[U-18] /etc/shadow 파일 소유자 및 권한 설정 (중요도 : 상)

★ 주요정보통신기반시설 가이드 [U-18] 유닉스/리눅스 보안 설정

항목 중요도 : 상 (비밀번호 해시 정보 기밀성 유지)

• 1. 항목 개요 및 보안 위협
• 2. [실습] OS별 점검 및 조치 사례 (결과값 포함)
• 3. 법적 근거 및 관련 조항 (2025년 최신 개정 반영)
• 4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드 (2025.12 발간)

[ 점검 내용 ] : 사용자 패스워드가 암호화되어 저장된 shadow 파일의 소유자가 root인지 확인하고, 권한이 400 이하로 설정되어 관리자 외에 접근이 불가능한지 점검합니다.

[ 보안 위협 ] : shadow 파일에 일반 사용자의 읽기 권한이 설정되어 있으면, 공격자가 해시값을 탈취하여 오프라인에서 무차별 대입 공격을 통해 비밀번호를 획득할 수 있습니다.

 

2. [실습] OS별 점검 및 조치 사례

■ SOLARIS, LINUX

Step 1) /etc/shadow 파일 소유자 및 권한 확인

# ls -l /etc/shadow

 

[취약 결과 예시]

-rw-r--r-- 1 user1 group1 1245 Jan 24 10:30 /etc/shadow

 

[양호 결과 예시]

-r-------- 1 root root 1245 Jan 24 10:30 /etc/shadow

Step 2) /etc/shadow 파일 소유자 및 권한 조치

# chown root /etc/shadow
# chmod 400 /etc/shadow

■ AIX

Step 1) /etc/security/passwd 파일 소유자 및 권한 확인

# ls -l /etc/security/passwd

 

[취약 결과 예시]

-rw-r--r-- 1 bin bin 3242 Jan 24 11:00 /etc/security/passwd

 

[양호 결과 예시]

-rw------- 1 root security 3242 Jan 24 11:00 /etc/security/passwd

Step 2) /etc/security/passwd 파일 소유자 및 권한 조치

# chown root /etc/security/passwd
# chmod 400 /etc/security/passwd

■ HP-UX

Step 1) /tcb/files/auth/ 디렉터리 소유자 및 권한 확인

# ls -ld /tcb/files/auth

 

[취약 결과 예시]

drwxr-xr-x 2 bin bin 4096 Jan 24 09:15 /tcb/files/auth

 

[양호 결과 예시]

dr-------- 2 root root 4096 Jan 24 09:15 /tcb/files/auth

Step 2) /tcb/files/auth/ 디렉터리 소유자 및 권한 조치

# chown root /tcb/files/auth
# chmod 400 /tcb/files/auth

 

3. 법적 근거 및 관련 조항

• 개인정보의 안전성 확보조치 기준 (2025 개정)
  - 제7조(개인정보의 암호화) : 패스워드는 암호화하여 저장하고, 비인가자가 접근할 수 없도록 엄격한 권한 관리를 수행해야 한다.
• 주요정보통신기반시설 취약점 분석·평가 기준
  - 사용자 계정 정보 보호를 위해 shadow 파일의 접근 권한이 최소화되어 있는지 필수 점검하도록 규정함.

 

4. 오늘 공부하며 정리한 핵심 포인트

• 핵심 요약: shadow 파일은 시스템의 심장과 같습니다. 무조건 root 소유에 400 권한임을 잊지 마세요.
• 주의 사항: 점검 시 파일 소유자가 root가 아닌 일반 사용자나 서비스 계정으로 되어 있는지도 반드시 체크해야 합니다.

다음 공부 기록 예고 : [U-19] /etc/hosts 파일 소유자 및 권한 설정 (중요도 : 상)