'id'에 해당되는 글 1건

  1. 2011.03.17 솔라리스 계정 aging 관련 ( expire 현상 )
2011. 3. 17. 11:19

솔라리스 계정 aging 관련 ( expire 현상 )

* 계정 expire 테스트 과정 
 
1. test 유저생성 후 최초 shadow 파일
useradd -d /user1/test -s /usr/bin/csh  -g users -m test

[root@localhost:/ ] cat /etc/shadow | grep test
test:*LK*:::::::

2. /etc/default/passwd 에서 
MAXWEEKS=
MINWEEKS=
을 

MAXWEEKS=1
MINWEEKS=1
으로 변경 

3. passwd test  로 test 의 암호변경

4. 이후 test 의 shadow 파일
[root@localhost:/ ] cat /etc/shadow | grep test
test:ElDAk3ozroP8M:15050:7:7::::

5. 이후에 다시 변경하더라도 shadow 파일은 바뀌지 않음.
[root@localhost:/ ] passwd test
New Password: 
Re-enter new Password: 
passwd: password successfully changed for test
[root@localhost:/ ] 
[root@localhost:/ ] cat /etc/shadow | grep test
test:DBbyTmnUecSwA:15050:7:7::::

6. 시스템날짜를 일주일 앞으로 변경하여 test 계정의 패스워드가 expire 되는 것을 확인


7.이후에 로그인시도시 
login: test
Password: 
Choose a new password.
New Password: 
telnet: The first 8 characters of the old and new passwords must differ by at least 3 positions.
Try again
( 여기서 기존의 패스워드와는 다른 패스워드를 넣어야 함 must differ 최소한 3군데 이상 틀린.)

Choose a new password.
New Password: 
Re-enter new Password: 
telnet: password successfully changed for test


8. shadow파일을 다음과 같이 변경
test:whbZLDLK7rnZY:15058:::::: 

이후 passwd test 로 다시 패스워드 설정

[root@localhost:/ ] cat /etc/shadow | grep test
test:e1kGSsbZPaj22:15058::::::


9. 다시 시스템날짜를 일주일 더 앞으로 설정후 aging 이 일어나는지 확인
[root@sgsrc2:/ ] date 04011100
Fri Apr  1 11:00:00 KST 2011

다시 패스워드 재설정을 물어봄.



--------------------------------
결론적으로 이야기하면 최초 aging 을 설정하는 것은 /etc/default/passwd 파일의
MAXWEEKS=
MINWEEKS=
이 두개 의 설정값이다. 

MINWEEKS 비밀번호를 바꾸지 못하는 일 수를 주 단위로 설정, /etc/shadow 파일에서는 하루 단위로 설정이 가능함
MAXWEEKS 비밀번호를 바꾸지 않고 현재 비밀번호를 사용할 수 있는 일 수를 주 단위로 설정, /etc/shadow 파일에서는 하루 단위로 설정이 가능함 

이것을 적용하고 나서 어느 계정이든 ( 심지어 root 까지 ) MINWEEK 에 설정된 시간이 지나게 되면 
해당 계정의 패스워드가 expire 되게 되고 
재로그인시 패스워드를 재설정하라는 메시지가 뜨게 됩니다.

하지만 위의 경우는 일반계정의 경우이며 root 패스워드가 expire 가 되었다고 나왓을 때에는 
로컬에서 접속하여 변경하여야 합니다.
즉 KVM 같은 것을 사용하여 로컬에서 GUI 를 통해서 root 로그인 시도를 하였을 때 
알람이 하나 뜨고 New password 를 물어볼 것입니다. 



이때 root 패스워드를 재설정하고 /etc/default/passwd 파일의 MAXWEEKS 와 MINWEEKS 를 값이 없도록 변경한 뒤에, 문제가 된 해당 계정의 /etc/shadow 파일의 4번째 5번째 필드를 지워줘야 한다

shadow 파일의 필드들은 콜론 (:) 으로 구분됩니다.. 콜론은 지우면 안됩니다.

추가적으로 아래는 shadow 파일의 필드 설명입니다. 

/etc/shadow 파일 형식

(1)test33:
(2)$1$U.6P.t/R$nE.fAQoQxSZi3CjdWHx.a/:
(3)14883:
(4)0:
(5)99999:
(6)7:
(7):
(8)14911:

(1):(2):(3):(4):(5)


passwd 파일과 마찬가지로 섀도우 파일도 ":" 콜론 문자로 각 항목을 구분하며 각각은 다음과 같다:

(1)사용자이름. 최대 8자. 대소문자를 구분하며 대개의 경우에는 소문자로만 구성된다. /etc/passwd 파일의 사용자이름과 짝을 이룬다.

(2)패스워드. 13 글자로 암호화 됨. 비어있는 경우 (즉, ::) 는 (보통은 좋은 방법이 아니지만) 로그인하는데 패스워드가 필요없다는 것을 나타내며, 

``*'' 라고 되어 있으면 (즉, :*:) 그 계정은 막아두었다는 것을 나타낸다.

(3)패스워드를 마지막으로 바꾼 날이 (1970년 1월 1일로부터) 며칠째의 날인지 나타내는 항목.

(4)최소 며칠이 지난 뒤에 패스워드를 바꿀 수 있는지를 나타내는 항목 (0이면 언제든지 바꿀 수 있다는 의미)

(5)패스워드를 반드시 바꿔야 하는 날로 부터 며칠이나 지났는지를 나타내는 항목 (99999 는 무지무지 오랫동안 패스워드를 바꾸지 않았다는 것을 나

타낸다)

(6)패스워드가 만기가 되었음을 며칠 동안 사용자에게 계속 주의를 줄 것인지 나타내는 항목 (1주일 동안 알려주려면 7)

(7)패스워드가 만기가 되어서 계정이 사용불가가 된지 며칠이나 되었는지 나타내는 항목

(8)계정이 사용불가가 된 것이 1970년 1월 1일부터 계산하여 며칠째였는지 나타내는 항목

(9)미래의 사용을 위해서 잡아둔 항목 



     
     
     
     
 

'솔라리스10' 카테고리의 다른 글

솔라리스 PKG 추가 / 제거  (0) 2011.06.18
솔라리스 10 NIC 의 speed / duplex 변경 방법  (0) 2010.06.23