프로그래밍 학습/보안 이론

[정보보안기사 필기] 서버보안 (인증과 접근통제, PAM)

승원이 2018. 3. 26. 17:29
728x90

ㅁ 계정과 패스워드 보호

ㅇ 계정정책 (Account Policies)

- 사용자의 ID에 대한 운영정책을 의미함. 소프트웨어나 사회적인 통제로 강제할 수 있다.

- 사용자 계정의 특성(패스워드 길이 및 조합, 유지기간) 제어

- 사용자 권한 정책(User Rights Policies)은 개별 사용자, 그룹 사용자들의 권한을 제어, 접근하려는 권한과 파일 백업등을 제어

- 감사정책(Audit Policies) : 시스템에 로그인, 로그오프, 파일과 개체의 접근을 감사


ㅇ 시스템보안감사 정책

다음 5가지의 감사 로그를 남김

- 시스템 : 사용자가 컴퓨터를 재시작, 종료 또는 이벤트 발생시 시스템 보안이나 보안로그에 영향을 미칠 때 

- 계정관리 : 사용자나 보안그룹이 생성, 변경, 삭제, 사용자 계정의 활성화, 비활성화, 암호설정 및 변경등

- 계정 로그온 : 사용자가 로그온, 로그오프를 시도하거나 로컬 사용자 계정으로 인증 받을 때 

- 개체 액세스 : 사용자가 파일, 폴더, 프린터, 레지스트리 키등의 개체를 액세스할 때

- 사용자 권한을 시행할 때 발생하는 로그 감사


ㅇ 시스템에서 사용하는 기본적인 접근통제방법

- 사용자 계정 생성 및 활용 : root계정이 아니면 프로그램 설치가 안되거나 설정파일 변경이 제한되어 악성코드 설치를 제한할 수 있다.

- 그룹은 여러 사용자를 동일한 작업권한을 가질 수 있는 하나의 그룹으로 해당 디렉토리별로 사용자 계정 권한을 부여하여 해당 디렉토리에 대한 사용권한만 가짐

- Windows에서 사용자 계정을 추가하면 일반 사용자 그룹인 Users 그룹에 자동으로 포함되는데 User 그룹은 프로그램을 실행할 가장 보안이 강한 환경을 제공한다. NTFS로 포맷된 볼륨에서는 이 그룹의 구성원이 운영 체제 및 설치된 프로그램의 무결성을 해칠 수 없도록 새로 설치된 시스템의 기본 보안 설정이 지정되어 있다.


Users 역할

1. 시스템 크기의 레지스트리 설정, 운영체제파일 또는 프로그램 파일을 수정할 수 없다.

2. 워크스테이션을 종료할 수는 있지만 서버는 종료할 수 없다.

3. 로컬 그룹을 만들수는 있지만 자신이 생성한 로컬그룹만 관리할 수 있다.

4. 관리자가 설치하거나 인증된 프로그램을 실행할 수 있다.

5. 그룹의 구성원은 자신의 모든 데이터(%userprofile%) 및 레지스트리에서 자신의 부분(HKEY_CURRENT_USER)을 완전하게 제어할 수 있다.

6. 그룹의 구성원은 다른 User 그룹에서 실행할 수 있는 프로그램은 설치할 수 없다. 이렇게하면 트로이목마 방지가능, 시스템 관리자가 다른 Users 그룹의 개인 데이터나 데스크톱 설정에 액세스할 수 없다.


ㅇ 계정 및 패스워드 보호정책

- 유닉스 계열 

계정관리 

- 그룹생성 및 그룹사용자생성 명령어(groupadd)로 계정 생성 후 chmod 명령어를 이용하여 허가권 설정

- set user id또는 set group id의 사용을 제한하여 root 권한의 사용을 제한

패스워드 관리

- /etc/passwd는 일반 사용자들도 접근하여 파일 내용을 볼 수 있기 때문에 패스워드가 암호화되어 있더라도 안심할 수 없다. 그래서 shadow 패스워드 시스템을 사용하는데 /etc/passwd의 패스워드 필드를 /etc/shadow라는 파일에 암호화하여 저장하고 root만이 읽을 수 있는 권한설정으로 패스워드를 보호

- 유추 가능한 단어를 피하고 조합형 문자열 또는 특수문자를 포함한 문자열로 패스워드 생성( 너무 당연해서 적을까 말까 고민...)


윈도우

계정관리

- Windows NT 및 2000은 syskey 명령으로 128bit 암호화하여 DB를 사용할 수 있다

패스워드 관리

- 유추 가능한 단어를 피하고 조합형 문자열 또는 특수문자를 포함한 문자열로 패스워드 생성


ㅇ PAM(Pluggable Aunthentication Modules) 방식

- 시스템 관리자가 응용프로그램들이 사용자를 인증하는 방법을 선택할 수 있도록 해주는 공유 라이브러리 묶음으로 PAM을 사용하는 응용프로그램을 재컴파일 하지 않고 인증 방법을 변경할 수 있다. 일반 적인 계정과 패스워드만을 이용한 인증 방식에다가 다양한 형태의 이능방식을 부가적으로 사용할 수 있다. 

- /etc/pam.conf 또는 /etc/pam.d/파일 에서 각 시스템에 맞게 설정을 하여 각 시스템에서 사용가능한 인증모듈을 통해 사용자의 인증 요구를 처리한다.