gpasswd - /etc/group, /etc/gshadow 파일을 관리한다.
#gpasswd [옵션] [그룹명]
-a [계정] 사용자 계정을 그룹에 추가한다.
-d [계정] 사용자 계정을 그룹에서 삭제한다.
-r 그룹 암호를 삭제한다.
1. 사용자 계정 추가
#useradd member1
#useradd member2
2. 그룹추가
#groupadd -g 2017 group2017
#cat /etc/passwd | tail -2 // 계정 생성 확인
#cat /etc/group | tail -1 // 그룹 생성 확인
3. 사용자 계정을 그룹에 추가
#gpasswd -a member1 group2017 // member1 계정을 group2017 그룹에 추가
#usermod -G 2017 member2 // member2 계정을 group2017 그룹에 추가
group2017 member2
#cat /etc/passwd | tail -2 // GID 필드 확인
#cat /etc/group | tail -1 // 멤버 필드 확인
group2017:x:2017:member1,member2
#groups [계정명]
#groups member1 member2
[계정명]: [주그룹] [보조그룹] ... [보조그룹]
member1 : member1 group2017
member2 : member2 group2017
4. 그룹 멤버 삭제
#gpasswd -d member2 group2017 // group2017 그룹에서 member2 계정 제거
#cat /etc/group | tail -1
#groups member2
5. 그룹 암호 설정
#gpasswd group2017 // group2017 그룹에 패스워드 설정
group2017 그룹의 암호를 바꾸는 중
새 암호:
새 암호를 다시 입력하십시오:
#cat /etc/gshadow | tail -1 // 패스워드 설정 확인
6. 그룹 패스워드 용도 확인
#gpasswd -a member2 wheel // member1 계정을 wheel 그룹에 추가
#id member2
uid=1240(member2) gid=1241(member2) groups=1241(member2),10(wheel)
#su - member2 // member2 계정 스위칭
$groups // 소속 그룹 확인
member2 wheel // 주 그룹 member2
보조그룹 wheel
$newgrp wheel // member2 <--> wheel
$groups // 주그룹 member2를 wheel 로 변경
wheel member2
$newgrp group2017 // 자신이 속한 그룹이아닌 다른 그룹으로
$groups // 주그룹을 변경
group2017 wheel member2 // group2017 그룹에 암호가 설정되어 있어
변경 시 해당 그룹에 암호가 필요하다.
sudo 권한 설정
사용자 추가나, 시스템 종료 등 특정 명령어만 실행할 수 있는 권한을 부여하는것
sudo 권한 설정 파일
/etc/sudoers
sudo 권한 설정 명령어
visudo == vi /etc/sudoers // 차이점은 오타나 문법이 틀렸을때 저장이 안됨
vipw == vi /etc/passwd
vigw == vi /etc/groups
90 ## Allow root to run any commands anywhere
91 root ALL=(ALL) ALL
[계정명] [호스트]=(옵션) [명령어]
실습 1
(1) 일반 사용자 계정으로 로그인 ( member1 ) 후, 일반 사용자가
사용할 수 없는 명령어 3개 찾기
(2) 명령어 실행이 불가능 한 것 확인 후, 해당 명령어가 위치한
절대 경로 확인 ( shutdown, reboot, halt 등 제외 )
절대 경로 확인 방법 - #which [명령어]
명령어 1 경로 : /usr/sbin/useradd
명령어 2 경로 : /usr/sbin/usermod
명령어 3 경로 : /usr/sbin/userdel
#visudo
member1 ALL=/usr/sbin/useradd, /usr/sbin/userdel, /usr/sbin/usermod
#su - member1
$passwd // 암호 설정
$sudo [명령어]
$sudo useradd sudotest-1
[sudo] password for member1: // member1 암호 입력
$cat /etc/passwd | tail -1 //sudotest-1 계정 생성 확인
$sudo usermod -c "sudo-test" sudotest-1 //usermod 실행 확인
$cat /etc/passwd | tail -1 //sudotest-1 계정 정보 변경 확인
$sudo userdel -r sudotest-1 // sudotest-1 계정 삭제
$cat /etc/passwd | tail -1 // 계정 삭제 확인
패스워드 없이 sudo 명령어 사용 설정
#visudo
member1 ALL=NOPASSWD: /usr/sbin/useradd, /usr/sbin/userdel, /usr/sbin/usermod
------------------------------------------------------------------------------
패스워드 정책 설정
chage - 패스워드 정책 설정
-l 설정 내용 확인
-d : 최종 암호 변경일 (/etc/shadows 3번째 필드)
-m : 암호를 변경한 후 다시 변경할 수 있는 최소 기간 (/etc/shadows 4번째 필드)
-M : 유효한 암호의 최대 일 수 (/etc/shadows 5번째 필드)
-W : 사용자가 암호가 만료되기전 경고할 일 수 (/etc/shadows 6번째 필드)
-I : 암호 유효기간이 발료된 후 사용자의 계정이 비활성화 될 일 수 (/etc/shadows 7번째 필드)
-E : 사용자 계정을 사용할 수 있는 유효기간 (YYYY/MM/DD) (/etc/shadows 8번째 필드)
시스템 날짜 변경
#date -s "2017-04-02"
2017. 04. 02. (일) 00:00:00 KST
계정명 : member1 계정 유효 기간 : 2018-04-02
최초 설정한 암호는 최소 하루뒤에 변경 할 수 있으며, 암호는 10일에 한번씩 변경해야 하고,
최소 3일 전에 암호를 변경할 수 있도록 경고를한다. 만약 암호가 만료된 10일 뒤에도
암호를 변경하지 않으면 계정을 비활성화 시킨다.
#passwd memeber1
#chage -l member1 //member1 계정의 패스워드 정책 확인
마지막으로 암호를 바꾼 날 : 4월 02, 2017
암호 만료 : 안함
암호가 비활성화 기간 : 안함
계정 만료 : 안함
암호를 바꿀 수 있는 최소 날 수 : 0
암호를 바꿔야 하는 최대 날 수 : 99999
암호 만료 예고를 하는 날 수 : 7
최초 설정한 암호는 최소 하루뒤에 변경 할 수 있으며 ( m 1 )
암호는 10일에 한번씩 변경해야 하고, ( M 10 )
최소 3일 전에 암호를 변경할 수 있도록 경고를한다. ( W 3 )
만약 암호가 만료된 10일 뒤에도 암호를 변경하지 않으면 계정을 비활성 ( I 10 )
계정 유효 기간 : 2018-04-02 ( E 2018/04/02 )
#chage -E 2018/04/04 -m 1 -M 10 -W 3 -I 10 member1
#chage -l member1
마지막으로 암호를 바꾼 날 : 4월 02, 2017
암호 만료 : 4월 12, 2017
암호가 비활성화 기간 : 4월 22, 2017
계정 만료 : 4월 04, 2018
암호를 바꿀 수 있는 최소 날 수 : 1
암호를 바꿔야 하는 최대 날 수 : 10
암호 만료 예고를 하는 날 수 : 3
1번 세션 (root) 2번 세션 (member1)
#su - member1
$passwd
(현재) UNIX 암호:
암호 변경을 위해 조금더 기다려 주십시오.
#date -s "2017-04-03" $passwd
#date -s "2017-04-09" $su - memeber1 // member1 로그인
#date -s "2017-04-10" 2 $su - memeber1 // member1 로그인
#date -s "2017-04-11" 1 $su - memeber1 // member1 로그인
#date -s "2017-04-12" 0 $su - memeber1 // member1 로그인
#date -s "2017-04-13" $su - memeber1 // member1 로그인
#date -s "2017-04-02"
#passwd member1
#chage -E 2018/04/04 -m 1 -M 10 -W 3 -I 10 member1
#chage -l member1
#chage -d 2017/04/02 member1
#date -s "2017-04-09" $su - memeber1 // member1 로그인
#date -s "2017-04-10" 2 $su - memeber1 // member1 로그인
#date -s "2017-04-11" 1 $su - memeber1 // member1 로그인
#date -s "2017-04-12" 0 $su - memeber1 // member1 로그인
#date -s "2017-04-13" $su - memeber1 // member1 로그인
디렉토리 및 파일의 권한과 소유권
- 시스템에 있는 모든 파일과 디렉토리는 접근 할 수 있는 권한 및 소유권 부여되어있다.
- 파일이나 디렉토리의 접근을 제한 것을 허가권(Permission)이라 한다.
- 파일이나 디렉토리의 소유권한을 소유권 (Ownership) 이라고 한다.
실습용 계정,그룹 생성
#groupadd -g 800 web_user
#groupadd -g 900 web_admin
#useradd -g 800 web-user1
#useradd -g 900 web-admin1
#cat /etc/passwd
web-user1:x:500:800::/home/web-user1:/bin/bash
web-admin1:x:501:900::/home/web-admin1:/bin/bash
#ll /bin/ls
-rwxr-xr-x. 1 root root 109208 2016-05-11 17:59 /bin/ls
root root
[소유계정] [소유그룹]
chown (change ownership / 소유권 변경)
형식 - #chown [소유계정]:[소유그룹] [파일/디렉토리명]
#cd /home/web-user1
#touch test
#ll
-rw-r--r--. 1 root root 0 2017-04-02 12:29 test
#chown web-admin1 test // test 파일의 소유자를 web-admin1 변경
#ll
-rw-r--r--. 1 web-admin1 root 0 2017-04-02 12:29 test
#chown web-user1 test
-rw-r--r--. 1 web-user1 root 0 2017-04-02 12:29 test
#chown web-admin1:web_admin test // test 파일의 소유계정:소유그룹 변경
-rw-r--r--. 1 web-admin1 web_admin 0 2017-04-02 12:29 test
test파일의 소유권 변경
소유계정 : web-user1
소유그룹 : web_user
#chown web-admin1:web_admin test
#chown web-admin1.web_admin test
형식 - #chown [소유계정]:[소유그룹] [파일/디렉토리명]
chown [계정명] [파일] 소유계정 변경
chown :[그룹명] [파일] 소유 그룹 변경
허가권 (Permission)
-rwxrwxrwx
- r w x r w x r w x
파일 유형 사용자(User) 그룹(Group) 기타사용자(Other)
소유 계정 소유 그룹
rwx의 의미
r (Read) - 읽기
w (Write) - 쓰기
x (eXecute) - 실행
- (bar) - 해당 권한이 없는 경우
ex)
rwxr-xr-x : 사용자는 읽기, 쓰기, 실행권한을 모두 가지고 있고,
그룹과 기타사용자는 읽기와 실행권한만 있다.
rw------- : 사용자만 읽고 쓰기가 가능하고, 그룹과 기타사용자는 아무 권한이 없다.
r-------- : 사용자만 읽기 권한을 가지고 있다.
#ll /etc/passwd /etc/shadow
chmod - 허가권 변경
- 기호 모드 (상대값) (symbolic mode) - 사람의 입장
- 숫자 모드 (절대값) (absolute mode) - 컴퓨터의 입장
chmod [옵션] [기호/숫자모드] [파일명]
-R 하위 디렉토리 및 파일까지 전부 적용
- 기호모드
+ : 허가권 부여 u : 사용자(소유자) 권한
- : 허가권 제거 g : 그룹 권한
= : 허가권 유지 o : 기타 사용자
s : SetUID,SetGID 권한 부여 a : 사용자, 그룹, 기타 사용자 모두
t : Sticky Bit 권한 부여
ex) 허가권 rwx r-x r-x 파일명 test
-> 그룹과 기타사용자의 x(실행)권한을 제거
#chmod go-x test
-> 그룹에는 쓰기권한 추가, 기타사용자에게 읽기, 실행권한 제거
#chmod g+w,o-rx test
#mkdir -p /practice/symbolic_chmod/
#cd /practice/symbolic_chmod/
#touch test-file
#ll
rw- r-- r-- test-file
(1)파일의 소유자(사용자), 그룹과 기타사용자에 실행권한 추가
rwx r-x r-x
#chmod u+x,g+x,o+x test-file
#chmod a+x test-file
(2) 파일의 소유자의 모든 권한을 제거하고, 그룹은 모든권한, 기타사용자는
쓰기 권한만 추가
--- rwx -w-
#chmod u-rwx,g+w,o-rx+w test-file
(3) 사용자, 그룹, 기타 사용자 모두 읽기와 쓰기 권한만 추가
rw- rw- rw-
#chmod u+rw,g-x,o+r test-file
- 숫자 모드
- 각각의 허가권 필드를 3자리의 8진수로 표기
- 완전환 표기법은 4자리이나 일반적으로 3자리를 사용
사용자 필드 허가권 기호 숫자모드
사용자 읽기 r 400 (100단위)
쓰기 w 200
실행 x 100
그룹 읽기 r 40 (10단위)
쓰기 w 20
실행 x 10
기타 사용자 읽기 r 4 (1단위)
쓰기 w 2
실행 x 1
ex) rwx r-x r-x
사용자 400 + 200 + 100 = 700
그룹 40 + 10 = 50
기타 사용자 4 + 1 = 5
= 755
사용자 필드 사용자 그룹 기타 사용자
r w x r w x r w x
자리수 4 2 1 4 2 1 4 2 1
2진수 1 1 1 1 1 1 1 1 1
8진수 7 7 7
r w x r - x r - x
1 1 1 1 0 1 1 0 1
7 5 5
r - x r - x r - x
4 + 1 4 + 1 4 + 1
5 5 5
test-file
chmod 744 test-file ( rwx r-- r-- )
ex) rwx rwx r-x ( 7 7 5 )
r-x r-- --- ( 5 4 0 )
rw- rwx --x ( 6 7 1 )
디렉토리 허가권 테스트
#cd /practice/symbolic_chmod/
#mkdir test-dir
#chmod 000 test-dir
--- --- ---
세션 추가
1번 세션 root 2번 세션 web-admin1
# #su - web-admin1
$cd /practice/symbolic_chmod/
test-dir 디렉토리의 허가권을 001, 002, 003 ... 007 까지 변경하면서
허가권 변경하는 명령어 입력 후, 2번세션에서 아래 명령어 테스트
(1) $cd test-dir X
성공 시 (2), (3) 진행 후 cd.. 으로 상위 디렉토리 이동 후 다음 권한 진행
(2) $touch test W
(3) $ls R
--x (1) O (2) X (3) X
-w- (1) X (2) X (3) X
-wx (1) O (2) O (3) X
r-- (1) X (2) X (3) X
r-x (1) O (2) X (3) O
rw- (1) X (2) X (3) X
rwx (1) O (2) O (3) O
UMASK - 새로운 파일/디렉토리 생성 시 기본 허가권을 경정하는 기준이되는 값
- 기본값 022
- 파일의 기본 허가권 666
- 디렉토리의 기본 허가권 777
- 파일이나 디렉토리의 기본 허가권에서 UMASK 값을 뺀 값이 허가권으로 결정
디렉토리 파일
기본값 777 666
UMASK 022 022
결정된 허가권 755 644
기호 rwx r-x r-x rw- r-- r--
#mkdir test123 // 디렉토리 허가권 확인
#touch test456 // 파일 허가권 확인
#umask // 현재 시스템에 설정된 UMASK 값을 확인하는 명령어
0022
#umask [값] // [값]으로 UMASK 값 변경
#umask 007 // UMASK 값 변경
#umask
0007
디렉토리 파일
777 666 기본값
007 007 UMASK
770 660 적용값
RWX RWX --- RW- RW- ---
777 666
020 020 UMASK
757 646
RWX R-X RWX RW- R-- RW-
#umask 022
#cd /home
#ll
rwx------. 2 web-admin1 web_admin 4096 2017-04-02 12:15 web-admin1
drwx------. 2 web-user1 web_user 4096 2017-04-02 12:29 web-user1
#useradd -g web_admin web-admin2
계정 그룹
web-admin1 web_admin
web-admin2
web-admin2 계정이 web-admin1의 홈디렉토리 접근, 읽기, 쓰기가 가능 하도록 설정
단, 기타 사용자 권한은 수정X
#chmod 770 web-admin1
rrwxwx---. 2 web-admin1 web_admin 4096 2017-04-02 12:15 web-admin1
#su - web-admin2
$cd /home/web-admin1 (x)
$touch test1 (w)
$ls (r)
특수권한의 종류 SetUID, SetGID, StickyBit
SetUID
- 실행파일에 한해서 설정이 가능하며, SetUID 속성이 있는 경우
실행한 사용자가 아닌 파일을 소유한 사용자의 권한으로 프로세스(프로그램) 실행된다.
- SetUID는 보통 root가 소유한 실행파일에 적용을 하며, 이런 경우에 해당 파일을
실행하는 순간에는 root의 권한을 가지게 된다.
#ll /etc/passwd /etc/shadow
644 400
rw- r-- r-- r-- --- ---
#su - web-admin1
$passwd // 명령어 실행 가능
$exit
#ll /usr/bin/passwd
-rwsr-xr-x. 1 root root 30768 2015-11-24 01:30 /usr/bin/passwd
SetUID 설정방법
기호모드 (u+s)
숫자모드 (4000)
#cd /practice
#mkdir SetUID
#cd SetUID
#touch SetUID-FILE-1
#touch SetUID-FILE-2
#chmod 4644 SetUID-FILE-1
#chmod 4544 SetUID-FILE-2
#ll
-rwSr--r--. 1 root root 0 2017-04-02 14:51 SetUID-FILE-1
-r-sr--r--. 1 root root 0 2017-04-02 14:51 SetUID-FILE-2
실행 권한이 있는 파일 : s
없는 파일 : S
#cat > SetUID-FILE-3
SetUID FILE TEST!!!!!!!!
#chmod 400 SetUID-FILE-3
-r--------. 1 root root 23 2017-04-02 14:55 SetUID-FILE-3
#su - web-admin1
$cat /practice/SetUID/SetUID-FILE-3
$exit
#ll /bin/cat
-rwxr-xr-x. 1 root root 45224 2016-05-11 17:59 /bin/cat
#chmod u+s /bin/cat
#ll /bin/cat
-rwsr-xr-x. 1 root root 45224 2016-05-11 17:59 /bin/cat
#su - web-admin1
$cat /practice/SetUID/SetUID-FILE-3
#su - webadmin1
$whoami
$who am i
UID - RUID (Real UID)
web-admin1
EUID (Effective UID)
root pts/1 2017-04-02 22:40 (100.100.100.1)
GID - RGID
EGID
원상복구
cat 파일의 SetUID 제거
#chmod u-s /bin/cat
