Transcript 파일 및 디렉토리 관리

AIX System Administrator 2
System Admin
보안
보안
이 단원의 학습을 통하여 다음 내용을 익히실 수 있습니다.
• 사용자와 그룹에 대한 정의와 이들을 시스템에 할당하는 방법과 그 시
점의 정의
• 시스템의 루트 액세스 관리 방법의 설명
• SUID, SGID, 그리고 SVTX 권한 비트에 대한 이해
• 사용자와 관련된 데이터 파일의 구분
• PCI의 추가적인 보안 기능에 대한 이해
순서
•
•
•
•
•
•
사용자와 그룹
루트 엑세스 관리
파일 및 디렉토리 권한
보안에 관련된 파일
PCI 추가 보안기능
단원 요약
이 주제에 관한 학습을 통하여, 다음과 같은 내용을 익히실 수 있습니다
– AIX 보안 개념의 이해
– 보안 그룹과 그 기능에 대한 설명
– 그룹과 사용자의 계층에 대한 설명
사용자와 그룹
시스템 보안
AIX 시스템의 보안은 유일한 이름과 사용자 ID(UID) 그리고 암호가
지정되는 사용자를 기본으로 합니다. 사용자가 로그인하면, 파일 액
세스에 대한 검증을 위해 UID를 사용합니다.
파일이 생성될 때, 파일을 생성하는 프로세스와 관련된 UID가 파일
에 지정됩니다. 루트 사용자만이 파일의 소유권을 변경할 수 있습니
다.
여러 파일에 대해 공유 액세스를 필요로 하는 사용자들은 그룹으로
둘 수 있습니다. 각각의 그룹은 유일한 이름과 그룹 ID(GID)를 갖습
니다. GID도 또한 파일이 생성될 때 지정됩니다.
루트 사용자 계정에 추가하여 sys, bin, 그리고 데몬을 포함한 여러
개의 사용자 계정이 자동으로 생성됩니다. 이들 계정은 반드시 특정
파일과 프로세스를 소유하도록 생성되었으며 로그인 목적으로는 사
용할 수 없습니다.
몇 가지 질문에 답한 다음, System 및 staff 그룹에 대해 살펴보십시
오.
사용자와 그룹
다음 중 사용자가 속할 수 있는 그룹의 최대 개수는?
•
•
•
•
1
8
16
32
sys, bin 그리고 데몬 사용자 계정에 관한 다음의 설명 중 옳은 것은?
•
•
•
•
특정 권한으로 로그인 한다.
몇 가지 시스템 파일과 프로세스를 소유한다.
몇몇 사용자들이 로그인 하지 못하도록 제한한다.
그룹과 사용자 ID를 지정한다
사용자와 그룹 4,2
system 및 staff 그룹
기본으로 생성되는 몇 개의 그룹이 있습니다. 예를 들어, system 그
룹은 루트 사용자에게 지정되어 있는 그룹이고, staff 그룹은 모든 일
반적인 사용자들에게 지정되어 있는 그룹입니다.
System 그룹은 관리자를 위한 것이고 staff 그룹은 모든 일반 사용자
를 위한 것입니다.
다른 그룹은 특정 시스템 기능을 허용하거나 또는 특정 파일의 소유
를 위해 존재합니다. 나머지 그룹은 루트 사용자에 의해 추가될 수
있습니다.
이러한 개념은 AIX의 보안 기능이 수행하는 기본입니다.
사용자와 그룹
그룹
시스템 관리자는 시스템 또는 네트워크의 사용자들을 조직화하고 차
별화하기 이해 그룹을 생성할 책임이 있습니다. 그룹을 만드는 지침
이 보안 정책의 일부가 되어야 합니다.
그룹은 가능한 한 폭 넓게 정의되어야 하고 보안 정책과 일치해야 합
니다. 데이터와 사용자 유형의 모든 조합에 대한 그룹의 정의는 처리
할 수 없는 상황을 초래할 수 있으므로 너무 많은 그룹을 정의하지
마십시오..
사용자와 그룹
그룹 작업의 기능
그룹 정의는 종종 조직적인 구분 대신 사용자 작업 기능을 따릅니다.
시스템의 일반적인 그룹은 adm, audit, system, printq, security 그
리고 staff 입니다.
adm
adm 그룹은 성능, cron 그리고 accounting과 같은 모니터링 기능을
주로 담당합니다.
audit
audit 그룹은 시스템 감사를 수행합니다.
system
system 그룹은 시스템과 표준 하드웨어를 구성하고 소프트웨어의
유지보수를 수행합니다.
사용자와 그룹
printq
printq 그룹은 큐잉을 관리합니다. 전형적인 명령어로 enable,
disable, qadm, 그리고 qpri가 있습니다.
security
security 그룹은 암호와 사용자 계정 문제를 처리합니다. 전형적인
명령어로는 mkuser, rmuser, pwdadm, chuser 그리고 chgroup가 있
습니다.
staff
staff 그룹은 모든 새로운 사용자에게 할당되는 기본 그룹입니다.
이는 /usr/lib/security/mkuser.defaults 파일에서 변경할 수 있습니
다.
바람직한 시스템 관리 작업으로 필요한 만큼의 그룹을 생성하는 것을
권고합니다.?
아니오
사용자와 그룹
다음의 파일 가운데 모든 새로운 사용자에게 지정되는 기본 그룹을 변
경할 수 있는 것은?
•
•
•
•
/usr/lib/security/mkuser.defaults
/etc/security/mkuser.defaults
/usr/lib/mkuser.defaults
/usr/lib/security/bin/mkuser.defaults
사용자와 그룹 1
사용자와 그룹
그룹 계층
그룹은 계층으로 정렬됩니다. 위 부분에 있는 그룹에 속한 임의의 사
용자는 특정한 시스템 관리 기능을 수행할 수 있습니다.
사용자는 자신의 그룹 집합에 있는 모든 그룹의 파일을 액세스합니
다. 그룹 집합을 보려면 groups 또는 setgroups 명령을 사용하십시
오. 사용자의 1차 그룹은 파일이 생성될 때 파일의 소유권으로 사용
됩니다.
1차 그룹은 로그인 시에 지정됩니다. 만약 임시적으로 1차 그룹을 변
경하고 싶으면 newgrp 명령을 사용할 수 있습니다.
사용자와 그룹
사용자와 그룹
사용자 계층
security 그룹의 일원이 사용자 계정을 관리할 수 있기 때문에, 중요
한 사용자와 그룹은 security 그룹의 사용자로부터 보호해야 합니다.
AIX는 사용자 계층에 대해 루트, adm 사용자/그룹, 그리고 일반 사
용자/그룹의 세가지 수준으로 구현된 메커니즘을 가지고 있습니다.
루트 사용자만이 adm 사용자와 adm 그룹을 추가, 삭제, 또는 변경할
수 있습니다.
시스템의 임의 사용자는 사용자가 속해있는 그룹에 상관없이 adm 사용
자로 정의될 수 있습니다. # cat /etc/security/user 명령은
/etc/security/user 파일의 내용을 보여줍니다.
관리작업을 하는 사용자는 특별한 권한을 갖지 않습니다. 시스템은
단순히 security 그룹의 일원이 계정을 관리하지 못하도록 제한합니
다
사용자와 그룹
다음 중 AIX에 구현되어 있는 사용자 계층의 세가지 수준은?
•
•
•
•
루트,
루트,
루트,
루트,
security 사용자/그룹, 그리고 admin 사용자/그룹
admin 사용자/그룹, 그리고 security 사용자/그룹
일반 사용자/그룹, 그리고 admin 사용자/그룹
admin 사용자/그룹, 그리고 일반 사용자/그룹
다음 중 그룹 집합을 볼 때 사용하는 명령어는?
•
•
•
•
chgrp
setusers
setgroups
답 없음
사용자와 그룹 4,3
주제에 관한 학습을 마쳤습니다. 이 주제에서는 다음과 같은 항목을 다
루었습니다. 다시 보려면, 원하는 항목을 클릭하십시오.
– AIX 보안 개념의 이해
– 보안 그룹과 그 기능에 대한 설명
– 그룹과 사용자의 계층에 대한 설명
사용자와 그룹
순서
•
•
•
•
•
•
사용자와 그룹
루트 엑세스 관리
파일 및 디렉토리 권한
보안에 관련된 파일
PCI 추가 보안기능
단원 요약
이 단원의 학습을 통하여 다음 내용을 익히실 수 있습니다.
– 루트 액세스의 관리
– su 명령의 사용
– 보안 로그의 검토와 관리
루트 엑세스 관리
루트 액세스의 관리
유닉스/AIX 세계에서 모든 사람이 알고 있는 유일한 사용자 계정은
루트입니다. 그러므로 임의의 사용자에 의한 시스템 액세스를 중지
하는 루트 암호 하나 뿐입니다.
임의의 사용자가 루트 계정에 액세스하는 것을 어렵게 만드는 것은
비교적 쉽습니다.
루트 엑세스 관리
•
•
•
•
권한이 있는 로그인 액세스를 제한.
주기적으로 루트 사용자의 암호를 변경
다른 시스템에는 다른 루트 암호를 설정
시스템 관리자는 항상 일반 사용자 계정으로 로그인 한 다음, su 명
령어를 사용하여 루트 계정으로 사용자를 전환해야 합니다. su- 또
는 switch user 명령은 sulog 파일에 의해 감사 추적을 제공합니다.
• 루트 사용자가 사용하는 PATH는 노출되어서는 안되므로, PATH 환
경변수 설정 시 루트 사용자에 의해 단독으로 관리되는 임의의 디렉
토리를 포함하지 않도록 하십시오. 다른 사용자가 루트 사용자의
PATH 항목에 있는 임의의 디렉토리에 파일을 추가할 수 있는 권한이
있을 경우, 시스템을 손상시킬 수 있는 잘못된 파일을 실수로 실행할
수도 있습니다
루트 엑세스 관리
발생 가능한 보안 결함
Sendmail 및 Faxmgr과 같은 대부분의 프로그램에는 문서화되어 있
지는 않지만 종종 잘 알려져 있는 소위 비밀통로(back door)가 있습
니다.
루트 계정을 보호하기 위한 모든 시도는 비밀통로가 닫혀 있지 않다
면 아무 소용이 없습니다.
su 명령에 대해 학습하기 전에, 다음 질문을 통해 복습하십시오
유닉스 시스템에 침입하는 유일한 방법은 루트 암호를 훔치는 것입니
다.?
예
루트 엑세스 관리
su 명령
루트 액세스를 제어하는 방법 중 하나는 시스템 관리자가 su 또는
switch user 명령을 사용하는 것입니다.
su 명령은 루트나 다른 사용자로 전환하기 위해 사용할 수 있습니다.
루트 사용자가 되려면 su 또는 su - 를 입력하십시오. Su 명령은 루
트를 기본 사용자로 만듭니다.
명령에 - 를 명시하면, 환경은 루트 또는 명시된 사용자로 변경됩니
다.
예를 들어,
su - team01
다음 명령은 환경을 사용자가 team01로 로그인한 것으로 설정합니
다.
루트 엑세스 관리
su 명령의 예
이 화면은 su 명령에서 - 옵션을 사용하지 않은 경우와 사용한 경우
의 차이를 보여줍니다.
- 옵션이 사용되지 않으면, 환경은 그대로 유지됩니다.
- 옵션이 사용되면 환경이 루트로 변경됩니다..
# su
# su -
루트 엑세스 관리
sulog 파일
사용자가 시스템을 액세스할 때 마다, 사용자에 대한 정보가 한 개
이상의 파일에 기록됩니다. 누가 시스템을 액세스 했고 또는 액세스
를 시도했는지 보기 위해 주기적으로 이러한 파일들을 검토하십시오.
su 명령이 실행되면, 다음의 내용이 /var/adm/sulog 파일에 기록됩
니다.
–
–
–
–
–
su 명령을 실행한 날짜와 시간
su 명령을 실행한 날짜와 시간
명령이 실행된 터미널
그 명령을 실행한 계정
사용자가 변경을 시도한 계정
# cat /var/adm/sulog
권한이 없는 사용자에 의한 다수의 시도는 사용자 계정을 이용해서 누
군가가 시스템에 침입하려 했음을 나타냅니다.
루트 엑세스 관리
다음 파일 중 모든 su 명령의 사용에 대한 항목을 포함하는 것은?
•
•
•
•
/etc/su.log
/var/adm/sulog
/var/adm/su.log
/su.log
보안 로그의 검토와 관리
사용자가 로그인에 성공하면, 로그인 프로그램은 모든 로그인의 기
록인 /var/adm/wtmp 파일과 현재 로그인되어 있는 사용자의 목록인
/etc/utmp에 씁니다.
이들 파일을 보려면 who 명령을 사용하십시오. 기본으로 who 명령
은 /etc/utmp를 찾습니다. 다른 파일을 보기 위해서는 who
/var/adm/wtmp를 입력하십시오.
# who /etc/utmp
루트 엑세스 관리 2
failedlogin 파일
/etc/security/failedlogin 파일에서 시스템에 로그인 하기 위한 반복
적인 시도를 발견할 수 있습니다.
who 명령을 사용하면 이 파일을 볼 수 있습니다.
이 파일의 내용에 대한 정기적 점검에 추가하여, 그 크기를 모니터링
하고 더 나아가 갑자기 크기가 증가하는지도 살피십시오.
마지막 질문을 통해 다시 한번 복습하십시오.
# who /etc/security/failedlogin
루트 엑세스 관리
기본으로 who 명령이 찾아보는 파일은?
•
•
•
•
/etc/security/failedlogin
/etc/wtmp
/etc/utmp
/var/adm/utmp
주제에 관한 학습을 마쳤습니다. 이 주제에서는 다음과 같은 항목을 다
루었습니다. 다시 보려면, 원하는 항목을 클릭하십시오.
– 루트 액세스의 관리
– su 명령의 사용
– 보안 로그의 검토와 관리
루트 엑세스 관리 3
순서
•
•
•
•
•
•
사용자와 그룹
루트 엑세스 관리
파일 및 디렉토리 권한
보안에 관련된 파일
PCI 추가 보안기능
단원 요약
• 이 단원의 학습을 통하여 다음 내용을 익히실 수 있습니다.
–
–
–
–
파일 및 디렉토리 권한의 정의
SUID, SGID, 그리고 SVTX 권한 비트의 사용을 설명
파일과 디렉토리에 대한 권한 변경 및 소유권 변경을 설명
umask 명령의 정의
파일 및 디렉토리 관리
파일 및 디렉토리 관리
파일 및 디렉토리의 권한
다양한 권한 비트가 파일 및 디렉토리와 연관되어 있습니다
표준 r (read: 읽기), w (write: 쓰기), 그리고 x(execute: 실행) 권한
은 사용자(소유자), 그룹, 그리고 다른 사용자들의 세 가지 수준의 액
세스를 정의합니다. 이외에도 숙지해야 할 추가적인 권한이 있습니
다.
파일 및 디렉토리 관리
파일 및 디렉토리 관리
SUID 권한 비트
심각한 보안 문제를 일으킬 수 있는 추가적인 권한 비트는 SUID(set
user ID) 입니다.
실행 가능한 파일에서 SUID는 파일이 실행될 때 프로세스가 해당 파
일 소유자의 UID로 실행됨을 의미합니다. SUID는 쉘 스크립트에서
는 지원되지 않으며 디렉토리에 대해서는 아무 의미가 없습니다.
SUID 프로그램은 AIX에 비밀통로를 만들 수 있기 때문에 SUID를 가
진 모든 프로그램의 현재 상태를 파악해야 합니다.
파일 및 디렉토리 관리
파일 및 디렉토리 관리
SGID 권한 비트
또 다른 추가적인 권한 비트는 SGID (set group ID)입니다. 실행 가
능한 파일에서 SGID는 파일이 실행될 때 프로세스가 해당 파일 그룹
소유자의 GID로 실행됨을 의미합니다.
디렉토리에서 SGID는 해당 디렉토리 안에서 생성된 파일 또는 디렉
토리가 사용자의 1차 그룹이 아닌 해당 디렉토리와 동일한 그룹 소유
권을 갖는다는 것을 의미합니다.
SGID 권한 비트는 디렉토리 구조를 따라 전달되어지므로 SGID를 가
진 어떤 디렉토리에서 생성된 디렉토리도 동일한 비트를 물려받습니
다.
파일 및 디렉토리 관리
파일 및 디렉토리 관리
SVTX의 권한 비트
추가적인 권한 비트의 마지막은 SVTX로 이는 stick bit 라고도 알려
져 있습니다.
디렉토리에서의 SVTX는 해당 디렉토리가 광범위한 쓰기 권한(/tmp
와 같이)을 가진다 하더라도, 사용자들은 자신들이 그 파일 또는 디
렉토리를 소유하지 않는다면 디렉토리에 있는 파일을 지울 수 없다
는 것을 의미합니다.
파일에 대해서 SVTX는 유닉스의 초기 버전에서 사용되었지만 AIX에
서는 의미가 없습니다.
전형적인 UNIX에서는 SVTX가 프로그램을 실행한 후에 메모리에 유
지시키는데 사용되었고, 따라서 sticky bit로 알려졌습니다. 현재의
메모리 관리 루틴은 이러한 기능을 필요로 하지 않습니다
파일 및 디렉토리 관리
파일 및 디렉토리 관리
권한 위치
이 그림은 ls 명령에 의해 보고되는 항목과 권한을 나타내는 9개의
위치를 보여줍니다.
세 번째, 여섯 번째, 그리고 아홉 번째 위치는 파일이 실행 권한이 있
는지의 여부를 나타냅니다. 이들 위치는 또한 SUID, SGID 그리고
SVTX 권한을 위해서도 사용됩니다.
소유자 권한에 대해 살펴보기 전에 몇 가지 질문을 통해 복습하십시
오..
다음 중 심각한 보안 문제를 일으킬 수 있는 추가적인 권한은?
•
•
•
•
SVTX 권한 비트
SUID 권한 비트
SUTX 권한 비트
SGID 권한 비트
파일 및 디렉토리 관리 2
다음의 항목 위치 가운데 특수 권한 비트를 나타내는 것은?
•
•
•
•
세
네
두
세
번째,
번째,
번째,
번째,
여섯
여섯
일곱
다섯
번째,
번째,
번째,
번째,
그리고
그리고
그리고
그리고
아홉
여덟
아홉
일곱
번째
번째
번째
번째
파일 및 디렉토리 관리 1
파일 및 디렉토리 관리
소유자 권한
특수 권한을 나타내는 몇 가지 특정 문자가 있습니다. SUID 권한을
나타내기 위해 세 번째 비트는 대문자 또는 소문자 s가 될 수 있습니
다.
세 번째 비트가 소문자 s 라면, 이것은 SUID 비트가 설정되어 있고
실행 권한 (x) 가 켜져 있다는 것을 나타냅니다. 대문자 S는 파일이
SUID가 설정되어 있지만 실행 권한이 없다는 것을 나타냅니다.
SGID 비트는 SUID 비트와 같이 여섯 번째 위치에 S 또는 s 로 나타
냅니다.
SVTX 비트는 아홉 번째 위치에 T 또는 t 로 나타냅니다.
파일 및 디렉토리 관리
권한 변경
파일 권한은 chmod 명령으로 변경합니다. 특수 플래그는
SUID/SGID/SVTX 비트를 설정하는데 사용될 수 있습니다.
권한은 기호 표기 또는 8진수 표기를 사용하여 설정할 수 있습니다.
이들 각 표기법에 대해 자세히 살펴보기 전에, 다음 질문에 답하십시
오.
권한 비트에 관한 다음의 설명 중 옳은 것은?
• 세 번째 권한 비트가
권한은 없다.
• 세 번째 권한 비트가
한은 있다.
• 세 번째 권한 비트가
한은 있다.
• 세 번째 권한 비트가
실행할 수 없다
소문자 s 라면, SUID가 설정된 것이지만 실행
대문자 s 라면, SUID가 설정된 것이고 실행 권
소문자 s 라면, SUID가 설정된 것이고 실행 권
대문자 s 라면, SUID가 설정되지 않았고 파일은
파일 및 디렉토리 관리 3
기호 표기의 사용
예를 들어, SVTX, SGID, 그리고 SUID 권한을 지정하기 위해 기호 표
기를 사용한다면 다음과 같은 명령을 수행할 수 있습니다.
chmod +t dir1
chmod g+s dir2
chmod u+s cmd
그 다음, 아래와 같이 변경된 것을 보기 위해 ls -l 명령을 수행합니다.
drwxrwx--t ... dir1
drwxr-S--- ... dir2
-rwSr-x--- ... cmd
명령과 그 결과가 화면에 나타납니다
파일 및 디렉토리 관리
8진 표기의 사용
rwxrwxrws 를 지정하기 위해 8진 표기로 777과 같은 세 개의 숫자를
사용하여 권한을 설정하는 것에 익숙할 것입니다. 실제로는 0으로 기
본 설정되는 또 다른 위치가 있어서 777은 실제로는 0777 입니다.
만약 SUID, SGID, 또는 SVTX 권한 비트를 설정하고 싶으면, 이 위치
가 0이 아닌 다른 값을 갖습니다. SUID는 4로 지정되어 있으며,
SGID는 2, SVTX는 1로 지정됩니다. 해당 권한을 사용하기 위해서
적절한 값을 사용하십시오.
예를 들면, 앞의 화면에서 실행했던 chmod 명령은 다음의 8진 표기
와 동일합니다.
chmod +t dir1 or chmod 1770 dir1
chmod g+s dir2 or chmod 2750 dir2
chmod u+s cmd or chmod 4750 cmd
chmod 1770 dir1 명령은 SVTX 비트를 설정하고, chmod 2750 dir2
명령은 SGID 비트를, 그리고 chmod 4750 cmd 명령은 SUID 비트를
설정합니다.
파일 및 디렉토리 관리
사용자 소유권 변경
파일의 소유자는 chown 명령으로 변경할 수 있습니다. chown 명령
의 형식은 다음과 같습니다.
# chown user filename ...
예를 들면, 다음과 같습니다.
, chown fred file1
참고: 루트 사용자만이 chown 명령을 실행할 수 있습니다.
그룹 소유권 변경에 대해 살펴보기 전에 다음 질문에 답하십시오..
다음 중 chmod 4777 명령에 의해 설정되는 권한 비트는?
• SGID
• SVTX
• SUID
• 위 모두 해당
파일 및 디렉토리 관리 3
그룹 소유권 변경
파일에 대한 그룹 소유권은 chgrp 명령으로 변경할 수 있습니다.
chgrp 명령의 형식은 다음과 같습니다.
# chgrp group filename ...
예를 들면, 다음과 같습니다.
, chgrp staff file1
소유자 또는 루트 사용자가 파일의 그룹 소유권을 변경할 수 있지만,
소유자만이 그룹을 자신의 그룹 set에 있는 다른 그룹으로 변경할 수
있습니다.
한 개의 명령으로 소유권과 그룹을 변경하는 형식은 다음과 같습니
다.
# chown user:group filename
예를 들면, 다음과 같습니다.
, chown fred:staff file1
파일 및 디렉토리 관리
umask 명령
umask 명령은 처음 생성되는 새로운 파일에 설정될 권한 비트를 명
시합니다. 이는 설정되지 않을 권한 비트를 명시한 8진수입니다.
파일이 처음 생성될 때 실행 권한은 설정되지 않습니다. 기본으로 모
든 파일은 -rw-rw-rw 권한을 부여 받습니다. 모든 디렉토리는
drwxrwxrwx 권한을 갖습니다. umask 값은 이 기본 값에서 뺀 값입
니다.
파일 및 디렉토리 관리
파일 및 디렉토리 관리
기본 umask 설정
umask의 기본 설정 값은 022 이지만, 보안의 강화를 위해 027을 권
고합니다
umask 027은 새로이 생성되는 파일의 권한을 rw-r----- 로 그리고
새로이 생성되는 디렉토리에 대해서는 rwxr-x--로 설정합니다
파일 및 디렉토리 관리
기본 umask 설정의 변경
모든 기본 사용자 권한을 유지하려면, umask의 첫번째 문자가 0 이
어야 합니다.
그룹에서 쓰기 권한을 없애려면, 다음 문자가 2 이어야 합니다
others에서 모든 권한을 없애려면, 다음 문자가 7 이어야 합니다
파일 및 디렉토리 관리
others에서 모든 권한을 없애려면, 다음 문자가 7 이어야 합니다
umask 027은 보다 안전한 파일 및 디렉토리 생성 비트를 만들기 위해
시스템 기본에서 뺀 것이다.
파일 및 디렉토리 관리
umask 명령은 처음 생성되는 새로운 파일에 설정되지 않는 권한 비트
를 명시합니다.
아니오
주제에 관한 학습을 마쳤습니다. 이 주제에서는 다음과 같은 항목을 다
루었습니다. 다시 보려면, 원하는 항목을 클릭하십시오.
–
–
–
–
파일 및 디렉토리 권한의 정의
SUID, SGID, 그리고 SVTX 권한 비트의 사용을 설명
파일과 디렉토리에 대한 권한 변경 및 소유권 변경을 설명
umask 명령의 정의
파일 및 디렉토리 관리
순서
•
•
•
•
•
•
사용자와 그룹
루트 엑세스 관리
파일 및 디렉토리 권한
보안에 관련된 파일
PCI 추가 보안기능
단원 요약
이 주제에 관한 학습을 통하여, 다음과 같은 내용을 익히실 수 있습니다.
–
–
–
–
보안 파일의 설명
그룹 파일의 설명
사용자 환경의 검증 방법을 설명
보안 정책 및 설정을 문서화 하는 지침의 열거
보안에 관련된 파일
보안 파일
시스템 보안은 여러 가지 ASCII 파일로 관리됩니다. 다음 두개의 파
일은 모든 사용자들이 읽기 액세스를 할 수 있습니다.
/etc/passwd 유효한 사용자, 사용자 ID, 1차 그룹, home 디렉토리,
그리고 기본 로그인 쉘의 목록
/etc/group 유효한 그룹, 그룹 ID, 그리고 구성원의 목록
보안에 관련된 파일
사용자의 속성을 관리하는 파일
여러 가지 다른 파일들이 사용자의 속성을 관리합니다. 이러한 파일
들은 /etc/security : 디렉토리에 있으며, 루트 사용자와 security 그
룹만이 액세스 할 수 있습니다.
/etc/security/passwd : 암호화된 암호와 사용자의 갱신된 정보를 포
함합니다.
/etc/security/user : 확장된 사용자의 속성을 포함합니다.
/etc/security/limits : 사용자에 대한 프로세스 자원의 한계를 포함합
니다.
/etc/security/login.cfg : 특정 포트에 로그인을 제한하는 향상된 보
안 기능을 포함합니다. 이는 로그인 프로그램에 대한 구성 파일입니
다.
/etc/security/group : 확장된 그룹 속성을 포함합니다.
이제 /etc/passwd 파일로 이동하기 전에 다음 질문을 통해 복습하십
시오
보안에 관련된 파일
다음 디렉토리 가운데 시스템 보안을 관리하는 ASCII 파일이 들어 있는
것은?
•
•
•
•
/var
/etc and /etc/security
/etc
/usr/bin and /etc
/etc/passwd 파일
/etc/passwd 파일은 시스템의 사용자와 그 몇 가지 속성을 보여줍니
다. ls와 같은 명령이 액세스하기 때문에 이 파일은 모든 사용자가 읽
을 수 있어야 합니다. 대부분의 사용자 속성은 이 파일에서 보안 디
렉토리(/etc/security)로 옮겨져 왔습니다
보안에 관련된 파일 2
다음은 이 파일에 포함되어 있는 항목들입니다.
사용자 이름 : 8개의 숫자를 포함한 문자를 허용합니다.
암호 : ! 는 /etc/security/password 파일에 있는 암호화된 암호를 뜻
하고 * 은 이 계정에 대한 유효한 암호가 없음을 의미합니다. 별표(*)
는 일반적으로 사용자 계정이 생성되고 암호가 설정되기 전에 나타
납니다. 이 항목에서 공백은 암호가 없다는 것을 의미합니다.
UID : 사용자 ID 번호
GID : 사용자가 속해 있는 1차 그룹의 ID 번호
보안에 관련된 파일
전체 이름 : 사용자 설명을 위한 임의의 텍스트
디렉토리 : 사용자의 로그인 디렉토리이며 $HOME 변수의 초기값
로그인 프로그램 : 사용자의 로그인 쉘이며 $SHELL 변수의 초기값
(/bin/ksh은 Korn 쉘입니다)
/etc/security/password 파일로 이동하기 전에 다음 질문을 통해 복
습하십시오
다음 중 /etc/passwd 파일의 필수요건은 무엇입니까?
• 완벽하게 보안이 되어 있고 루트에 의해서만 액세스 가능해야 합니
다.
• 임의의 사용자가 편집할 수 있도록 모든 사용자에 대해서 읽기와 쓰
기 권한이 있어야 합니다.
• ls 와 같은 명령이 액세스 하기 때문에 모든 사용자가 읽을 수 있어야
합니다.
• 암호를 사용할 수 있도록 루트에 의해 실행될 수 있어야 합니다
보안에 관련된 파일 3
/etc/security/passwd 파일
대부분의 사용자 속성은 /etc/passwd 파일로부터 옮겨졌습니다. 현
재 보안 속성은 /etc/security/passwd 파일에 들어 있습니다.
이 파일은 루트 사용자에 의해서만 액세스 될 수 있으며 login,
passwd, pwdadm , 그리고 pwdck 명령에 의해 갱신됩니다.
이 파일에 있는 내용은 암호와 그와 관련된 정보입니다. 이 정보는
각 사용자에 대한 스탠자와 함께 스탠자 형식으로 되어 있습니다
/etc/security/passwd 파일의 항목
이 파일의 항목은 password, lastupdate, 그리고 flags 입니다.
다음은 유효한 입력 항목입니다
password : 암호화된 암호로 또는 암호가 없는 경우에는 공백, 유효
하지 않은 암호에 대해서는 * (잠겨 있는 계정)으로 표시
lastupdate : 마지막으로 암호가 갱신된 날짜와 시간을 1970년 1월 1
일부터의 초로 나타낸 값
보안에 관련된 파일
Flags
ADMCHG : 암호가 관리자나 루트 사용자에 의해 마지막으로 변경되
었습니다. 다음에 사용자가 로그인하면, 시스템은 사용자가 암호를
변경하도록 합니다.
ADMIN : 이 사용자는 계정의 관리가 루트 사용자에게 제한되어 있는
관리 사용자입니다.
NOCHECK : 이 사용자에는 암호 제약이 적용되지 않습니다
/etc/security/user 파일
암호와 직접적으로 관련이 없는 대부분의 사용자 속성은
/etc/security/user 파일에 있습니다.
이 파일에는 사용자의 스탠자가 이 값에 우선하지 않는 경우 기본으
로 적용되는 스탠자 뿐만 아니라, 시스템상의 각각의 사용자에 대해
구성된 스탠자가 있습니다
보안에 관련된 파일
/etc/security/user 파일의 기본 스탠자 값
이 파일의 시작의 주석 부분에는 모든 값에 대한 자세한 정보가 들어
있습니다. 다음은 각각의 값에 관한 간략한 설명입니다.
admin : 사용자 관리 상태의 정의
login : 사용자의 로그인 가능 여부를 정의
su : 다른 사용자가 이 사용자 계정으로의 전환 가능 여부를 정의 (su
명령은 이 속성을 지원합니다.)
데몬 : 사용자가 cron 데몬 또는 SRC(System Resource Controller)
를 사용해서 프로그램을 실행시킬 수 있는지의 여부를 정의
보안에 관련된 파일
rlogin : 사용자 계정이 원격 로그인에 의해 액세스 될 수 있는지를 정
의 (rlogin 과 telnet 명령이 이 속성을 지원)
sugroups : 어느 그룹이 이 사용자 계정으로 전환 할 수 있는지를 정
의
admgroups : 사용자가 관리할 수 있는 그룹을 나열
tty: 어느 터미널이 사용자 계정을 액세스 할 수 있는지를 정의
auth1 : 사용자에 대한 1차 인증 방법의 정의로 기본 암호 프로그램
으로 설정 (login, telnet, rlogin, 그리고 su 명령이 이러한 인증 방법
을 지원)
auth2 : 사용자에 대한 2차 인증 방법의 정의
tpath : 사용자에 대한 신뢰 경로(trusted path) 특성의 정의
umask : 사용자에 대한 기본 umask
expires : 사용자 계정에 대한 만료시간의 정의
보안에 관련된 파일
/etc/security/user 파일의 기본 스탠자 값
보안 파일의 두 번째 부분으로 암호 이력, 암호 길이, 그리고 허용된
문자와 같은 로그인 제어를 보여줍니다. 기본 스탠자에 대한 변경은
사용자의 스탠자가 이 값에 우선하지 않는 다면 시스템의 모든 사용
자 계정에 적용됩니다.
SYSTEM : 인증 요건의 정의
logintimes : 사용자가 당일 로그인 가능한 횟수를 정의
pwdwarntime : 사용자에게 강제적인 암호 변경 경고를 하기까지의
일수를 정의
보안에 관련된 파일
account_locked : 사용자의 잠금 여부를 정의
loginretries : 유효하지 않은 로그인의 허용 개수를 정의
histexpire : 몇 주간 사용자가 암호를 재사용 할 수 없는지를 정의
histsize : 재사용할 수 없는 이전의 암호의 개수를 정의
minage : 최소한 몇 주만에 암호를 변경해야 하는지를 정의
maxage : 최대한 몇 주동안 암호가 유효한지를 정의
masexpired: 만료된 암호가 사용자에 의해 변경될 수 있는 maxage
이후의 최대 주일의 개수를 정의
minalpha : 암호에 들어갈 알파벳의 최소한의 개수를 정의
minother : 암호에 들어갈 알파벳이 아닌 문자의 최소한의 개수를 정
의
minlen : 암호에 들어갈 최소한의 문자 개수를 정의
보안에 관련된 파일
mindiff : 새로운 암호에 들어갈 기존 암호에 없는 최소 문자의 개수
를 정의
maxrepeats : 특정 문자가 암호에 사용될 수 있는 횟수를 정의
dictionlist : 새로운 암호를 점검하기 위해 사용되는 암호사전을 정의
pwdchecks : 외부적인 암호 제한 방법을 정의
그룹 파일에 대해 학습하기 전에 다음 질문을 통해 다시 한번 복습하
십시오..
/etc/security/user 파일은 무슨 정보를 가지고 있습니까?
•
•
•
•
암호와 로그인 제어와 관련되지 않은 추가적인 사용자 속성
암호와 관련되지 추가적인 사용자 속성
/etc/passwd 파일에 없는 사용자의 이름
관리 특권을 가진 사용자의 이름
보안에 관련된 파일 1
그룹 파일
그룹 파일은 사용자 파일과 같이 읽기가 가능한 파일(/etc/group)과
보다 보안적인 파일(/etc/secutiry/group)의 두 가지로 나눕니다.
/etc/group 파일에 있는 항목은 다음과 같습니다.
group : 알파벳과 숫자의 조합으로 이루어진 문자를 8개 까지 허용
password : AIX 버전 5에서는 사용되지 않으며 ! 를 포함
GID : 그룹 ID
member : 해당 그룹에 속하는 사용자 목록을 쉼표(,)로 분리
보안에 관련된 파일
/etc/security/group 파일
이 파일은 각 그룹에 대한 스탠자 파일입니다. 유효한 항목은 다음과
같습니다.
admin : 관리 그룹 여부를 정의
adms : 그룹의 관리자인 사용자 목록을 쉼표(,)로 분리. admin=true
이면, 루트 사용자만이 관리 그룹을 변경할 수 있기 때문에 이 스탠
자는 무시됩니다.
보안에 관련된 파일
/etc/security/login.cfg 파일
보안을 위해, 로그인 프롬프트에 사용중인 기계의 유형 또는 회사명
을 나타나지 말아야 합니다. 이러한 정보는 해커가 시스템에 침입하
는 단서를 제공하기 때문입니다.
herald: getty 또는 로그인 이름을 위한 로그인 프롬프트를 출력하는
초기 메시지로, 이 값은 로그인 포트에 쓰여지는 문자열입니다.
herald가 명시되어 있지 않으면, 기본 herald는 /etc/environment의
언어 세트와 연관된 메시지 카탈로그에서 검색됩니다.
logintimes : 사용자가 로그인을 위해 하루에 해당 포트를 사용할 수
있는 횟수 입니다.
• login-disable : 해당 포트가 잠그기 전에 허용 가능한 실패한 로그인
시도 횟수를 정의합니다. logininterval과 함께 사용합니다.
• login-interval : logindisable에 정의되어 있는 대로 포트를 잠그기
위해 로그인 시도가 실패한 시간을 초로 정의합니다
보안에 관련된 파일
• login-re-enable : 포트가 잠긴 다음 자동으로 잠금이 풀리게 되는
시간을 분으로 정의합니다.
• login-delay : 로그인 시도 실패 후 지연 시간을 초로 정의합니다. 지
연 시간은 시도의 횟수의 배수입니다. 예를 들어, 만약 값이 2이면 첫
번째 시도 실패 후에는 2초간 지연이 되며 두 번째 시도 실패 후에는
4초간 지연됩니다
/etc/group 파일의 password 항목은 사용자 암호를 포함합니다. ?
아니오
보안에 관련된 파일
사용자 환경의 검증
보안 정보는 다수의 파일에 걸쳐져 있습니다. AIX에서는 WSM을 사
용하기 보다 전통적인 유닉스 관리 방법을 사용하게 되면, 이러한 파
일들은 동기화가 될 수 없습니다. 이 파일들은 pwdck, usrck, 그리고
grpck 명령으로 점검할 수 있습니다.
다음은 이들 명령어와 함께 사용될 수 있는 옵션입니다.
-n 오류를 보고하지만 수정하지는 않습니다.
-p 오류를 수정하지만 보고는 하지 않습니다.
-t 오류를 보고하고 수정 여부를 물어 봅니다.
-y 오류를 수정하고 보고합니다.
보안에 관련된 파일
pwdck, usrck, 그리고 grpck 명령
pwdck 명령은 /etc/passwd 와 /etc/security/passwd 파일이 서로
일관성이 있는지, 그리고 /etc/security/login.cfg 와
/etc/security/user 파일과도 일관성이 있는지 검증합니다. pwdck
명령의 형식은 다음과 같습니다.
# pwdck {-n|-p|-t|-y} {ALL | username}
• usrck 명령은 /etc/passwd, /etc/security/user, /etc/security/limits
그리고 /etc/security/passwd에 있는 각각의 사용자 이름을 점검합
니다. 또한 각 그룹이 /etc/group 와 /etc/security/group에 항목을
갖는지 확인하기 위해 점검합니다.
# usrck {-n|-p|-t|-y} {ALL | username}
• grpck 명령은 /etc/group, /etc/security/group, /etc/passwd, 그리
고 /etc/security/user 파일이 일관성이 있는지를 검증합니다. 명령
의 형식은 다음과 같습니다.
# grpck {-n|-p|-t|-y} {ALL | username}
보안에 관련된 파일
다음의 명령 가운데 보안 관련 파일들의 일관성을 검증하는 것은?
•
•
•
•
passwd 와 pwdadm 명령
pwdchk, passwd, 그리고 userck 명령
pwdck, grpck, 그리고 passwd 명령
pwdck, usrck, 그리고 grpck 명령
AIX 보안의 제약사항
보안에 대한 중요한 고려사항은 AIX 자체의 보안기능은 단지 시스템
과 파일, 그리고 디렉토리에 대한 액세스만을 제어한다는 것입니다.
일단 데이터베이스 관리자가 응용 프로그램에 있다면, 특정 데이터
들에 대해서는 추가적인 액세스 제어를 해야 합니다.
이러한 기능은 AIX에 의해 제공되지 않습니다
다음 질문을 통해 다시 한번 복습하십시오
보안에 관련된 파일 4
다음 중 바람직한 보안 습관이 될 수 없는 것은?
• 작업의 유형에 따른 그룹의 설정
• 그룹 구조와 함께 데이터 소유권을 설정
• 그룹 간의 읽기-쓰기 권한을 설정
• 공유 디렉토리에 SVTX를 설정
보안에 관련된 파일 3
• 주제에 관한 학습을 마쳤습니다. 이 주제에서는 다음과 같은 항목을
다루었습니다. 다시 보려면, 원하는 항목을 클릭하십시오
–
–
–
–
보안 파일의 설명
그룹 파일의 설명
사용자 환경의 검증 방법을 설명
보안 정책 및 설정을 문서화 하는 지침의 열거
보안에 관련된 파일
순서
•
•
•
•
•
•
사용자와 그룹
루트 엑세스 관리
파일 및 디렉토리 권한
보안에 관련된 파일
PCI 추가 보안기능
단원 요약
• 이 주제에 관한 학습을 통하여, 다음과 같은 내용을 익히실 수 있습
니다.
– PCI RS/6000에서의 추가적인 보안 기능의 열거
– Power-on 및 supervisory 암호의 설정
추가적인 보안 기능
PCI RS/6000은 추가적인 보안 기능을 가지고 있습니다. 이러한 보
안 기능을 구성하게 되면 시스템을 어떠한 종류의 침입으로부터도
완벽하게 보호할 수 있습니다.이러한 기능은 사용자가 시스템을 단
일 사용자용 모드로 전원을 켜는 것 뿐만 아니라 시스템 관리 서비스
(SMS)에 대한 액세스도 제한합니다.
이러한 추가적인 두 가지 보안 기능이 Power-on 암호와
Supervisory 암호입니다. Power-on 암호는 인증되지 않은 사용자가
시동 과정을 완료하는 것을 방지합니다.
PCI 추가 보안기능
Power-on 암호
Power-on 암호를 설정하려면, 먼저 시스템을 종료하고 재시동해야
합니다. 일단 재시동 과정이 시작되면, F1 키를 누르십시오..
세 개의 아이콘을 가진 시스템 관리 서비스(SMS: System Management
Services) 화면이 나타납니다. 다음 화면으로 이동하기 위해 Utilities
아이콘을 선택하십시오.
이 화면에서 password 아이콘을 선택하면, 암호 설정을 위한 다양한 옵
션이 들어 있는 다음 화면으로 이동하게 됩니다. Power-on 암호를
설정하려면 power-on 아이콘을 클릭하고, supervisory 암호를 설정
하려면 supervisory 아이콘을 선택하십시오
power-on 및 supervisory 암호 설정에는 최대 8자의 숫자를 포함한 문
자의 조합을 사용할 수 있습니다.
power-on 암호를 잊어버리면, 덮개를 열어 배터리를 최소한 30초 동안
제거해야 합니다. 그리고 나서 시스템을 재시동하고, 단계에 따라
power-on 과 supervisory 암호를 초기화할 수 있습니다
PCI 추가 보안기능
추가적인 보안 기능은 사용자가 시스템을 다중 사용자 모드로 전원을
켜는 것을 제한합니다. ?
아니오
power-on 암호와 supervisory 암호를 설정하려면, 다음 중 어느 단계
에 따라 수행해야 합니까?
• F6키를 눌러 시스템을 유지보수 모드로 재시동
• 시스템을 종료하고, 재시동하고 F1 키를 누름
• 부팅 가능한 미디어를 사용하여 시스템을 재시동하고, 유지보수 모
드로 시작
• 시스템을 단일 사용자 모드로 재시동하고 F1 키를 누름
PCI 추가 보안기능 2
supervisory 암호
supervisory 암호는 시스템 관리 서비스를 위해 프롬프트되고 사용
됩니다. 이는 루트 사용자가 아닌 일반 사용자들이 시스템을 단일 사
용자 모드로 시작하는 것을 제한합니다.
power-on 암호와 같이 supervisory 암호를 설정하기 전에 시스템
전원을 끄고 다시 켜야 합니다.
power-on 암호와 supervisory 암호의 주요한 차이점은 power-on
암호를 설정하려면 시스템을 단일 사용자 모드로 시동해야 하지만,
supervisory 암호 설정을 위해서는 단일 사용자 모드로 시동할 필요
가 없다는 것입니다.
power-on 암호를 설정하려면 시스템 관리 서비스 시작 메뉴에서
password 아이콘을 선택해야 합니다.?
아니오
PCI 추가 보안기능
• 주제에 관한 학습을 마쳤습니다. 이 주제에서는 다음과 같은 항목을
다루었습니다. 다시 보려면, 원하는 항목을 클릭하십시오.
– PCI RS/6000에서의 추가적인 보안 기능의 열거
– Power-on 및 supervisory 암호의 설정
PCI 추가 보안기능
순서
•
•
•
•
•
•
사용자와 그룹
루트 엑세스 관리
파일 및 디렉토리 권한
보안에 관련된 파일
PCI 추가 보안기능
단원 요약
단원의 학습을 마쳤습니다. 이 단원에서는 다음과 같은 항목을 다루었
습니다. 다시 보려면, 원하는 항목을 클릭하십시오.
– 사용자와 그룹에 대한 정의와 이들을 시스템에 할당하는 방법과 그 시점
의 정의
– 시스템의 루트 액세스 관리 방법의 설명
– SUID, SGID, 그리고 SVTX 권한 비트에 대한 이해
– 사용자와 관련된 데이터 파일의 구분
– PCI의 추가적인 보안 기능에 대한 이해
보안에 대한 평가를 시작합니다. 이 평가에는 21개의 질문이 있습니다.
답을 선택하면 다음 화면이 자동으로 나타납니다.
도중에 종료하면, 종료한 부분에서 다시 시작 할 수 없습니다. 평가
를 모두 마치면, 시험 결과가 백분율로 나타납니다. 이 평가를 통과
하려면 75점이 넘어야 합니다.
요약
다음 중 파일의 UID에 관한 설명으로 옳은 것은?
• 루트 사용자의 UID가 파일에 지정됩니다.
• 파일을 생성한 프로세스의 UID가 파일에 지정됩니다.
• 파일을 생성하는 사용자의 UID가 파일에 지정됩니다.
• 위 모두 해당
각각의 그룹을 해당 작업 기능과 연결하십시오.
• adm
A. 시스템 감사
• system
B. 성능, accounting 그리고 cron 모니터링
• security
C. 소프트웨어 유지보수뿐만 아니라 시스템과
기본적인 하드웨어 구성
• audit
D. 암호와 사용자 계정 관리
요약
사용자가 team01 사용자로 로그인 하였고 그룹 staff에 속해 있습니다.
만약 testing 그룹에 속해 있는 파일들을 편집하고 싶으면 다음 중 어
떤 조치를 취해야 합니까?
• 시스템 관리자에게 사용자의 그룹을 system 으로 변경해 줄 것을 요
청하여, 파일을 편집하고 시스템 관리자에게 그룹을 다시 staff 로 변
경해 줄 것을 요청
• 그룹을 security 로 변경하고 파일을 편집하고, 그룹을 다시 staff 로
변경
• newgrp 명령을 사용하여 임시적으로 사용자의 그룹을 testing으로
변경하고 파일을 편집한 다음 그룹을 다시 staff 로 변경
• 루트를 액세스 하기 위해 su 명령을 실행하고 파일을 편집한 다음 루
트 계정을 종료
요약
사용자를 admin 사용자로 지정하면 어떤 일이 가능하게 됩니까?
•
•
•
•
security 그룹의 일원은 사용자 계정을 관리할 수 있습니다.
누구든지 사용자 계정을 관리할 수 있습니다.
사용자가 루트 사용자 계정을 관리할 수 있습니다.
security 그룹의 구성원은 사용자 계정을 관리할 수 없습니다
다음 내용 가운데 루트 사용자 계정의 보안을 최대화하기 위해 권고되
는 것은?
• 루트 암호를 매일 변경
• 시스템 관리자가 일반 사용자로 로그인 하고 su 명령으로 루트 로 사
용자 전환
• $HOME 변수에는 루트 사용자에 의해 제어되지 않는 임의의 디렉토
리는 포함하지 않음
• 특권 로그인에 대한 접근을 제어
요약
다음 중 su -명령의 결과는?
•
•
•
•
사용자를 루트로 전환
사용자 이름이 명시되지 않았으므로 사용자에 변화가 없음
사용자를 루트 로 변경하고 환경을 루트 환경으로 설정
sulog 파일에 항목 추가
다음 내용 중 옳은 것은?
•
•
•
•
/etc/wtmp 파일은 모든 로그인의 기록
/etc/utmp 파일은 모든 사용자의 기록
/etc/utmp 파일은 현재 로그인 되어 있는 모든 사용자의 목록
/etc/utmp 와 /var/adm/wtmp 파일은 which 명령으로 볼 수 있음
요약
SVTX 권한 비트가 디렉토리에 설정되어 있을 때, 다음 중 옳은 것은?
• 임의의 사용자가 임의의 파일을 생성, 편집, 그리고 삭제 가능
• security 그룹에 속한 사용자 만이 파일을 생성, 편집, 그리고 삭제
가능
• 루트가 모든 파일을 소유
• 사용자가 그 파일을 소유하지 않았다면 디렉토리에 있는 파일을 삭
제 불가
SUID 권한 비트가 실행 가능한 파일에 설정되어 있을 때, 다음 중 옳은
것은?
•
•
•
•
파일이
파일이
파일이
파일의
실행될
실행될
실행될
소유자
때, 프로세스가 super 사용자의 UID로 실행
때, 프로세스가 파일 소유자의 UID로 실행
때, su 명령이 사용자 ID를 파일의 소유자로 전환
외에는 아무도 그 파일을 실행할 수 없음
요약
다음의 권한 중 chmod g+s 명령에 의해 설정되는 것은 어느 것입니까?
•
•
•
•
SGID
SUID
SVTX
답 없음
다음 중 한 명령어로 소유권과 그룹을 변경하는 형식은 무엇입니까?
•
•
•
•
chown group:user file
chown user:group file
chown user file; chgrp group file
답 없음
요약
umask 027이 권장되는 이유는 무엇입니까?
•
•
•
•
others의 액세스 권한을 제거
others와 그룹의 액세스 권한을 제거
그룹과 staff의 액세스 권한을 제거
모든 권한을 제거
/etc/security/limits 파일은 어떤 정보를 포함합니까?
•
•
•
•
사용자에 대한 프로세스 자원의 제한
시스템의 사용자 수에 대한 제한
시스템의 그룹 수에 대한 제한
모든 사용자에 대해 파일의 크기 제한
요약
다음 중 ADMCHG 항목이 특정 사용자에게 의미하는 것은 무엇입니까?
•
•
•
•
암호가 관리자나 루트에 의해 마지막으로 변경
다음 로그인 시에 사용자가 암호를 변경해야 함.
사용자에게 관리 특권이 부여됨
답 없음
다음의 변수들을 그 변수에 대한 정의나 관리하는 속성과 연결하십시오.
•
•
•
•
auth1
minlen
daemon
histsize
A. 재사용할 수 없는 이전의 암호의 개수를 정의
B. 암호에 들어갈 알파벳 문자의 최소 개수를 정의
C. 암호에 들어갈 최소한의 문자 길이를 정의.
D. 사용자가 cron 또는 SRC를 사용해서 프로그램을 실
행할 수 있는지를 정의
• minalpha
E. 사용자에 대한 1차 인증 방법을 정의
요약
다음의 내용 중 /etc/security/group에 관한 것으로 옳은 것은?
• admin 항목은 그룹이 관리 그룹인지의 여부를 나타내고, adms 항목
은 이 그룹이 다른 어느 그룹을 관리하는지를 명시
• admin 항목은 다른 그룹이 이 그룹을 관리할 수 있는지의 여부를 나
타내고, adms 항목은 이 그룹이 관리 그룹인지를 명시
• admin 항목은 그룹이 관리 그룹인지의 여부를 나타내고, adms 항목
은 이 그룹에 대한 관리자인 사용자의 목록을 포함
• 답 없음
usrck 명령에 대한 다음의 설명 중 옳은 것은?
• 모든 사용자 관련 파일에 있는 사용자에 대해 모든 사용자 정의와 일
관성이 있는지를 점검
• /etc/password, /etc/security/passwd, /etc/user, 그리고
/etc/security/limits 에 있는 각각의 사용자 이름이 모든 파일에서 동
일한지를 점검
• /etc/password, /etc/security/passwd, /etc/user, 그리고
/etc/security/limits 에 있는 각각의 사용자 이름을 점검하고, 각각의
그룹이 /etc/group와 /etc/security/group에 항목을 가지는지 확인
• Both 1 and 3
요약
AIX 자체에서는 응용 프로그램에 대한 추가적인 액세스 제어를 제공할
수 없습니다. 이는 데이터베이스 관리자에 의해 제공되어야 합니다.
• 예
• 아니오
• 응용 프로그램에 따라 다름
PCI의 추가적인 보안 기능은 단일 사용자 모드로 시스템의 전원을 켜는
것을 제한하지 않습니다.
• 예
• 아니오
요약
supervisory 암호는 다음 중 어느 것을 보장합니까?
• 모든 사용자가 다중 사용자 모드로 시동할 수 있습니다.
• 모든 사용자가 유지보수 모드로 시동할 수 있습니다.
• 인증된 사용자만이 시스템을 단일 사용자 모드로 시동할 수 있습니
다.
• 루트 사용자만이 시스템을 단일 사용자 모드로 시동할 수 있습니다.
power-on 암호를 잊어 버렸을 때, 다음 중 암호를 초기화 하기 위해 사
용하는 방법은?
• 시스템을 30분 동안 종료 시켜 놓은 다음, 시스템 복구를 위해 유지
보수 모드로 시스템을 재시동
• 시스템을 종료; 최소한 30분 동안 배터리를 제거하고, power-on 암
호 설정을 위한 정식 절차를 수행
• 시스템을 종료; 최소한 30초 동안 배터리를 제거하고, power-on 암
호 설정을 위한 정식 절차를 수행
• 시스템을 종료하고, 30분을 기다린 후 최소한 30초 동안 배터리를
제거하고, power-on 암호 설정을 위한 정식 절차를 수행
요약