techBy dshan

HPUX에서 계정 잠김 처리 및 계정정보

HPUX에서 계정보안정책 관리는 2가지 방안이 있다.
Default로 UNIX에 설정되는 passwd/shadows와 “/etc/default/security” 파일을 사용하여 계정정책을 사용하는 것,
HPUX에서 제조사SW로 제공되는 Trust mode 를 사용하는 것이다.

/etc/default/security 파일을 사용하는 것이 기본 정책이며 계정의 보안정책에 대한 정보는 passwd 파일의 암호 부분에 사용기간, 만료기간등이 저장된다. (shadows를 사용하는 경우 shadows파일에 저장)
(참조 : https://ziscuffine.tistory.com/155)

Trust mode를 사용하는 경우 tsconvert 명령어를 통해 Trust mode로 전환하거나 SAM/SMH의 Accounts for user…에서 변경가능하다. (Auditing and Security에서도 가능???)
“#/usr/lbin/getprdef -r” 명령어로 확인하거나 /tcb 디렉토리의 존재여부로도 확인 가능하다.
(참조 : https://infrastory.tistory.com/43)

차이점은 Trust mode에서 계정별로 서로 다른 정책을 지정하거나 감사 로그등을 설정할 수 있다.
단 Trust mode 설정시 single mode에서 password 변경이 잘 안 될 수도 있음.
(trust process가 올라와야하고 /tcb에 write 가능해야 변경가능.)

1. Default의 경우 userdbget / userdbset 명령어를 통해 계정잠김 확인 및 해지가 가능.
“/etc/default/security” 파일에 “AUTH_MAXTRIES=0” 부분이 0이상으로 설정되어 있으면 password 오류 해당횟수 이상 틀릴시에 계정이 Lock 됨
# passwd -s sfmdb
sfmdb LK ;; 패스워드 null인 계정도 LK로 표시됨. 정상은 PS, min war max day표시
또는 userdbget -a -i 로 확인가능. 각 계정의 “auth_failures” 확인
“auth_failures” 횟수 설정 초과인 경우 “userdbset -d -u username auth_failures” 로 해제
# userdbset -d -u root auth_failures

그 밖에 max day등을 초과한 경우 “passwd -d username”로 해제하거나 패스워드 재지정

2. trust mode의 경우 /usr/lbin/getprpw, /usr/lbin/modprpw 명령어를 통해 계정잠김 확인 및 해지가 가능.
“getprpw/modprpw” 명령어는 path에 걸려있지 않아 full path 로 실행가능.
# /usr/lbin/getprpw -l root
uid=0, bootpw=YES, audid=0, audflg=1, mintm=-1, maxpwln=-1, exptm=-1, lftm=-1, spwchg=Fri May 29 09:25:30 2020, upwchg=Fri May 29 09:25:19 2020, acctexp=-1, llog=-1, expwarn=-1, usrpick=DFT, syspnpw=DFT, rstrpw=DFT, nullpw=DFT, admnum=-1, syschpw=DFT, sysltpw=DFT, timeod=-1, slogint=Thu Oct 17 09:12:55 2024, ulogint=Tue Sep 12 09:54:19 2023, sloginy=-1, culogin=-1, uloginy=-1, umaxlntr=-1, alock=NO, lockout=0000000

alock / lockout 부분이 계정잠김 부분. yes나 1이 하나라도 있으면 잠김상태.

“modprpw” 명령어로 해제 가능
# /usr/lbin/modprpw -l -k username

!! alock 는 administrator lock 상태, 관리자가 smh->user에서 해제가능.
lockout는 1이 어느 위치에 있느냐 따라서 상태를 표시한다.
제일 왼쪽 1번째 부터 이유 하기와 같이 표시.
1 past password lifetime
2 past last login time (inactive account)
3 past absolute account lifetime
4 exceeded unsuccessful login attempts
5 password required and a null password
6 admin lock
7 password is a *

Other Post:

Ceph reef 버전 설치하기.(with Rocky Linux 9)

VMWARE ESXi 암호정책 설정

opensource 가상화 하이퍼바이져 비교, Proxmox, XCP-ng, Hyper-V 2019

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다