4. »ç¿ëÀÚ ÀÎÁõ º¸¾È

¸¹Àº ¸®´ª½º ¹èÆ÷ÆÇÀº ÀûÀýÇÏ°Ô º¸¾È¼ºÀ» °®ÃßÁö ¾ÊÀº »ç¿ëÀÚ ÀÎÁõÀ» °¡Áö°í ÆÇ¸ÅÇÑ´Ù. ÀÌ ¼½¼Ç¿¡¼­´Â ¿©·¯ºÐµéÀÇ ½Ã½ºÅÛ¿¡¼­ »ç¿ëÀÚÀÎÁõÀ» ¾ÈÀüÇÏ°Ô ¸¸µå´Â ¹æ¹ý¿¡ ´ëÇØ¼­ ³íÀÇÇÑ´Ù. ÀÌ·¯ÇÑ ÀÏÀ» ÇÏ´Â µ¿¾È¿¡ ¿©·¯ºÐµéÀÇ ½Ã½ºÅÛÀ» ´õ¿í ¾ÈÀüÇÏ°Ô ¸¸µé ±ä ÇϰÚÁö¸¸ Ãë¾àÇÏÁö ¾Ê°Ô ¸¸µç´Ù´Â ¼øÁøÇÑ »ý°¢Àº ÇÏÁö ¸¶¶ó.

4.1. °­ÇÑ /etc/pam.d/other

/etc/pam.dÀÇ ¸ðµç ÆÄÀÏÀº ƯÁ¤ÇÑ ¼­ºñ½º¿¡ ÀÇÇÑ ±¸¼ºÀ» Æ÷ÇÔÇϰí ÀÖ´Ù. /etc/pam.d/otherÆÄÀÏÀÌ ÀÖ´Â µ¥ À̰ÍÀº ÀÌ·¯ÇÑ ±ÔÄ¢¿¡ ´ëÇÑ ¾ÆÁÖ Áß¿äÇÑ ¿¹¿ÜÀÌ´Ù. ÀÌ ÆÄÀÏÀº ÀڽŵéÀÇ ±¸¼º ÆÄÀÏÀ» °¡Áö°í ÀÖÁö ¾ÊÀº ¸ðµç ¼­ºñ½º¿¡ ´ëÇÑ ±¸¼ºÀ» °¡Áö°í ÀÖ´Ù. ¿¹¸¦ µé¾î (°¡»óÀÇ)xyz ¼­ºñ½º°¡ ÀÎÁõÀ» ½ÃµµÇÑ´Ù¸é PAMÀº /etc/pam.d/xyzÆÄÀÏÀ» ãÀ» °ÍÀÌ´Ù. Çϳª¶óµµ ã¾ÆÁöÁö ¾Ê´Â´Ù¸é xyz¿¡ ´ëÇÑ ÀÎÁõÀº /etc/pam.d/other ÆÄÀÏ¿¡ ÀÇÇØ¼­ °áÁ¤ÀÌ ³¯ °ÍÀÌ´Ù. /etc/pam.d/other ÆÄÀÏÀº PAM ¼­ºñ½º°¡ ÀÇÁöÇÏ´Â ±¸¼ºÆÄÀÏÀ̹ǷΠ¾ÈÀüÀÌ Áß¿äÇÑ ¹®Á¦ÀÌ´Ù. ¿©±â¼­ /etc/pam.d/other ÀÇ ¾ÈÀüÇÑ ±¸¼ºÀ» À§ÇØ 2°¡Áö¸¦ ³íÀÇÇÑ´Ù. Çϳª¸¦ ±²ÀåÈ÷ ÆíÁýÁõÀûÀÎ °ÍÀ̰í Çϳª´Â ÀûÀýÇÑ °ÍÀÌ´Ù.

4.1.1. ÆíÁýÁõÀûÀÎ ±¸¼º

/etc/pam.d/otherÆÄÀÏÀÇ ÆíÁýÀûÀÎ ±¸¼ºÀº ¾Æ·¡¿Í °°´Ù.

    auth	required	pam_deny.so 
    auth	required	pam_warn.so 
    account	required	pam_deny.so 
    account	required	pam_warn.so 
    password	required	pam_deny.so 
    password	required	pam_warn.so 
    session	required	pam_deny.so 
    session	required	pam_warn.so
    

ÀÌ·¸°Ô ±¸¼ºÇÏ¸é ¸ð¸£´Â ¼­ºñ½º°¡ ³× °³ÀÇ ±¸¼ºÅ¸ÀÔÁß ¾î¶²°÷¿¡ Á¢±ÙÀ» ½ÃµµÇÏ´õ¶óµµ PAMÀº ÀÎÁõÀ» °ÅºÎÇÏ´Ù(pam deny.so ¸ðµâÀ» ÅëÇØ¼­)±×¸®°í syslog warning(pam warrn.so ¸ðµâÀ» ÅëÇØ¼­)·Î±×¸¦ ³²±ä´Ù. ÀÌ·¯ÇÑ ÀÜÀÎÇÑ ¹æ¹ý¿¡ ´ëÇÑ À¯ÀÏÇÑ ¹®Á¦Á¡Àº ´ç½ÅÀÌ À¯¿¬È÷ ´Ù¸¥ ¼­ºñ½ºÀÇ ±¸¼ºÀ» Áö¿ö¹ö¸®¸é ¹®Á¦°¡ ¹ß»ýÇÒ ¼ö ÀÖ´Ù´Â °ÍÀÌ´Ù. ´ç½ÅÀÇ /etc/pam.d/login ÆÄÀÏÀÌ ½Ç¼ö·Î Áö¿öÁø´Ù¸é ¾î¶² »ç¶÷µµ ·Î±×ÀÎÇÒ ¼ö ¾øÀ» °ÍÀÌ´Ù!

4.1.2. ÀûÀýÇÑ ±¸¼º

¿©±â¿¡ ±×·¡µµ Á» ±¦ÂúÀº ±¸¼ºÀÌ ÀÖ´Ù:

    auth	required	pam_unix.so 
    auth	required	pam_warn.so 
    account	required	pam_unix.so 
    account	required	pam_warn.so 
    password	required	pam_deny.so 
    password	required	pam_warn.so 
    session	required	pam_unix.so 
    session	required	pam_warn.so
    

À̱¸¼ºÀº ¸ð¸£´Â ¼­ºñ½º°¡ ÀÎÁõÇϵµ·Ï Çã¿ëÇÑ´Ù. ÇÏÁö¸¸ »ç¿ëÀÚÀÇ ÆÐ½º¿öµå¸¦ ¹Ù²Ùµµ·Ï Çã¿ëÇÏÁö ¾Ê´Â´Ù. ÀÌ ±¸¼ºÀº ¸ð¸£´Â ¼­ºñ½º¿¡ ÀÇÇØ ÀÎÁõÀ» Çã¿ëÇÏÁö¸¸, ±×·¯ÇÑ ¼­ºñ½º°¡ ÀÎÁõÀ» ½ÃµµÇÒ ¶§¸¶´Ù syslog warning ·Î±×¸¦ ³²±ä´Ù.

4.1.3. /etc/pam.d/other ¼±ÅÃÇϱâ

I would strongly reccomend that you implement the first /etc/pam.d/other configuration unless you have a very good reason not to. It always a good idea to be 'secure by default'. If you ever do need to grant a new service authentication privileges, you can simply create a PAM configuration file for that service. Ưº°ÇÑ ÀÌÀ¯°¡ ¾ø´Â ÇÑ ¿©·¯ºÐÀÌ ¸ÕÀú /etc/pam.d/other ±¸¼ºÀ» ±¸ÇöÇϱ⸦ ³ª´Â °­·ÂÈ÷ ±ÇÇÑ´Ù. "¹«Á¶°ÇÀû º¸¾È"À» ½ÇÇöÇϱâ À§ÇØ °¡Àå ÁÁÀº »ý°¢ÀÌ´Ù. ¿©·¯ºÐµéÀÌ »õ·Î¿î ¼­ºñ½º ÀÎÁõ±ÇÇÑÀ» ºÎ¿©ÇÒ Çʿ䰡 ÀÖÀ» ¶§¸é ¿©·¯ºÐµéÀº °£´ÜÈ÷ ±× ¼­ºñ½º¿¡ ´ëÇØ PAM ±¸¼ºÀ» ¸¸µé¸é µÈ´Ù.

4.2. Null ÆÐ½º¿öµå·Î »ç¿ëÀÚ ·Î±×ÀÎ ±ÝÁöÇϱâ

´ëºÎºÐÀÇ ¸®´ª½º ½Ã½ºÅÛ¿¡¼­´Â ftp³ª À¥¼­¹ö, ¸ÞÀϰÔÀÌÆ®¿þÀÌ¿Í °°ÀÌ ¾î¶² ½Ã½ºÅÛÀÇ ¼­ºñ½º¿¡ ±ÇÇÑÀ» ºÎ¿©ÇÒ »ç¿ëµÇ´Â "°¡Â¥"»ç¿ëÀÚ°èÁ¤ÀÌ ¸¹ÀÌ ÀÖ´Ù. ÀÌ·¯ÇÑ °èÁ¤À» °¡ÁüÀ¸·Î½á ½Ã½ºÅÛÀº ´õ ¾ÈÀüÇØÁú ¼ö ÀÖ´Ù. ¿Ö³ÄÇϸé ÀÌ·¯ÇÑ ¼­ºñ½ºµéÀÌ ÇØÅ·´çÇÏ¸é °ø°ÝÀÚµéÀº root·Î ¿î¿µµÇ´Â ¼­ºñ½ºÀÇ ¸ðµç ±ÇÇÑÀ» ¾òÁö ¸øÇϰí "°¡Â¥" °èÁ¤ÀÇ Á¦ÇÑµÈ ±ÇÇѸ¸À» ¾òÀ» ¼ö Àֱ⠶§¹®ÀÌ´Ù. ±×·¯³ª ÀÌ·¯ÇÑ °¡Â¥ °èÁ¤Àº ÁÖ·Î null ÆÐ½º¿öµå¸¦ °¡Áö±â ¶§¹®¿¡ ·Î±×ÀÎ ±ÇÇÑ º¸¾ÈÀÇ À§Çè¿ä¼ÒÀÌ´Ù. ·Î±×ÀÎÀ» Çã¿ëÇϵµ·Ï ÇÏ´Â ¼­ºñ½º¿¡ ´ëÇÑ ¿©·¯ºÐµéÀº 'auth'ŸÀÔÀÇ ¸ðµâ¿¡¼­ ÀÌ·¯ÇÑ ¾Æ±Ô¸ÕÆ®¸¦ Á¦°ÅÇϱ⠿øÇÒ °ÍÀÌ´Ù. À̰ÍÀº ÁÖ·Î ·Î±×ÀÎ ¼­ºñ½º¿¡ ÇØ´çÇÏ°í ¶Ç´Â rloginÀ̳ª ssh ¼­ºñ½ºµµ ÇØ´çÇÑ´Ù. ±×·¡¼­ /etc/pam.c/login ÆÄÀÏÀ»

   auth		required	pam_unix.so	nullok
   

¾Æ·¡¿Í °°ÀÌ ¹Ù²Ù¾î¾ß ÇÑ´Ù:

   auth		required	pam_unix.so
   

4.3. »ç¿ëÇÏÁö ¾Ê´Â ¼­ºñ½º Á¦°ÅÇϱâ

/etc/pam.dÀÇ ÆÄÀϵéÀ» º¸¸é, »ç¿ëÇÏÁö ¾Ê°Å³ª °ÅÀÇ µé¾îµµ º¸Áö ¸øÇÑ ¸¹Àº ÇÁ·Î±×·¥ÀÇ ±¸¼ºÆÄÀϵéÀÌ Ã£À» ¼ö ÀÖÀ» °ÍÀÌ´Ù. ÀÌ·¯ÇÑ ¼­ºñ½º¿¡ ÀÎÁõÀ» Çã¿ëÇÏ´Â °ÍÀº Å« º¸¾ÈÇãÁ¡À» Á¦°øÇÏÁö´Â ¾ÊÁö¸¸ ¿©·¯ºÐµéÀº ÀÎÁõÀ» °ÅºÎÇÏ´Â °ÍÀÌ ÁÁ´Ù. ÀÌ·¯ÇÑ ÇÁ·Î±×·¥ÀÇ PAMÀÎÁõÀ» Á¦°ÅÇÏ´Â °¡Àå ÁÁÀº ¹æ¹ýÀº ÀÌ ÆÄÀϵéÀÇ À̸§À» ¹Ù²Ù´Â °ÍÀÌ´Ù. ÀÎÁõÀ» ¿äûÇÏ´Â ¼­ºñ½ºÀÇ À̸§À» °¡Áö´Â ÆÄÀÏÀ» ãÁö ¸øÇϸé PAMÀº ¸Å¿ì (±â´ëÇϰǴë)¾ÈÀüÇÑ /etc/pam.d/otherÀ» ÂüÁ¶ÇÒ °ÍÀÌ´Ù.¿©·¯ºÐµéÀÌ ³ªÁß¿¡ ÀÌ·¯ÇÑ ÇÁ·Î±×·¥Áß Çϳª°¡ ÇÊ¿äÇÏ´Ù¸é °£´ÜÈ÷ ¿ø·¡ ÆÄÀÏÀ̸§À¸·Î ¹Ù²Ù¸é µÇ°í ±×·¯¸é ¸ðµç °ÍÀÌ ¿¹»óÇÑ´ë·Î µ¿ÀÛÇÒ °ÍÀÌ´Ù.

4.4. ÆÐ½º¿öµå Å©·¡Å· µµ±¸

ÆÐ½º¿öµå Å©·¡Å·µµ±¸°¡ °ø°ÝÀڵ鿡 ÀÇÇØ¼­ ½Ã½ºÅÛÀ» ÇØÅ·ÇϱâÀ§ÇØ »ç¿ëµÇ°í ÀÖ´Â ¹Ý¸é ¿ÀÈ÷·Á ±×·¯ÇÑ µµ±¸¸¦ ÀÌ¿ëÇØ ½Ã½ºÅÛ°ü¸®ÀÚµéÀº ½Ã½ºÅÛÀÇ ÆÐ½º¿öµå °­µµ¸¦ º¸ÀåÇÒ ¼ö ÀÖ´Â Çõ½ÅÀûÀÎ µµ±¸·Î »ç¿ëÇÒ ¼ö ÀÖ´Ù. °¡Àå ³Î¸® »ç¿ëµÇ°í ÀÖ´Â ÆÐ½º¿öµå Å©·¡Å·µµ±¸´Â "crack"°ú "John the Ripper"ÀÌ´Ù. Å©·¢Àº ¿©·¯ºÐÀÇ facorite ¹èÆ÷ÆÇ¿¡ Æ÷ÇԵǾî ÀÖ´Ù. John the Ripper´Â http://www.false.com/security/john/index.html¿¡¼­ ±¸ÇÒ ¼ö ÀÖ´Ù. ¿©·¯ºÐµéÀÇ ÆÐ½º¿öµå µ¥ÀÌÅͺ£À̽º¸¦ »ó´ë·Î ÀÌ·¯ÇÑ µµ±¸¸¦ µ¹·ÁºÁ¶ó. °á°ú¸¦ º¸°í ³ª¸é ±ô¦ ³î¶ö °ÍÀÌ´Ù.

Ãß°¡·Î »ç¿ëÀÚÀÇ ÆÐ½º¿öµå°¡ ¹Ù²ð ¶§ ¸¶´Ù ÆÐ½º¿öµå °­µµ¸¦ °Ë»çÇÏ´Â µ¥ ÇÊ¿äÇÑ Å©·¢ ¶óÀ̺귯¸®¸¦ ÀÌ¿ëÇÏ´Â PAM ¸ðµâÀÌ ÀÖ´Ù. ÀÌ ¸ðµâÀÌ ¼³Ä¡µÇ¸é »ç¿ëÀÚ´Â ÆÐ½º¿öµå¸¦ º¯°æ½Ã ÃÖ¼ÒÆÐ½º¿öµå °­µµ¸¦ ¸¸Á·ÇÏ´Â ÆÐ½º¿öµå·Î¸¸ º¯°æÇÒ ¼ö ÀÖ´Ù.

4.5. Shadow¿Í MD5 ÆÐ½º¿öµå

À̹®¼­ÀÇ Ã³À½ ¼½¼Ç¿¡¼­ ³íÀǰ¡ µÇ¾úµíÀÌ, ½¦µµ¿ì¿Í MD5 ÆÐ½º¿öµå´Â ¿©·¯ºÐµéÀÇ ½Ã½ºÅÛÀ» ´õ¿í ¾ÈÀüÇÏ°Ô ¸¸µé ¼ö ÀÖ´Ù. ¼³Ä¡ÀýÂ÷Áß¿¡ ´ëºÎºÐÀÇ ÇöÀç ¸®´ª½º¹èÆ÷ÆÇÀº MD5 ¿Í ½¦µµ¿ì ÆÐ½º¿öµå¸¦ ¼³Ä¡ÇÒ °ÍÀÎ Áö¸¦ Áú¹®ÇÒ °ÍÀÌ´Ù. ±×°ÍÀ» ¼±ÅÃÇÏÁö ¾ÊÀ» ÃæºÐÇÑ ÀÌÀ¯°¡ ¾ø´Ù¸é MD5¿Í ½¦µµ¿ì¸¦ »ç¿ëÇØ¾ß ÇÑ´Ù. ºñ½¦µµ¿ì¿Í ºñMD5¿¡¼­ ¹Ù²Ù´Â ÀýÂ÷´Â º¹ÀâÇÏ´Ù. ±×¸®°í À̹®¼­¿¡¼­´Â ´Ù·çÁö ¾Ê´Â´Ù. Shadow ÆÐ½º¿öµå HOWTO´Â Á» ¿À·¡ µÇ¾úÁö¸¸ µµ¿òÀÌ µÉ °ÍÀÌ´Ù.