1. 기능
리눅스 파일 압축 명령어
2. 문법
#gzip [옵션] 파일명
3. 옵션-type pattern 형식이 pattern인 것
-d : 압축을 해제한다.
-l : 압축파일 안에 있는 파일 정보(압축된 사이즈, 압축율) 출력한다.
-r : 하위 디렉토리까지 모두 압축한다.
-S : 다른 확장자를 지정(기본값은 .gz)한다.
-v : 압축하거나 풀 때 압출율, 파일명을 출력한다.
4. 사용방법 및 정보
가) 압축파일을 생성한다.
shell>gzip test.txt
shell>ls -l test.txt.gz
-rw-r--rr-- 1 root root 29 jun 12:12 test.txt.gz
나)압축을 해제할 때는 gunzip 명령을 사용한다.
shell>gunzip test.txt.gz
*******
tar -cvf - /perf |gzip -> /perfs.tgz
gzip은 directory를 자체적으로 압축하지 못하므로 tar를 쓰는게 좋다.
|
작성자 : (주)수퍼유저코리아, http://www.superuser.co.kr 서버팀 | |||||||||||||||||||
| |||||||||||||||||||
|
2. 로그파일의 종류와 내용 3. /etc/syslog.conf 파일의 예 4. /etc/syslog.conf 파일의 이해와 활용 5. syslogd와 klogd의 시작과 종료 6. 로그파일의 로테이트를 위한 logrotated 7. 로테이트된 로그파일들의 실제 예 8. logrotated 관련 파일들 9. logrotated 설정파일의 이해와 활용 10. 활용1 : 중요로그기록 이중저장 11. 활용2 : 중요로그파일 원격실시간 저장 | |||||||||||||||||||
| |||||||||||||||||||
|
ㅇ 로그자동관리를 위한 로테이트 처리 - crond에 의해서 주기적으로 실행되는 logrotated 데몬에 의해 수행됨. - 로테이트(rotate)작업내용 . 로그파일 자르기(rotate), 보관하고, 삭제하고, 압축하고, 메일로 보내기등. - 단, 해당 조건체크의 실행은 crond에 의해 주기적으로 자동실행되지만, . 로테이트작업이 발생하기 위해서는 해당 조건에 해당되어야 함. . 해당조건은 /etc/logrotate.conf파일과 /etc/logrotate.d/ 디렉토리내에 있는 파일들에서 설정. ㅇ 로테이트(rotate) 처리 - 특정날짜 또는 특정용량이상이 되었을 때 로그파일을 로테이트(교체)한다.(size) - 로테이트작업 직전과 직후에 특정작업을 수행할 수 있다.(prerotate/endscript,postrotate/endscript) - 로테이트 작업을 하면서 압축을 하거나 하지않을 수 있다.(compress, nocompress) - 로테이트 후에 보관할 파일의 수를 지정할 수 있다.(rotate) - 로테이트 후에 생성되는 파일의 소유주와 퍼미션등을 설정할 수 있다.(create) - 로테이트 후에 생성되는 파일의 확장자 임의로 지정할 수 있다.(extension) | |||||||||||||||||||
| |||||||||||||||||||
| |||||||||||||||||||
| |||||||||||||||||||
ㅇ /etc/logrotate.conf파일은 logrotated데몬의 주 설정파일로서 global하게 적용되는 파일임. ㅇ /etc/logrotate.d/ 디렉토리내에 존재하는 파일들은 개별 로그파일의 개별 logrotate설정파일 ㅇ /etc/logrotate.d/ 디렉토리내에 로그파일에 대한 추가파일을 설정해 두면 그 로그파일을 로테이트(rotate)처리를 할 수 있음. | |||||||||||||||||||
| |||||||||||||||||||
|
- logrotated 데몬이 실행되면서 /etc/logrotate.conf파일을 읽어들여서 그 내용을 적용함. - 위의 “include /etc/logrotate.d” 설정으로 인하여 /etc/logrotate.d 디렉토리에 존재하는 개별로그 파일들을 | |||||||||||||||||||
| |||||||||||||||||||
|
| |||||||||||||||||||
| |||||||||||||||||||
|
ㅇ weekly ㅇ monthly ㅇ rotate 숫자 ㅇ compress ㅇ nocompress ㅇ create 퍼미션 소유자 소유그룹
ㅇ mail 메일주소 ㅇ extension 확장자명 ㅇ ifempty ㅇ notifempty ㅇ prerotate/endscript ㅇ postrotate/endscript ㅇ size 용량크기 | |||||||||||||||||||
| |||||||||||||||||||
|
1단계
2단계
3단계
4단계 | |||||||||||||||||||
| |||||||||||||||||||
|
ㅇ 웹서버 설정내용 - 작업2 : syslog.conf파일 수정 : /etc/syslog.conf 설정 *.info;mail.none;authpriv.none;cron.none /var/log/messages - 작업3 : syslogd 데몬 재시작 : /etc/rc.d/init.d/syslog restart ㅇ 원격로그서버 설정내용 - 작업2 : 원격에서 들어오는 로그메시지를 저장할 수 있도록 syslogd 데몬 재시작 |
|
작성자 : (주)수퍼유저코리아, http://www.superuser.co.kr 서버팀 | ||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||
|
2. 로그파일의 종류와 내용 3. /etc/syslog.conf 파일의 예 4. /etc/syslog.conf 파일의 이해와 활용 5. syslogd와 klogd의 시작과 종료 6. 로그파일의 로테이트를 위한 logrotated 7. 로테이트된 로그파일들의 실제 예 8. logrotated 관련 파일들 9. logrotated 설정파일의 이해와 활용 10. 활용1 : 중요로그기록 이중저장 11. 활용2 : 중요로그파일 원격실시간 저장 | ||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||
↓
↓←
↓
↓
↓↓ | ||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||
|
ㅇ 각행의 의미 ㅇ 규 칙 | ||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||
|
| ||||||||||||||||||||||||||||||||||
| ||||||||||||||||||||||||||||||||||
|
ㅇ syslogd 서비스의 시작 : /etc/rc.d/init.d/syslog start
ㅇ syslogd 서비스의 종료 : /etc/rc.d/init.d/syslog stop
ㅇ syslogd 서비스의 재시작 : /etc/rc.d/init.d/syslog restart
| ||||||||||||||||||||||||||||||||||
이올린에 북마크하기
1. 접근통제란?
(1) 설명: 네트워크 환경체제에서는 항상 권한이라는 것이 있다. 어떠한 시스템에 접근하려면 그
시스템에 접근권한이 있어야 한다. 권한을 가지지 않은 자가 권한이 부여되지 않은 자료에
불법적인 접근을 시도할 때 이를 차단하는 행위를 접근통제(Access Control)이라 한다. 리
눅스시스템에서도 소유자, 그룹, 그 외의 사용자 등 3계층으로 분리하여, 파일 또는 디렉
토리에 읽기, 쓰기, 실행에 대한 권한을 부여한다.
(2) 접근통제방법: 접근통제하는 방법에는 학문적으로 보면 어떤 계층에서의 통제냐 운영체제의
위치가 어디냐에 따라 굉장히 많이 나누지만 여기서는 간단히 분류해보자.
1) 완전접근통제: 말 그대로 어떠한 사람도 접근을 못하게 막는 것이다. 그러나, 완전통제라면
네트워크로서의 기능이 없다고 말할 수 있다.
2) 일부접근통제: 선별적으로 접근을 허가하는 통제법이다. 대표적인 방법이 TCP Wrapper이다.
(3) 참고: 일부접근통제방식과 Set-Uid
1) 설명: 리눅스에서 비밀번호를 변경할 때 passwd라는 명령을 이용한다. 이 passwd의 권한은
root에게 있다. (실제적으로 확인해보면 소유자와 소유그룹 모두 root다. 파일의 위치는
/usr/ bin/passwd) 그런데, 어떻게 일반 사용자가 그 명령을 사용할 수 있을까? 그것은
root가 패스워드 권한 일부를 양도했기 때문이다. 이를 setuid, setgid라고 부른다. 이
러한 경우와 같이 패스워드를 바꾸는 행위 또는 그 역할에만 권한을 허용한 경우가 일부
접근통제방법에 해당한다.
2) passwd의 setuid 확인
ㄱ. /etc/bin으로 이동한다.
ㄴ. 'ls -l passwd'라고 입력
ㄷ. 다음과 같이 결과가 출력된다.
-r-s--x--x 1 root root 12244 Feb 8 2000 passwd
=> 이와 같이 소유자부분에서 x가 있어야 할 자리에 s가 있다. 이런 경우가 setuid 또는
setgid가 부여된 경우이다. 이 파일의 소유자와 그룹은 root이다.
2. TCP Wrapper란?
리눅스 커널 2.2 버전에서 TCP Wrapper는 슈퍼데몬인 inetd데몬에 의하여 수행되는 서비스들의 접근
을 제어한다. 즉, 시스템에 접속을 허락한 호스트만 접속할 수 있도록 한다거나, 또는 원하지 않는
호스트의 접근을 막도록 해주는 접근 제어 프로그램이다. TCP 연결을 기반으로 하는 TELNET, FTP,
FINGER,RLOGIN 등을 감시하고 필터링할 수 있다. 현재 사용하는 커널 2.4 버전에서는 inetd가 확장
된 xinetd라는 슈퍼데몬을 사용하면서 자체적으로 접근제어를 하지만 tcp wrapper의 구성요소중
/etc/hosts.allow와 /etc/hosts.deny을 이용한 접근제어는 아직도 사용하고 있다.
3. TCP Wrapper의 구성
(1) 개요: TCP Wrapper는 데몬 프로세서인 /usr/sbin/inetd와 환경파일인 /etc/inetd.conf로 구성
되어 있다. 또한 리눅스에서는 스크립트파일인 /etc/rc.d/init.d/inet이 있고, /usr/sbin
/tcpd에서 참조하는 /etc/hosts.allow 파일과 /etc/hosts.deny파일이 있다.
(2) 구성파일
1) /usr/sbin/inetd
이 데몬은 여러 가지 다른 서버 프로그램들(telnet, ftp 등)을 관리하기 때문에 슈퍼 데몬이라고
불리운다. 만약 호스트에서 telnet서비스를 요청하면 inetd는 환경파일인 /etc/inetd.conf파일을
참고하여 in.telnetd를 구동하고 telnet서비스를 처리한다.
2) /etc/inetd.conf(커널 2.2 버전만 해당)
ㄱ. 설명: TCP Wrapper가 구동될 때 참고하는 환경파일이다. 전반적인 설정에 관여한
다.
ㄴ. inetd.conf 필드의 구성 : 총 7개의 필드로 구성되어 있다.
a. 구성예
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
(서비스이름) (소켓타입)(프로토콜)(플래그)(사용자)(서버프로그램) (매개변수)
b. 필드의 설명
- 서비스이름 : /etc/services에 정의된 이름
- 소켓타입 : stream은 tcp, dgram은 udp이다.
- 프로토콜 : /etc/protocols에 있는 이름
- 플래그 : 프로세스의 시작방법
- 사용자 : 서비스가 수행될 때 그 서비스의 소유자
- 서버프로그램 : 실제 서버 프로그램 및 경로
- 매개변수 : 서버에 넘겨줄 명령어 라인 매개변수
ㄷ. inetd.conf의 역할: 이 파일에서 TCP Wrapper에서 사용하는 서비스를 제어할 수 있다. 보통
telnet, ftp, shell, login, exec, talk, ntalk, dtalk, pop-2, pop-3,
imap, uucp, tftp, bootps, finger, cfinger, sysstat, netstat 등 TCP연
결을 기반으로 하는 것들을 제어할 수 있다. 서비스를 하지 않으려면 해당
서비스의 맨 앞에 '#'문자를 삽입한다. 즉, 해당서비스열이 주석처리된다.
3) /etc/rc.d/init.d/inet: 리눅스 배포판만에 있는 스크립트 파일이다. 리눅스에서 inetd 전체의
시작과 종료는 이 파일을 이용한다. 커널 2.4에서는 xinetd이다.
4) /usr/sbin/inetd 와 /usr/sbin/tcpd
리눅스에서 /etc/inetd.conf 파일의 필드 구성을 보면 위의 구성예와 서버프로그램부분이 다
르다.
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
그럼 /usr/sbin/tcpd는 무엇인가? inetd는 /etc/inetd.conf파일을 참고하여 TCP Wrapper의 초기
구동을 담당한다. 즉, /etc/inetd.conf 파일의 설정을 다음과 같이 했다고 가정하자.
telnet stream tcp nowait root /usr/sbin/in.telnetd in.telnetd
이 경우에 inetd는 단순히 텔넷서비스 요청이 들어오면 텔넷서비스로 연결만 해준다. 이런 설정
은 텔넷서비스요청에 대한 어떠한 접근 거부나 허가를 할 수 없게 된다. 그래서, 중간에 접근
여부를 판단하는 데몬이 tcpd이다. tcpd는 접근허용 파일인 /etc/hosts.allow와 /etc/hosts.deny
파일을 참조하여 접근 여부를 결정한다. 또한 서비스에 접근하는 과정에서 발생하는 모든 사항에
대하여 상세한 접속 로그를 남긴다. 즉, tcpd는 inetd와 서버사이에서 중요한 판단을 수행한다.
4.TCP Wrapper의 운용
(1) 개요: TCP Wrapper의 운용은 크게 3가지로 구분할 수 있다. 첫번째는 슈퍼 데몬인 inetd를 종료
시켜 어떠한 서비스도 하지 않는 것이고, 두번째는 inetd.conf파일을 수정(커널 2.4에서는
/etc/xinetd.d 디렉토리내의 서비스제어)하여 선택적으로 서비스를 제어하는 것이고, 마지
막은 /etc/hosts.allows파일과 /etc/hosts.deny파일을 가지고 클라이언트를 선택제어하는
것이다.
(2) TCP Wrapper 전체 서비스의 중단
1) 설명: TCP Wrapper를 작동하지 않으려면 inetd 데몬을 중단시키면 된다. 보통 리눅스배포판에
서는 스크립트파일을 이용하면 된다.
ㄱ. 서비스의 중단
/etc/rc.d/init.d/inet stop
ㄴ. 서비스의 시작
/etc/rc.d/init.d/inet start
=> 커널 2.4버전인 경우에는 xinetd이다.
(3)선택적인 서비스의 중단
1) 설명: TCP Wrapper에서는 여러 서비스를 한다. telnet, ftp, rlogin등 많은 서비스등을 한꺼번
에 관리한다. 따라서, 이중 한가지 서비스를 중단하려면 /etc/inetd.conf파일을 수정하면
된다. 만약 현재 telnet서비스를 한다면 다음과 같이 설정되어 있을 것이다.
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
그럼, 텔넷서비스를 중단해보자. 맨 앞에 주석을 뜻하는 '#'만 붙여주면 된다.
2) 사용예
#telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
(4)호스트의 접근제어 : /etc/hosts.allow와 /etc/hosts.deny파일을 이용하여 선택적으로 호스트
를 제어할 수 있다. 실제적으로 xinetd를 사용하는 커널 2.4버전에서도 사용
가능한 파일이 이 두 개의 파일이다.
1)/etc/hosts.allow : 접근이 허가된 호스트들의 목록을 적는다.
2)/etc/hosts.deny : 접근이 금지된 호스트들의 목록을 적는다.
3)hosts.allow와 hosts.deny의 검색순서
hosts.allow를 먼저 검색한 후 hosts.deny를 검색한다. 만약 hosts.deny에 모든 서비스에 대
해 접근 금지로 설정했을 경우, hosts.allow에 허용된 접근외에는 모든 접근이 금지된다.
5.접근제어 규칙
(1) 설명: /etc/hosts.allow파일과 /etc/hosts.deny파일은 정해진 접근통제규칙을 가지고 있다. 이
규칙대로 설정을 하여 접근을 제어해야 한다.
(2) 파일 작성시 문법상의 규칙
1) 새로운 줄(줄바꿈)은 무시되고, 줄을 연장할 경우에는 백슬래쉬를 사용해야 한다.
2) 빈줄 혹은 '#'으로 시작되는 줄은 주석처리된다.
3) 다른 모든 줄은 아래의 형식을 따라야 한다.
예) daemon_list : client_list [ : shell_command ]
daemon_list : 한개 이상의 데몬(서버프로그램)프로세스 혹은 예약어(와일드카드)
client_list : 한 개 이상의 호스트 이름, 주소, 패턴 혹은 예약어(클라이언트 이름 혹은
주소가 일치하는 것)
(3) 예약어(와일드카드라고도 부름)
ALL : 모든 서비스 또는 모든 호스트를 나타냄.
LOCAL : 같은 네트워크에 있는 모든 호스트
KNOWN : 이름이 KNOWN인 호스트, 혹은 이름 또는 주소를 알고 있는 호스트
UNKNOWN : 이름이 UNKNOWN인 호스트, 혹은 이름이나 주소를 모르는 호스트
PARANOID : 호스트네임이 주소와 일치되는 않는 호스트
B EXCEPT A : 리스트 B에서 A를 제외한 모든 B
(4) 패턴형식 : '.'의 위치에 유념해야 하고, ALL과 ':'은 공백이 있어야 한다.
1)모든 서비스를 모든 호스트에 대해 거부 : /etc/hosts.deny파일에 적는다.
ALL : ALL
2) 특정 호스트에 특정서비스 접근 허용 : /etc/hosts.allow파일에 적는다.
ALL : localhost, .aaa.com => localhost와 aaa.com의 모든 호스트들에게 모든 서비스를
허용한다는 뜻이다.
in.telnetd : 192.168.0.2 => 192.168.0.2에서 텔넷 접속에 대해서만 접근을 허용한다.
ALL : .aaa.com EXCEPT killer.aaa.com => killer.aaa.com를 제외한 aaa.com의 모든 호스트들
에게 모든 서비스를 허용한다.
ALL EXCEPT in.ftpd : .aaa.com EXCEPT bad.aaa.com => bad.aaa.com를 제외한 aaa.com의 모든
호스트들에게 ftp서비스를 제외한 모든
서비스를 허용한다.
in.telnetd, in.figerd : 233.234.235., .aaa.com => 233.234.235.* 네트워크에 속한 모든 호
스트와 .aaa.com에 속하는 모든 호스트들
은 텔넷서비스와 finger서비스를 허용함.
ALL : ALL : DENY => 그외의 모든 네트워크 호스트는 어떠한 서비스도 받을 수 없다. 만약에
hosts.allow를 이렇게 설정해 놓으면 별도로 hosts.deny파일이 필요없다.
ALL : 192.168.0.0/24 => IP/넷마스크를 이용하여 설정하는 방법으로 192.168.0.0부터 192.16
8.0.255까지 모든 서비스에 대하여 허가한다.
(5) Shell Command
1) 명령
spawn : 현재 수행중인 프로세스의 자프로세스로 수행
twist : 현재 수행중인 프로세스의 이미지 교체 후 수행(프로세스의 이미지가 교체되므로 규칙
의 마지막 옵션으로 사용해야 한다.
2) 확장 옵션
%a (%A) : 클라이언트(서버)의 주소
%c : 클라이언트의 정보 (user@host 또는 user@address)
%n (%N) : 클라이언트의 이름
%d : 서비스 데몬의 이름
%h (%H) : 클라이언트(서버) 이름 또는 주소
%n : 클라이언트(서버) 이름
%p : 데몬 프로세스 ID
%s : 서버 정보
%u : 클라이언트 사용자 이름
3) 사용예 : 의심되는 호스트(cracker.aaa.com)가 시스템에 접근을 시도할 경우 이 접속을 거부하
고 관리자에게 관련 정보를 전송하기 위하여 hosts.deny파일에 다음과 같이 설정한다.
ALL : cracker.aaa.com : twist (finger -l @%h | mail -s %d -%h root) &
6.TCP Wrapper의 단점
TCP Wrapper는 클라이언트에서 보내진 네트워크 패킷들로부터 제공된 발신지주소의 정보를 보고 그
호스트에 대해 접근을 허가를 하든지 거부를 하든지 동작을 하는데, 이 정보를 전적으로 믿을 수는
없다. 만약 TCP Wrapper에서 192.168.0.2로 부터 오는 telnet 요청을 허가하도록 설정되어 있다고
할 때, 크래커가 자신의 주소를 192.168.0.2라고 속여서 접근한다면 속수무책이다. 이런 식의 공격을
IP 스푸핑이라고 한다.
1. 계정 생성하기
adduser 명령어에 대해 기본값을 설정 -> 사용자 추가 -> 추가된 내용확인 의 순으로 진행이 된다.
#adduser -v
Use option ``-silent'' if you don't want to see all warnings and questions.
Check /etc/shells
Check /etc/master.passwd
Check /etc/group
Enter your default shell: csh date no sh tcsh [sh]: bash <- 기본적인 쉘을 bash 로 변경하였다.
Your default shell is: bash -> /usr/local/bin/bash <- bash 쉘로 바뀌었다는 알림이다.
Enter your default HOME partition: [/home]: <- 그냥 엔터
Copy dotfiles from: /usr/share/skel no [/usr/share/skel]: <-그냥 엔터
Send message from file: /etc/adduser.message no
[/etc/adduser.message]: <- 그냥 엔터
Do not send message
Use passwords (y/n) [y]: y
Write your changes to /etc/adduser.conf? (y/n) [n]: y
Ok, let's go.
Don't worry about mistakes. I will give you the chance later to correct any input.
Enter username [a-z0-9_-]: swingme <- 추가할 사용자 계정명 입력
Enter full name []: navaer cafe swingme <- 계정의 풀 네임을 입력
Enter shell bash csh date no sh tcsh [bash]: bash <- bash 셀을 사용한다고 입력, 엔터를 치면 []안에있는 쉘이 적용
Enter home directory (full path) [/home/swingme]: <- 계정을 swingme 라고 입력을 하여서 자동적으로 생성, 그냥 엔터
Uid [1001]: <- 그냥 엔터
Enter login class: default []: <- 그냥 엔터
Login group swingme [swingme]: <- 그냥 엔터
Login group is ``swingme''. Invite swingme into other groups: guest no
[no]: wheel <- wheel 그룹으로 지정
Enter password []: <- swingme 계정에 대한 비밀번호를 입력
Enter password again []: <- 비밀번호를 재 입력
Name: swingme
Password: ****
Fullname: naver cafe swingme
Uid: 1000
Gid: 1000 (swingme)
Class:
Groups: swingme wheel
HOME: /home/swingme
Shell: /usr/local/bin/bash
OK? (y/n) [y]: y <- 계정생성에 대해 확인된 내용이 맞냐는 질문, 맞으면 y 입력
Added user ``swingme''
Copy files from /usr/share/skel to /home/swingme
Add another user? (y/n) [y]: n <-계정을 계속 생성하겠냐는 질문, 더이상 할필요없으면 n 입력
Goodbye!
#
앞으로 adduser 명령을 인자없이 ( -v ) 없이 사용할 수가 있다.
만약 기본설정과 관계없이 만들고 싶으면 adduser -s 로 사용자를 추가할 수 있다.
2. 계정 삭제하기
rmuser 명령어로 시스템에서 사용자를 삭제하고 데이터베이스의 흔적들까지 삭제한다.
rmuser 명령은 아래의 단계 절차를 밟으면서 한다.
1) 삭제할 사용자의 crontab 항목을 검사하여 만약 있을경우 삭제를 한다.
2) 삭제할 사용자로부터 귀속된 모든 작업을 삭제한다.
3) 삭제할 사용자가 소유한 모든 프로세스들을 종료한다.
4) 시스템의 로컬 패스워드 파일로부터 사용자를 삭제한다.
5) 삭제할 사용자의 홈 디렉토리를 삭제한다.
6) /var/mail 등의 메일이라던지 메세지들을 삭제한다.
7) /tmp 등과 같은 임시 파일 저장 디렉토리내의 삭제할 사용자가 소유하고 있는 파일들을 삭제한다.
8) /etc/group 에 있는 모든 그룹들에서 사용자의 이름을 삭제한다.
#rmuser swingme <- swingme 라는 계정을 삭제
Matching password entry: <- swingme 계정의 비밀번호를 입력한다.
swingme:Q4PXGgzkWmS0E:1004:0::0:0:naver cafe swingme:/home/swingme:/usr/local/bin/bash
Is this the entry you wish to remove? y
Remove user's home directory (/home/jru)? y
Updating password file, updating databases, done.
Updating group file: trusted (removing group swingme -- personal group is empty) done.
Removing user's incoming mail file /var/mail/swingme: done.
Removing files belonging to swingme from /tmp: done.
Removing files belonging to swingme from /var/tmp: done.
Removing files belonging to swingme from /var/tmp/vi.recover: done.
#
3. 수정하기
passwd 명령어를 이용하여 자신의 비밀번호를 바꾸거나 수퍼유저(root) 가 다른 사용자 계정의 비밀번호를 바꿀 수 있다.
swingme 계정으로 로긴상태에서 passwd 를 입력하였을 경우
#passwd
Changing local password for swingme
Old password: <- swingme 계정이 기존에 사용하고 있던 비밀번호 입력
New password: <- swingme 계정이 새로 사용할 비밀번호 입력
Retype new password: <- 새로운 비밀번호 재 입력
passwd: updating the database...
passwd: done
root 계정이 다른 사용자의 비밀번호를 변경할 경우
# passwd swingme <- swingme 계정의 비밀번호를 변경
Changing local password for swingme
New password: <- swingme 계정이 새로 사용할 비밀번호 입력
Retype new password: <- 새로운 비밀번호 재 입력
passwd: updating the database...
passwd: done
ssh를 사용하여 iizs@serverA에서 giraffe@serverB로 로긴하는 경우, 아무런 설정이 되어있지 않은 경우라면, 다음과 같이 로긴할 때마다 암호를 입력해야만 한다.
[iizs@serverA]$ ssh giraffe@serverB
giraffe@serverB's password:
[giraffe@serverB]$
자주 들락거리는 서버의 경우라 매번 암호를 입력하는 것이 번거롭다고 느껴진다면, 다음과 같은 작업으로 인증을 자동으로 수행하도록 할 수 있다.
먼저 serverA에서 ssh key를 생성해야한다. 다음과 같이 생성한다.
[iizs@serverA]$ ssh-keygen -t rsa
Enter file in which to save the key (/home/iizs/.ssh/id_rsa)
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/iizs/.ssh/id_rsa
Your public key has been saved in /home/iizs/.ssh/id_rsa.pub
The key fingerprint is:
b6:a5:b9:87:3f:4e:5a:f3:19:11:22:33:55:66:22:99 iizs@serverA
화면에 나오는 지시를 따르면, 다음과 같이 id_rsa, id_rsa.pub 두 개의 파일이 생성된 것을 확인할 수 있다.
[iizs@serverA]$ ls -l /home/iizs/.ssh/
합계 12
-rw------- 1 iizs user 887 1월 14 17:50 id_rsa
-rw-r--r-- 1 iizs user 218 1월 14 17:50 id_rsa.pub
-rw-r--r-- 1 iizs user 234 1월 14 17:45 known_hosts
id_rsa는 private key이고, id_ras.pub는 public key이다. permission을 보면 알 수 있겠지만, public key는 다른 사람들에게 노출되어도 관계없지만, private key는 다른 사람들에게 노출되면 곤란하다.
public key의 내용을 보면 다음과 같다. 여러 줄로 나누어져 보이겠지만, 모두 한 줄에 있는 내용이다.
[iizs@serverA]$ cat /home/iizs/.ssh/id_rsa.pub
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEA5DpyjQOwyqTnCorIlW6u1h0QA+xjiT7gqsCasdfghjPsng/r/cKNWFenw7oB+1gDSV7WOzW1sbA/1234567890EWczfX3ZNhlbInvgC1cX6+721234567890T8Qp3x5w2hYlD+PqMatnlmiBTFrju3Ndls2AYUcMkxepUduDBwU= iizs@serverA
이제 serverB로 가자. serverB의 ~/.ssh/ 디렉토리에 authorized_keys라는 파일이 있을 것이다. (없다면 새로 만든다.) 그리고 그 파일에 위 내용을 입력한다. 입력 내용을 다음과 같이 확인해보자.
[giraffe@serverB]$ tail -1 /home/giraffe/.ssh/authorized_keys
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEA5DpyjQOwyqTnCorIlW6u1h0QA+xjiT7gqsCasdfghjPsng/r/cKNWFenw7oB+1gDSV7WOzW1sbA/1234567890EWczfX3ZNhlbInvgC1cX6+721234567890T8Qp3x5w2hYlD+PqMatnlmiBTFrju3Ndls2AYUcMkxepUduDBwU= iizs@serverA
이제 serverA에서 serverB로 접속해보자.
[iizs@serverA]$ ssh giraffe@serverB
바로 접속이 되는 것을 볼 수 있을 것이다. 혹시, 자동으로 접속이 되지 않고 암호를 물어온다면, 다음과 같이 명령을 내린다.
[iizs@serverA]$ ssh -i /home/iizs/.ssh/id_rsa giraffe@serverB
이렇게해도 안된다면, 위 과정에서 무엇인가 실수를 한 것이니 천천히 실수한 것을 찾아보도록 한다. =)
덧붙임. 위에 나온 각종 key 및 서버이름들은 악용의 소지를 막기 위해 의도적으로 조작되었음.
|
