv 명령어를 사용해서 다시 shadow상에서만 해시화된 암호에 접근이 가능하도록 수정해줍니다.


다시 옵션이 적용되어서 해시암호가 출력되지 않는 모습이 보입니다. 이전과 같이 파일에 관한 접근을 막아 놓았다면 pwunconv 를 적용해서 암호숨기기 기능을 해제하더라도 열람은 불가능 할것입니다. 그래도 불안한 분은 마찬가지로 아예 명령어의 실행권한을 지정해 버리는 방법도 있습니다. 일단 whereis 명령어로 명령어의 저장 경로를 찾아냅니다.


/usr/sbin/pwunconv 로 저자이 되어있고 권한은 755 인것을 알수있습니다. 이 권한을 다시 chmod 명령어를 사용해서 700으로 변경을 해주고 다시 hyuk 계정으로 로그인을 해서 실행해 보도록 하겠습니다.


명령어에 대한 권한이 변경되었기 때문에 hyuk계정에서는 이제 pwunconv 명령을 사용할 수 없게 됐습니다.
이와같이 권한 변경을 통해서도 많은 가능성을 사전에 어느정도 수준까지는 차단하는게 가능하다는 점을 알 수 있었습니다.

****************************************************************************************************

본 포스팅의 저작권은 보안인닷컴과 작성자에 있으며 상업적 이용을 배제하며 콘텐츠 이용시에는 반드시 출처와 링크를 이용해 주시기 바랍니다. 무단도용은 저작권법에 저촉을 받습니다..

****************************************************************************************************

Posted by 53PE
,