[Linux] 5

 - 사용자 계정과 관련된 파일중 암호를 /etc/shadow 파일에 별도로 저장하는 이유

/passwd 파일에 보관을 하게 되면 누구나 읽을 수 있기 때문에 누군가가 암호를 해독하여 사용할 위험이 높아진다. 따라서 보안을 위해 암호는 shadow파일에 별도로 저장하여 root사용자만 읽을 수 있게 한 것이다.

 

- /etc/login.defs 파일의 용도

사용자의 계정과 관련된 기본 값을 정의하고 설정하는 파일이다.

암호에 대해 최대 사용일, 최소 사용일, 만료 경고일, 패스워드 최소 길이를 설정할 수 있고, 사용자와 시스템 계정의 UID와 GID 범위를 지정할 수 있다. 홈 디렉토리를 생성할 것인지, UMASK의 값은 뭐로 할 것인지, 사용자 계정을 삭제할 때 그룹도 삭제할 것인지를 설정할 수 있다.

 

- 패스워드 에이징 정보 및 저장 파일

패스워드 에이징은 패스워드에 시간 개념을 도입한 것으로, 사용중인 패스워드의 사용기간설정, 경고, 변경해야하는 기간 등을 설정하고 확인하는 정보이다.

/etc/shadow 파일에 저장이 된다.

 

- 사용자계정을 삭제할때 -r 옵션이 있고 없음의 차이

-r 옵션이 있으면 사용자 계정의 홈디렉토리까지 전부 삭제하는 것이고,

-r 옵션이 없으면 단지 사용자의 계정만 삭제하는 것이다.

 

- 사용자 및 그룹 관련 명령 중 uid나 gid의 중복을 허용하는 명령은 무엇인가?

usermod와 groupadd와 groupmod 명령어에서 -o옵션을 사용하여 중복을 허용할 수 있다.

 

- abc.txt 파일의 현재 소유자는 hong11이고, 소유 그룹은hong01일 때, 이 파일의 소유자를 user1 으로 바꾸고, 소유 그룹은 han01로 한 번에 바꾸는 명령

chown명령을 통해 파일과 디렉토리의 소유자와 소유 그룹을 한번에 변경할 수 있다.

[ chown user1:han01 abc.txt ]

> bc.txt를 소유자는 user1으로, 그룹은 han01로 바꾸어라.

 

- RUID와 EUID의 개념과 기능 

RUID는 Real User ID로 유저가 로그인 할때 그 계정의 UID를 뜻한다. 계정관리를 하는 기능을 한다.

id 명령을 통해 RUID를 확인할 수 있다.

EUID는 Effective User ID로 현재 명령을 사용하고 있는 주체의 UID를 뜻한다.

접근 권한을 결정하는 기능을 한다. whoami를 통해 EUID를 확인할 수있다.

 

- 파일의 속성

ls 명령에서 -l 옵션을 추가하여 파일의 속성을 확인 할 수있다.

file 명령으로 종류를 확인하고, groups 명령을 통해 소유자와 그룹이름 확인도 가능하다.

 

- 파일의 읽기권한과 디렉토리의 읽기권한의 차이

파일의 읽기권한은 파일을 확인하고 복사할 수 있는 권한이다.

디렉토리의 읽기권한은 디렉토리의 내용을 읽는 권한으로 ls의 명령을 뜻한다.

디렉토리의 읽기권한이 없으면 ls명령을 실행할 수 없다.

 

- 디렉토리에 실행권한이 없다는 것의 의미

말그대로 실행할 권한이 없으므로 cd명령으로 그 디렉토리에 들어갈 수 없고 실행할 수 없다는 것이다.

 

 - /etc 디렉토리에 있는 group, passwd, shadow 파일의 소유자, 그룹, 기타 사용자권한

group파일은 rw-r--r--으로 소유자는 rw, 그룹과 기타사용자는 읽기만 가능하다.

passwd파일도 rw-r--r--으로 소유자는 읽고쓰기, 그룹과 기타사용자는 읽기만 가능하다.

shadow파일은 rw-r-----으로 소유자는 읽고쓰기, 그룹은 읽기만, 기타사용자는 권한이 없다.

- 마스크값이 007일 때, 파일과 디렉토리를 생성할 경우 기본접근권한

파일의 기본접근권한은 rw-rw----,

디렉토리의 기본접근권한은 rwxrwx--- 이 된다.

 

- 파일의 접근권한을 확인하였더니 ‘rwSr—r—’이었을때, S가 의미하는 것

특수접근권한으로 SetUID를 설정한 것이다.

파일이 실행되는 동안에 사용자의 권한이 아닌 파일 소유자의 권한을 부여된다는 의미이다.

 

- 특수접근권한 SetUID, SetGID, stickybit의 기능

SetUID는 실행되는 동안 사용자의 권한이 아닌 소유자의 권한으로 실행되게 하는 것으로, 예를들면 passwd명령이 있다. 자신의 비밀번호를 변경하려면 관리자의 권한이 필요하므로, 실행하는 동안만 일반 사용자에게 관리자 권한을 준다.

 

 SetGID도 실행되는 동안 그룹 소유자의 권한을 갖게하는 것이다. SetUID와 다른점은 사용자에게 권한을 주는 것과 그룹에게 권한을 주는 것 밖에 없다.

 

sticky bit은 디렉토리에 부여되는 권한으로, 모든 사용자가 읽고 쓰고 수정이 가능하나 삭제는 소유자만 할 수 있게 만드는 기능이다. 예를들면 tmp와 같은 디렉토리이다. 다른 유저가 읽고 수정할 수 있지만 삭제는 불가능하다.