○ 계정 생성 관련 설정 파일 설명
/etc/passwd 안에 계정에 대한 정보를 보는 법은 이전 글에 기재되어있습니다.
/etc/passwd 파일은 모든 계정이 읽을 수 있습니다.
/etc/shadow 관리자만 사용 가능합니다.
/etc/shadow 파일의안에 정보를 확인해보도록 하겠습니다.
비밀번호가 암호화되어 저장이 되어있습니다.
아래의 화면은 # /etc/shadow 파일입니다.
계정ID : 암호화된 비밀번호 : 암호 생성 일자 : 암호 변경 가능 최소 시간 : 유효기간 : 경고 일수 :::
① 계정 ID -> 계정명
② 암호된 비밀번호 -> 암호화된 비밀번호 : $ 암호화방식 $ 키 값 $ 키 값 으로 암호화 형식으로 되어있습니다.
(처음 생선된 계정은 ! 로 시작되는 암호를 가지고 있습니다. 반드시 계정 생성 후 암호를 변경해야 합니다.)
③ 암호 변경 일자
④ 암호 최소 지속 시간(일) : 암호를 변경 후 최소 사용해야 하는 시간을 의미
⑤ 암호 최대 지속 시간(일) : 암호를 변경 후 최대 사용할 수 있는 시간을 의미
⑥ 경고 일수 : 암호 최대 지속 시간이 다가오면 경구메세지 출력되도록 하는 시간
⑦ 암호 비활성화 시간(일) : 암호 최대 지속 시간이 초과된 경우 암호를 변경할 수 있도록 하는 유효시간
(비활성화 시간도 초과되면 더 이상 암호를 사용할 수 없다.)
⑧ 계정 비활성화(년,월,일) : 계정을 사용하지 못하도록 날짜를 지정
이런 설정들은 /etc/login.defs 에서 변경이 가능하다.
# /etc/login.defs (암호 유효기간, 홈디렉토리 생성 유무 등의 기본정보를 저장하는 파일)
PASS_MAX_DAYS 99999 암호 최대 지속 시간 (일)
PASS_MIN_DAYS 0 암호 최소 지속 시간 (일)
PASS_MIN_LEN 5 비밀번호 최소 길이 (5초과)
PASS_WARN_AGE 7 비밀번호 변경 관련 경고날짜
CREATE_HOME yes 계정 생성시 홈디렉토리 자동 생성 유무
UMASK 077 계정 홈디렉토리의 기본 생성권한을 조절하기 위한 권한 설정
# /etc/default/useradd 안에는 홈디렉토리 생성 위치, 쉘 등을 지정하는 파일입니다.
GROUP = 100 계정이 포함될 수 있는 최대 그룹 수
HOME=/home 홈 디렉토리 생성 위치 설정
INACTIVE=-1 암호 최대 지속 시간 종료 후 암호 변경하도록 제공해주는 시간
(-1은 설정안된것을 의미, 0은 유예기간 없음, 6은 비밀번호 변경 기간 6일 제공)
EXPIRE= 계정 유효 기간 설정(년-월-일)
SHELL=/bin/bash 사용자 생성 시에 할당되는 쉘을 의미
SKEL=/etc/skel 사용자 생성 시에 제공되는 파일 및 디렉토리가 있는 디렉토리를 의미
CREATE_MAIL_SPOOL=yes 메일 스풀 기능 사용 유무 설정
위의 설정들을 하고 # useradd -D 로 지금 설정 상황을 볼 수 있습니다.
○ 그룹 관리
GID - 그룹을 구분하는 고유 번호이다. 계정의 기본 그룹(Default Group은 삭제되지 않는 그룹)
그룹이란 ?
▷ 계정들의 모임(집합)입니다.
그룹 사용 이유는 ?
▷ 파일 권한을 쉽게 부여하기 위해서
▷ 계정을 편하게 관리하기 위해서
※ 그룹에 계정을 추가하거나 삭제하는 명령들이 중요합니다.
○ 그룹 생성
# groupadd [옵션] [그룹명] : 그룹을 생성합니다.
# groupadd -g 600 [그룹명] : GID를 600으로 지정하여 그룹을 생성합니다.
※ 위처럼 그룹에 GID를 600으로 생성하고 나면 이후 추가로 생성하는 그룹은 601로 지정된다.
다음 추가 그룹은 옵션을 설정하지 않는다면 마지막 GID 다음 번호로 할당된다.
※ groupadd 명령어로 생성되는 그룹은 특별한 옵션을 설정하지 않으면 GID는 499까지는 할당되지 않는다.
즉, GID가 500이상인 그룹들 가운데 가장 낮은 GID번호부터 그룹을 생성하게 된다. (옵션을 사용하면 예외)
# groupadd -g 600 Test
○ 그룹 확인
/etc/group 그룹 정보를 저장하고 있는 파일입니다.
위의 만든 그룹을 확인해봅니다.
# cat /etc/group | grep Test
나오는 정보 그룹명 : 암호 : GID : 그룹 가입한 사용자
○ 그룹 비밀번호 설정 & 그룹 관리
계정 설정 파일들은 # /etc/passwd 와 # /etc/shadow 에 있습니다.
그룹 설정 파일들은 # /etc/group 와 # /etc/gshadow 에 있습니다.
그룹의 암호를 설정하는 이유 ?
▷ 그룹에 포함되지 않는 사용자가 그룹으로 로그인하기 위해서 사용됩니다.
# gpasswd [그룹명] : 그룹 비밀번호 설정
# gpasswd -r [그룹명] : 그룹 패스워드 제거
# gpasswd [옵션] [사용자명] [그룹명] : 특정 그룹에 사용자 추가하거나 제거하는 설정
# gpasswd -a [사용자명] [그룹명] : 그룹에 사용자 추가
# gpasswd -d [사용자명] [그룹명] : 그룹에 사용자 제거
# gpasswd -A [사용자명] [그룹명] : 그룹에 관리자로 설정
# gpasswd -M [사용자명,사용자명...] [그룹명] : 그룹에 포함될 사용자를 새로 설정
더 있으니 검색해서 공부하시기 바랍니다.
○ 그룹 변경
# groupmod [옵션] [그룹명] : 그룹 정보 변경 (그룹명 or GID변경)
# groupmod -g [그룹명] : 그룹의 GID를 지정할 때 사용
# groupmod -n [그룹명] : 그룹의 이름을 변경시 사용
# groupmod -o [그룹명] : 그룹의 GID를 중복허용시에 사용 (0도 가능합니다. 0은 슈퍼유저그룹입니다.)
위에 만들었던 Test 그룹을 GID 600 -> 606 으로 변경, 그룹명 Test6 으로 변경
# groupmod -g 606 -n Test6
○ 그룹 삭제
# groupdel [그룹명] : 그룹을 삭제하는 명령어 (안에 속해 있는 계정이 있을 경우 삭제가 되지 않습니다.)
# groupdel -f [그룹명] : 강제로 그룹을 삭제하는 명령어
○ 계정과 그룹의 관계 (사용자계정 그룹 추가)
- 사용자 계정 추가 방법 3가지 -
① gpasswd 명령어 -a옵션으로 새로운 멤버를 추가
② vi /etc/group 파일 편집하여 직접 등록
③ usermod 명령어로 그룹 설정
① # gpasswd -a [그룹에 들어갈 계정명] [들어갈 그룹]
# gpasswd -a test1 Test6 Test6 그룹에 test1유저를 포함시킵니다.
② 두번째 방법은 파일에 들어가서 직접 그룹명 옆에 유저를 입력하여 등록
# vi /etc/group 들어가서 직접 사용자 유저를 입력하여 등록할 수 있습니다.
③ # usermod [-G 또는 -g] [들어갈 그룹] [그룹에 들어갈 계정명]
# usermod -G Test6 test1 Test6그룹에 test1사용자 추가
-G 옵션과 -g 옵션의 차이
-G 옵션은 보조 그룹(groups)에 가입, -g 옵션은 주 그룹(GID)에 가입
※ 주 그룹과 보조 그룹의 차이는 ?
▷ 주 그룹은 모든 프로세스나 작업들은 주그룹에 영향을 받고, 파일을 만들어도 파일의 소유그룹은 주그룹이다.
▷ 보조 그룹은 다른 그룹으로 명령어를 실행하거나 보조그룹을 주그룹으로 바꾸는 # newgrp 명령어를 그룹
비밀번호 없이 사용할 수 있는 기능이 있습니다. (사실 큰 차이를 아직 못느꼈습니다.)
이해를 돕기위해 예를 들면, 보조 그룹에 10(wheel)이라는 그룹으로 가입이 되어있습니다.
이 10(wheel) 이라는 그룹은 gid가 10입니다. 리눅스에서 gid가 999이하의 그룹들은 시스템에서 사용하는 그룹입니다.
계정 관련글에서 배운 # su , # sudo 같은 명령어들을 사용하려면 이 그룹에 가입이 되어야만 사용가능 합니다.
보조 그룹에 가입이 되어 있으면 사용가능합니다.
○ 계정이 속해 있는 그룹 확인
# id [사용자명] : UID, GID, groups를 차례로 보여줍니다.
# groups [사용자명] : 사용자가 포함되어 있는 그룹 확인
계정명 : 그룹명 그룹명
댓글