[RHCSA] 로컬 사용자 및 그룹 관리

프로세스 정보 확인

ps au : 프로세스 정보를 보려면 ps, 터미널에서 모든 프로세스를 보려면 a 옵션, 프로세스와 연관된 사용자를 보려면 u 옵션

username: password: UID: GID: GECOS: /home/dir: shell

username은 사람이 이해하기 쉽도록 UID를 이름으로 매핑한 것

password는 이전에 암호가 암호화된 형식으로 저장되어 있던 곳, 현재는 /etc/shadow라는별도의 파일에 저장

UID는 가장 기본적인 수준에서 사용자를 식별하는 번호인 사용자 ID

GID는 사용자의 기본 그룹 ID 번호

GECOS 필드는 일반적으로 사용자의 실제 이름을 포함한 임의의 텍스트

/home/dir은 사용자의 개인 데이터 및 설정 파일의 위치

shell은 사용자가 로그인하면 실행되는 프로그램입니다. 정규 사용자의 경우 이것은 일반적으로 사용자의 명령 프롬프트를 제공하는 프로그램

사용자 전환

su username 명령은 로그인이 아닌 쉘을 시작하고 su - username 명령은 로그인 쉘을 시작합니다.

su-는 원래 그 사용자로 로그인한 것처럼 쉘 환경을 설정하는 반면, su는 현재 환경 설정에서 그 사용자로서 쉘을 시작한다는 것이 주된 차이점입니다.

sudo를 사용하여 root로 명령 실행 : sudo를 사용하여 실행되는 모든 명령은 기본적으로 /var/log/secure에 기록

로컬 사용자 계정 관리

useradd는 사용자를 생성

useradd username은 옵션 없이 실행하는 경우 /etc/passwd의 모든 파일에 대한 합리적인 기본값을 설정

usermod는 기존 사용자를 수정

userdel은 사용자를 삭제

userdel username은 /etc/passwd에서 사용자를 제거하지만 기본적으로 홈 디렉토리는 그대로 유지

userdel -r username은 사용자와 사용자의 홈 디렉토리를 제거

passwd는 암호를 설정

passwd username을 사용하여 사용자의 초기 암호를 설정하거나 해당 사용자의 암호를 변경

로컬 그룹 계정 관리

groupadd는 그룹을 생성

옵션이 없는 groupadd groupname은 /etc/login.defs 파일에 지정된 범위에서 다음에 사용 가능한 GID를 사용

-g GID 옵션은 특정 GID를 지정하는 데 사용

ex) sudo groupadd -g 5000 ateam

-r 옵션은 /etc/login.defs 파일에 나열된 유효 시스템 GID 번호 범위에서 GID를 사용하여 시스템 그룹을 생성

groupmod는 기존 그룹을 수정

groupmod 명령은 그룹 이름과 GID 매핑을 변경하는 데 사용됩니다. -n 옵션은 새 이름을 지정하는 데 사용

-g 옵션은 새 GID를 지정하는 데 사용

ex) sudo groupmod -g 6000 ateam

groupdel은 그룹을 삭제

usermod는 그룹 구성원을 변경

사용자의 기본 그룹을 usermod -g groupname으로 변경

usermod -aG groupname username을 사용하여 사용자를 보조 그룹에 추가

ex) sudo usermod -aG wheel elvis

사용자 암호 관리

섀도 암호 및 암호 정책

최신 암호 해시에는 세 가지 정보가 저장됩니다.

$1$gCjLa2/Z$6Pu0EK0AzfCjxjv2hoLOB/

1. 1: 

해시 알고리즘. 숫자 1은 MD5 해시, 숫자 6은 SHA-512 해시

2. gCjLa2/Z:

해시를 암호화하는 데 사용되는 salt, 원래 임의로 선택됩니다. 

salt와 암호화되지 않은 암호가 결합하여 암호화되면 암호화된 암호 해시가 생성 

salt를 사용하면 같은 암호를 가진 두 사용자가 /etc/shadow 파일에 동일한 항목을 가질 수 없음.

3. 6Pu0EK0AzfCjxjv2hoLOB/: 

암호화된 해시.

/etc/shadow 형식

name: password: lastchange: minage: maxage: warning: inactive: expire: blank

로그인 이름. 시스템에서 유효한 계정 이름이어야 함.

암호화된 암호. 느낌표로 시작되는 암호 필드는 암호가 잠겼음을 의미.

마지막 암호 변경 날짜는 1970년 1월 1일 이후 경과된 날짜 수로 표현.

암호 변경 전의 최소 날짜 수. 0은 "최소 변경 요건"을 의미합니다.

암호 변경 전의 최대 날짜 수.

암호 만료를 알리는 경고 기간. 날짜 수로 표시되며, 여기서 0은 "경고 없음"을 의미

암호가 만료된 후 계정이 계속 활성 상태인 날짜 수. 날짜 수가 지난 후에는 계정이 잠겨 비활성 상태가 됨

계정 만료 날짜는 1970년 1월 1일 이후 경과된 날짜 수

빈 필드는 향후의 사용을 위해 예약

암호 속성 변경

chage -d 0 username은 다음 로그인 시 강제로 암호 업데이트를 실행

chage -l username을 수행하면 사용자의 현재 설정이 나열

chage -E YYYY-MM-DD username은 특정 날짜에 계정을 만료

액세스 제한

usermod 명령은 -L 옵션으로 계정을 "잠글" 수 있음

ex) sudo usermod -L elvis

요약

사용자 및 그룹

Linux 시스템에서 사용자 및 그룹의 역할을 나열하고 로컬 구성 파일을 살펴봅니다.

수퍼유저 액세스 권한 취득

수퍼유저로서 명령을 실행할 수 있도록 권한을 상승시킵니다.

로컬 사용자 계정 관리

명령줄 도구를 사용하여 로컬 사용자를 추가, 제거 및 수정합니다.

로컬 그룹 계정 관리

명령줄 도구로 로컬 그룹을 관리합니다.

사용자 암호 관리

사용자에 대한 암호 속성 변경 정책을 관리하고 계정을 수동으로 잠그거나 해제하고 만료합니다.