(1) 계정: 시스템에 접근하는 가장 기본적인 수단으로 기본 구성 요소에는 아이디와 패스워드가 있음
1) 아이디의 기본적인 속성
① 식별(Identification): 어떤 시스템에 로그인할 때, 자신이 누군지 알리는 것
② 인증(Authentication): 정확한 식별이 어려운 시스템에서 로그인을 허용하기 위한 확인
(2) 보안의 4가지 인증 방법
| 구분 | 의미 |
| 알고 있는 것 | 머릿속에 기억하고 있는 정보를 이용하여 인증 수행 |
| 가지고 있는 것 | 신분증이나 OTP(One Time Password)장치 등으로 인증 수행 |
| 자신의 모습 | 홍채 같은 생체 정보로 인증 수행 ex) 경찰관이 운전 면허증의 사진을 보고 운전자 확인 |
| 위치하는 곳 | 현재 접속을 시도하는 위치의 적절성을 확인하거나 콜백을 이용하여 인증 수행 +) 콜백: 접속을 요청한 사람의 신원을 확인하고 미리 등록된 전화번호로 전화를 되걸어 접속을 요청한 사람이 본인인지 확인 |
▶ 계정 관리의 여러 관점
[1] 운영체제의 계정 관리
: 운영체제는 시스템을 구성하고 운영하기 위한 가장 기본적인 소프트웨어로, 운영체제에 대한 권한을 가지면 해당 시스템에서 동작하는 다른 응용 프로그램에 대해서도 어느 정도의 권한을 가질 수 있기 때문에 적절한 제한이 필요함.
▶운영체제별 필요한 계정 관리법
(1) 윈도우의 계정 관리
1) 계정의 형태
① 관리자 계정(administrator)
: 운영체제의 관리자 권한을 가진 계정으로 시스템에 가장 기본으로 설치되는 계정
net localgroup administrators
: 윈도우에서 관리자 그룹에 속한 계정 목록 확인(관리자 그룹에 속하는 계정의 존재 형태 확인 가능)
② 일반 사용자 계정(Users)
net users
: 일반 사용자 계정 확인
2) 계정의 그룹
net localgroup
: 시스템에 존하는 그룹 목록 확인
■ 윈도우에서 사용하는 주요 그룹
| 그룹 | 특징 |
| Administrators | - 대표적인 관리자 그룹으로 윈도우 시스템의 모든 권한을 가지고 있음 - 사용자 계정을 생성 및 삭제, 디렉터리와 프린터를 공유하는 명령을 내릴 수 있음 - 사용 가능한 자원에 대한 권한 설정 가능 |
| Power Users | - Administrators 그룹이 가진 권한을 대부분 가지고 있음 - 로컬 컴퓨터에서만 관리할 능력도 가지고 있음 - 해당 컴퓨터 밖의 네트워크에서는 일반 사용자로 존재 |
| Backup Operators | - 윈도우 시스템에서 시스템 파일을 백업하는 권한 - 로컬 컴퓨터에 로그인하고 시스템을 종료할 수 있음 |
| Users | - 대부분의 사용자가 기본으로 속하는 그룹 - 네트워크를 통해 서버나 다른 도메인 구성 요소에 로그인 가능 - 관리 계정에 비해 한정된 권한을 가지고 있음 |
| Guests | - 윈도우 시스템에서 Users 그룹과 같은 권한을 가지고 있음 - 두 그룹 모두 네트워크를 통해 서버에 로그인할 수 있으며 서버로의 로컬 로그인은 금지 |
(2) 유닉스의 계정 관리
1) 기본 관리자 계정
: root
2) 계정 목록 확인(/etc/passwd 파일)
cat /etc/passwd
: /etc/passwd 파일에서 계정 목록 확인
① /etc/passwd 파일의 구성
| root : | x : | 0 | 0 : | root : | /root : | / bin/bash |
| ① | ② | ③ | ④ | ⑤ | ⑥ | ⑦ |
| ① | - 사용자 계정 | |||||
| ② | - 패스워드가 암호화되어 shadow 파일에 저장되어 있음을 나타냄 | |||||
| ③ | - 사용자 번호 | |||||
| ④ | - 그룹 번호 | |||||
| ⑤ | - 실제 이름, 시스템 설정에 영향을 주지 않음 - 자신의 이름도 입력 가능 |
|||||
| ⑥ | - 사용자의 홈 디렉터리 설정 | |||||
| ⑦ | - 사용자의 셸 정의 - 기본 설정은 bash 셸 |
|||||
② 유닉스의 관리자 권한
- /etc/passwd 파일의 '사용자 번호'와 '그룹 번호'로 식별
- root 이외에 사용자 번호가 0인 계정이 있으면 그 계정도 관리자 권한을 가짐
3) 계정의 그룹
cat /etc/group
: /etc/group 파일에서 유닉스의 계정 그룹 확인
① /etc/group 파일의 구성
| root : | x : | 0 : | root |
| ① | ② | ③ | ④ |
| ① | - 그룹 이름 - root 그룹을 말함 |
||
| ② | - 그룹에 대한 패스워드 - 일반적으로는 사용하지 않음 |
||
| ③ | - 그룹 번호 - 0은 root 그룹임 |
||
| ④ | - 해당 그룹에 속한 계정 목록 - 완전하지 않으므로 패스워드 파일과 비교해보는 것이 가장 정확함 |
||
[2] 데이터베이스의 계정 관리
: 데이터베이스 계정도 관리자 계정과 일반 사용자 계정으로 나뉨
(1) MSSQL의 관리자 계정
- sa(system administrator)
(2) 오라클의 관리자 계정
- sys: 데이터베이스 생성 가능
- system: 데이터베이스 생성 불가능
[3] 응용 프로그램의 계정 관리
: 응용 프로그램(FTP, 웹 서비스)에서도 고유의 계정을 가지기도 하고 운영체제와 계정을 공유하기도 하고 이것들은 응용 프로그램의 설정이나 목적에 따라 차이가 있음. 운영체제와 응용 프로그램의 계정이 다르면 응용 프로그램의 계정을 소홀히 하여 취약한 응용 프로그램을 통해 공격자가 운영체제에 접근하여 정보를 습득하고 운영체제를 공격하는 등의 보안상 큰 위협이 될 수 있음. 특히 TFTP(Trivial File Transfer Protocol)과 같이 별도의 계정이 존재하지 않은(인증이 필요하지 않은) 응용 프로그램이라면 더욱 세심한 주의가 필요함
[4] 네트워크 장비의 계정 관리
: 네트워크 장비는 보통 패스워드만 알면 접근이 가능함. 네트워크 장비의 상태만 확인할 수 있는 사용자 모드와 네트워크에 대한 설정 변경이 가능한 관리자 모드로 나뉘며, 패스워드를 처음 입력하면 사용자 모드로 로그인. 계정을 생성하여 각 계정으로 사용할 수 있는 명령어 집합을 제한할 수 있음.
- TACASC+ : 계정 관리의 어려움 때문에 통합된 계정 관리를 위해 대규모 네트워크에서 적용한 솔루션
'📋3-2 > 📌정보보안' 카테고리의 다른 글
| [정보 보안] 정보 보안 개론 2장 04. 접근 제어 (0) | 2021.10.11 |
|---|---|
| [정보 보안] 정보 보안 개론 2장 03. 세션 관리 (0) | 2021.10.11 |
| [정보 보안] 정보 보안 개론 2장 01. 시스템 보안의 이해 (0) | 2021.10.11 |
| [정보 보안] 정보 보안 개론 1장 연습문제 (2) | 2021.10.03 |
| [정보 보안] 정보 보안 개론 1장 02. 정보 보안의 이해 (0) | 2021.10.03 |
댓글