Linux의 shadow 파일

shadow 파일에 대해서 설명하려고 합니다.

 

패스워드를 암호화 하여 보호하기 위해 만들어진 것으로 기존의 /etc/passwd파일에 있던 비밀번호를 shadow 파일에 암호화하여 저장하게 됩니다.

 

이 파일은 일반적으로 root만의 접근 권한(읽기)이 존재합니다. 또한 패스워드에 대한 만료, 갱신기간, 최소기간 등의 시간상의 관리정책을 저장하고 있습니다.

 

 

위 항목 중 vagrant 계정의 예시로 파일 형식에 대해서 설명 드리도록 하겠습니다.

 

항목

1. 사용자의 계정명(vagrant)
   계정의 이름이 되겠습니다.
   
2. 암호화된 패스워드
   (1. $6
   2. $Uibo72vW
   3. $qRbq6qfHGmWzw910R2VfEHZO4stVUGNZQ8.M3x6nejaXyMODsAjYXM1schjw5FwGFZR2mVApmtmB8EmOTG/x3/)
   암호화된 패스워드의 구조는 ($'id'$'salt'$'암호화된 패스워드')로 구성됩니다.
   
   id는 적용된 일방향 해시 알고리즘을 나타내는 것이며 1.MD5 2. BlowFish 5. SHA-256 6. SHA512를 나타내는데 보안상 SHA-256 이상의 해시 알고리즘 사용하시는 것이 좋습니다.
   salt는 해석하면 소금인데 음식에 맛을 위해 소금을 넣는 거처럼 해시 알고리즘의 암호화 강도를 높이기 위한 첨가물이라고 생각하시면 될 것 같습니다. 사용자의 패스워드와 salt를 추가해 해시 알고리즘을 이용하여 해시값을 생성하게 되므로 동일한 패스워드를 사용하더라도 서로 다른 hash값을 가지게 됩니다.
   마지막은 이렇게 해서 생성된 암호화된 패스워드 입니다.
   
   hash값 이외에 다른 기호가 있거나 빈칸이 있을 수 있는데 이는 각각의 기호가 나타내는 의미가 있습니다.
   빈칸의 경우 패스워드가 설정되지 않아 패스워드 입력 없이도 로그인이 가능한 상태를 나타냅니다. 이러한 부분은 반드시 패스워드를 설정해야 합니다.
   !! 의 경우에는 패스워드를 잠금한 상태로 모든 로그인이 불가능한 상태입니다. 계정을 생성하고 패스워드를 설정하지 않은 상태에 나타나게 됩니다.
   * 의 경우에는 패스워드 잠긴 상태로 로그인이 불가하지만 별도의 인증방식을 사용해 로그인이 가능한 상태로 시스템 어플리케이션 계정 용도로 주로 사용됩니다.
   UNIX에서는 이러한 기호들이 차이점을 보이는데 Linux에서의 *는 NP, !!는 *LK*, 빈칸은 빈칸으로 표시된다.
   
3. 마지막 패스워드 변경 날짜 (17668)
   마지막으로 패스워드가 변경된 날짜로 처음 생성시 처음 생성된 날짜가 나타납니다.
   
4. 패스워드 최소 사용기간 (0)
   패스워드를 마지막 변경한 날로 부터 다시 새롭게 바꾸기 위해 최소 사용되어야 하는 날짜입니다. 이 기간을 설정하지 않게 되면 패스워드를 이전에 사용되었던 것으로 재사용 될 수 있어 기간을 설정하여 일정 기간 이상 사용 하게 합니다.
   
5. 패스워드 최대 사용기간 (99999)
   패스워드 변경 후 만료까지의 기간을 설정하는 것으로 최대 사용 기간을 지정하여 일정 기간마다 패스워드 변경을 하도록 합니다.
   
6. 경고일 (7)
   패스워드 만료되기 전의 경고일수를 나타냅니다.
   
7. 비활성날짜 (빈칸)
   패스워드가 만료되고 난 이후에 계정이 잠기기전까지의 기간으로 이 기간에 패스워드 변경을 하지 않으면 계정이 잠기게 됩니다. 이부분을 UNIX는 로그인 이후 이 날짜 동안 접속이 없는 경우에 잠그게 하는 것으로 Linux와의 차이를 보입니다.
   
8. 만료일 (빈칸)
   패스워드가 만료되는 일자를 나타냅니다.