'pw'에 해당되는 글 1건
- 2011.03.17 솔라리스 계정 aging 관련 ( expire 현상 )
2011. 3. 17. 11:19
솔라리스 계정 aging 관련 ( expire 현상 )
2011. 3. 17. 11:19 in 솔라리스10
* 계정 expire 테스트 과정
1. test 유저생성 후 최초 shadow 파일
useradd -d /user1/test -s /usr/bin/csh -g users -m test
[root@localhost:/ ] cat /etc/shadow | grep test
test:*LK*:::::::
2. /etc/default/passwd 에서
MAXWEEKS=
MINWEEKS=
을
MAXWEEKS=1
MINWEEKS=1
으로 변경
3. passwd test 로 test 의 암호변경
4. 이후 test 의 shadow 파일
[root@localhost:/ ] cat /etc/shadow | grep test
test:ElDAk3ozroP8M:15050:7:7::::
5. 이후에 다시 변경하더라도 shadow 파일은 바뀌지 않음.
[root@localhost:/ ] passwd test
New Password:
Re-enter new Password:
passwd: password successfully changed for test
[root@localhost:/ ]
[root@localhost:/ ] cat /etc/shadow | grep test
test:DBbyTmnUecSwA:15050:7:7::::
6. 시스템날짜를 일주일 앞으로 변경하여 test 계정의 패스워드가 expire 되는 것을 확인
7.이후에 로그인시도시
login: test
Password:
Choose a new password.
New Password:
telnet: The first 8 characters of the old and new passwords must differ by at least 3 positions.
Try again
( 여기서 기존의 패스워드와는 다른 패스워드를 넣어야 함 must differ 최소한 3군데 이상 틀린.)
Choose a new password.
New Password:
Re-enter new Password:
telnet: password successfully changed for test
8. shadow파일을 다음과 같이 변경
test:whbZLDLK7rnZY:15058::::::
이후 passwd test 로 다시 패스워드 설정
[root@localhost:/ ] cat /etc/shadow | grep test
test:e1kGSsbZPaj22:15058::::::
9. 다시 시스템날짜를 일주일 더 앞으로 설정후 aging 이 일어나는지 확인
[root@sgsrc2:/ ] date 04011100
Fri Apr 1 11:00:00 KST 2011
다시 패스워드 재설정을 물어봄.
--------------------------------
결론적으로 이야기하면 최초 aging 을 설정하는 것은 /etc/default/passwd 파일의
MAXWEEKS=
MINWEEKS=
이 두개 의 설정값이다.
MINWEEKS 비밀번호를 바꾸지 못하는 일 수를 주 단위로 설정, /etc/shadow 파일에서는 하루 단위로 설정이 가능함
MAXWEEKS 비밀번호를 바꾸지 않고 현재 비밀번호를 사용할 수 있는 일 수를 주 단위로 설정, /etc/shadow 파일에서는 하루 단위로 설정이 가능함 이것을 적용하고 나서 어느 계정이든 ( 심지어 root 까지 ) MINWEEK 에 설정된 시간이 지나게 되면
해당 계정의 패스워드가 expire 되게 되고
재로그인시 패스워드를 재설정하라는 메시지가 뜨게 됩니다.
하지만 위의 경우는 일반계정의 경우이며 root 패스워드가 expire 가 되었다고 나왓을 때에는
로컬에서 접속하여 변경하여야 합니다.
즉 KVM 같은 것을 사용하여 로컬에서 GUI 를 통해서 root 로그인 시도를 하였을 때
알람이 하나 뜨고 New password 를 물어볼 것입니다.
이때 root 패스워드를 재설정하고 /etc/default/passwd 파일의 MAXWEEKS 와 MINWEEKS 를 값이 없도록 변경한 뒤에, 문제가 된 해당 계정의 /etc/shadow 파일의 4번째 5번째 필드를 지워줘야 한다
shadow 파일의 필드들은 콜론 (:) 으로 구분됩니다.. 콜론은 지우면 안됩니다.
추가적으로 아래는 shadow 파일의 필드 설명입니다.
/etc/shadow 파일 형식
(1)test33:
(2)$1$U.6P.t/R$nE.fAQoQxSZi3CjdWHx.a/:
(3)14883:
(4)0:
(5)99999:
(6)7:
(7):
(8)14911:
(1):(2):(3):(4):(5)
passwd 파일과 마찬가지로 섀도우 파일도 ":" 콜론 문자로 각 항목을 구분하며 각각은 다음과 같다:
(1)사용자이름. 최대 8자. 대소문자를 구분하며 대개의 경우에는 소문자로만 구성된다. /etc/passwd 파일의 사용자이름과 짝을 이룬다.
(2)패스워드. 13 글자로 암호화 됨. 비어있는 경우 (즉, ::) 는 (보통은 좋은 방법이 아니지만) 로그인하는데 패스워드가 필요없다는 것을 나타내며,
``*'' 라고 되어 있으면 (즉, :*:) 그 계정은 막아두었다는 것을 나타낸다.
(3)패스워드를 마지막으로 바꾼 날이 (1970년 1월 1일로부터) 며칠째의 날인지 나타내는 항목.
(4)최소 며칠이 지난 뒤에 패스워드를 바꿀 수 있는지를 나타내는 항목 (0이면 언제든지 바꿀 수 있다는 의미)
(5)패스워드를 반드시 바꿔야 하는 날로 부터 며칠이나 지났는지를 나타내는 항목 (99999 는 무지무지 오랫동안 패스워드를 바꾸지 않았다는 것을 나
타낸다)
(6)패스워드가 만기가 되었음을 며칠 동안 사용자에게 계속 주의를 줄 것인지 나타내는 항목 (1주일 동안 알려주려면 7)
(7)패스워드가 만기가 되어서 계정이 사용불가가 된지 며칠이나 되었는지 나타내는 항목
(8)계정이 사용불가가 된 것이 1970년 1월 1일부터 계산하여 며칠째였는지 나타내는 항목
'솔라리스10' 카테고리의 다른 글
솔라리스 PKG 추가 / 제거 (0) | 2011.06.18 |
---|---|
솔라리스 10 NIC 의 speed / duplex 변경 방법 (0) | 2010.06.23 |