패스워드 변경 및 계정 잠금 해제

패스워드 변경

일반적인 방법

# passwd root

입력 후 변경하고자 하는 패스워드 두 번 입력

 

 

패스워드 입력 값 확인하면서 변경

# echo root:1234 | chpasswd

root 계정의 비밀번호는 1234

 

 

패스워드 변경을 하였지만 재 접속 시 재차 변경을 요청할 경우

# pwdadm -c root

해당 명령어를 사용하면 /etc/security/passwd 파일에 계정 설정 정보가 변경되고, flags = ADMCHG 라는 라인이 있는데 해당 설정 값이 들어가 있으면 비밀번호 재설정이 필요하다

 

 

 

 

※ 참고

로그인 실패 횟수 확인

# lsuser -a unsuccessful_login_count test : test 계정 로그인 실패 횟수 확인

 

계정 잠금상태 확인

# lsuser -a account_locked test : test 계정의 잠금상태를 확인 할 수 있으며, true이면 계정이 잠긴 상태

 

로그인 실패 횟수 초기화 : test 계정의 로그인 실패 횟수(unsuccessful_login_count) 값을 0으로 초기화

# chsec -f /etc/security/lastlog \

-a unsuccessful_login_count=0 \

-s test

 

명령어 옵션

-f : file. 설정 파일의 이름

-a : attribute. 사용자의 속성

-s : stanza. 사용자 계정 이름

 

계정 잠금 해제

# chuser account_locked=false test

 

1. 계정이 잠겨 있을 때 (관리자에 의해 계정을 잠궈놨을 경우)

errcode : 3004-301 Your account has been locked; please see the system administrator.

 

# chuser account_locked=false <사용자계정> : 계정 Lock 해제

 

 

 

2. 특정 계정의 패스워드를 여러번 잘못 입력하여 계정이 잠겼을 때

# lsuser root : root 계정의 상태 확인

 /etc/security/user에 등록한 loginretries=<Value> 값 이상의 unsuccessful_login_count가 되었을 경우, 해당하는 계정으로 접속할 수 없게 된다.

3004-303 There have been too many unsuccessful login attempts; please see the system administrator.

 

# chuser unsuccessful_login_count=0 <사용자계정> : Unsuccessful_login_count 초기화

 

 

or

 

 

# smitty user

→ Reset User's Failed Login Count

→ 계정 선택

→ Enter

 

 

or

 

 

chsec -f /etc/security/lastlog -a "unsuccessful_login_count=0" -s root : root 계정 암호 실패 횟수 초기

  

 

 

3. 사용자 최대 동시 로그인 수치를 넘었을 때

- 사용자의 최대 동시 세션 수의 제한은 /etc/security/user에서 제어할 수 있다.

-  전체 사용자의 최대 동시 세션 수를 제한없음(unlimited)로 설정하고 싶으면, default stanza의 maxulogs 항목을 0으로 설정해주면 된다.

- 특정 사용자만 최대 동시 세션 수를 제한하고 싶은 경우, 해당 계정의 stanza에 maxulogs 항목을 지정해주면 된다.

# lsuser -f root

# chuser maxulogs=0 <사용자계정> : 특정 계정의 최대 동시 세션 수를 제한없음으로 설정. 

 

    

 

4. 해당 계정의 속성 중, rlogin=flase 로 되어있을 때

- /etc/security/user 파일에 현재 접속하고자 하는 계정의 stanza에 rlogin이 false로 지정되어 있다면, telnet으로 접속을 할 수 없다.

# lsuser -f root | grep rlogin

# chuser rlogin=true <사용자계정> : telnet 접속 허용 설정

 

 

 

5. 원격접속데몬이 비활성화 상태일 때

- 대표적인 원격접속데몬은 telnet과 ssh가 있다. 만약 telnet과 ssh 데몬이 inactive(비활성화)상태이면, 당연히 원격지에서 접속이 안될 것이다. 아래 명령어를 통해서, 데몬을 상태를 확인할 수 있다.

# lssrc -ls inetd | grep telnetd : telnet 데몬 확인

# lssrc -a | grep sshd : ssh 데몬 확인

 

 1) telnet 같은 경우, inetd 데몬에 의해 제어되기때문에 만약 위의 검색 방법으로 조회가 되지 않는다면, /etc/inetd.conf에 telnet 부분이 주석처리되어있는 지 확인해봐야 한다. 주석처리 이후 inetd 데몬을 재기동해줘야 한다.

# refresh -s inetd

또는

# stopsrc -s inetd

# startsrc -s inetd

 2) ssh 데몬이 inactive 상태일 경우, 데몬을 활성화 해줘야 한다

# startsrc -s sshd

 

 

 

● 잠겨져 있는지 확인

# lsuser -a account_locked 사용자명 

* account_locked=true이면 아래 방법을 시행

 

● 해제방법

# smitty user

> Reset User's Failed Login Count

>> 해제할 ID 선택

 

 

 

▶ 번외로 특정 계정 잠금 하는 방법

test 계정을 강제로 잠금

# chuser account_locked=true test

 

 

test 계정의 잠김 여부 확인

 # lsuser -a account_locked test : account_locked 값이 true이면 계정 잠금 완료

 

 

user 설정파일 확인

/etc/security/user 설정파일에는 확장된 사용자 계정에 대한 보안 설정이 포함되어 있다.

# vi /etc/security/user

default : loginretries = 0

 

loginretries : 계정 잠금 임계 값 (계정 잠그기 전 로그인 시도 횟수)

loginretries = 0은 로그인 시도 가능 횟수 무제한이며, 계정 잠금 임계 값이 설정되지 않은 상태

 

 

계정 잠금 임계 값 설정

# vi /etc/security/user

loginretries 값을 0에서 5로 수정하게 되면, 모든 계정은 5번 로그인이 실패할 시 계정이 잠기게 된다

 

 

 

 

출처 : https://bluelogger.tistory.com/entry/Login%EC%9D%B4-%EC%95%88%EB%90%98%EB%8A%94-%EA%B2%BD%EC%9A%B0