AIX 에서 계정과 패스워드가 맞을 때 permission Denied 뜰 경우 /etc/security/login.cfg 파일 내 Auth_Type 값을 수정하여
해결할 수 있습니다.
AIX (Advanced Interactive eXecutive)는 IBM의 유닉스 운영 체제입니다. AIX에서 /etc/security/login.cfg 파일은 로그인 관련 설정을 관리하는 중요한 구성 파일입니다. 이 파일은 사용자 인증, 로그인 제한, 로그인 메시지 등과 같은 다양한 로그인 관련 옵션을 설정하는 데 사용됩니다.
/etc/security/login.cfg 파일 내 Auth_Type 이 PAM_AUTH 일 경우 로그인이 안되었고, STD_AUTH 로 변경하자 정상적으로 SSH 접근이 가능했습니다.
Ⅰ. AIX 에서 /etc/security/login.cfg 파일의 주요 설정과 역할
1. usw:
usw 섹션은 일반적인 사용자 로그인 설정을 포함합니다. 여기에는 로그인 시도 제한, 로그인 메시지, 로그인 시간 제한 등이 포함될 수 있습니다.
| Ex) usw: shells = /bin/sh,/bin/csh,/bin/ksh,/bin/tsh,/bin/bsh,/bin/ksh93,/bin/tcsh,/bin/bash,/bin/dash,/bin/zsh logintimeout = 60 maxlogins = 32767 logindelay = 0 |
2. default:
default 섹션은 기본 로그인 설정을 정의합니다. 이 섹션에서 설정된 값은 특정 사용자가 별도로 설정되지 않은 경우에 적용됩니다.
| Ex) default: logintimeout = 60 logindelay = 0 maxlogins = 32767 |
3. auth_method:
auth_method 섹션은 인증 방법을 정의합니다. PAM (Pluggable Authentication Modules)과 같은 다양한 인증 모듈을 설정할 수 있습니다.
| Ex) auth_method: SYSTEM = "compat" registry = "files" |
4. usw:
usw 섹션은 일반적인 사용자 로그인 설정을 포함합니다. 여기에는 로그인 시도 제한, 로그인 메시지, 로그인 시간 제한 등이 포함될 수 있습니다.
| Ex) usw: shells = /bin/sh,/bin/csh,/bin/ksh,/bin/tsh,/bin/bsh,/bin/ksh93,/bin/tcsh,/bin/bash,/bin/dash,/bin/zsh logintimeout = 60 maxlogins = 32767 logindelay = 0 |
5. logindelay:
로그인 시도 사이의 지연 시간을 설정합니다. 이 설정은 브루트 포스 공격을 방지하는 데 유용할 수 있습니다.
| Ex) logindelay = 0 |
6. logintimeout:
로그인 시도 시 타임아웃 시간을 설정합니다. 사용자가 지정된 시간 내에 로그인하지 않으면 세션이 종료됩니다.
| Ex) logintimeout = 60 |
7. maxlogins:
시스템에 동시에 로그인할 수 있는 최대 사용자 수를 설정합니다.
| Ex) maxlogins = 32767 |
8. shells:
사용자가 사용할 수 있는 셸 목록을 정의합니다.
| Ex) shells = /bin/sh,/bin/csh,/bin/ksh,/bin/tsh,/bin/bsh,/bin/ksh93,/bin/tcsh,/bin/bash,/bin/dash,/bin/zsh |
/etc/security/login.cfg 파일을 편집할 때는 주의가 필요합니다. 잘못된 설정은 시스템 로그인 문제를 일으킬 수 있어 설정을 변경하기 전에 항상 백업을 만들어 두는 것이 좋습니다.
Ⅱ. AIX의 /etc/security/login.cfg auth_type 설정
AIX의 /etc/security/login.cfg 파일에서 auth_type 설정은 시스템이 사용자 인증을 수행하는 방식을 정의합니다. PAM_AUTH와 STD_AUTH는 두 가지 다른 인증 메커니즘을 나타냅니다.
두 가지 옵션의 차이점을 이해하는 것은 시스템의 보안 및 인증 요구 사항을 충족하는 데 중요합니다.
| 구분 | PAM_AUTH (Pluggable Authentication Modules Authentication) |
STD_AUTH (Standard Authentication) |
|
| 설명 | PAM_AUTH는 Pluggable Authentication Modules (PAM)을 사용하여 인증을 수행합니다. PAM은 모듈화된 방식으로 다양한 인증 방법을 지원하며, 시스템 관리자가 쉽게 인증 정책을 변경하고 확장할 수 있도록 합니다. | STD_AUTH는 전통적인 AIX 표준 인증 방식을 사용합니다. 이는 기본적으로 /etc/passwd와 /etc/security/passwd 파일을 사용하여 사용자 인증을 수행합니다. | |
| 장점 | 유연성 | 다양한 인증 모듈을 쉽게 추가하거나 제거할 수 있습니다. | 설정이 간단하며, 기본적인 로컬 사용자 인증에 적합합니다. |
| 확장성 | LDAP, Kerberos, RADIUS 등 다양한 외부 인증 시스템과 통합할 수 있습니다. | 오래된 시스템이나 특정 환경에서 호환성을 유지할 수 있습니다. | |
| 관리 용이성 | 중앙 집중식으로 인증 정책을 관리할 수 있습니다. | ||
| 설정예시 | auth_type: SYSTEM = "PAM_AUTH" |
auth_type: SYSTEM = "STD_AUTH" |
|
Ⅲ. Auth_type 에서 PAM_AUTH와 STD_AUTH 의 주요 차이점
ⅰ. 유연성 및 확장성
PAM_AUTH: 다양한 인증 모듈을 지원하며, LDAP, Kerberos 등 외부 인증 시스템과 쉽게 통합할 수 있습니다.
STD_AUTH: 전통적인 로컬 파일 기반 인증 방식을 사용하며, 확장성이 제한적입니다.
ⅱ. 관리 용이성
PAM_AUTH: 중앙 집중식으로 인증 정책을 관리할 수 있어 대규모 시스템에서 유리합니다.
STD_AUTH: 설정이 단순하지만, 대규모 시스템에서는 관리가 복잡해질 수 있습니다.
ⅲ. 보안
PAM_AUTH: 다양한 보안 모듈을 사용하여 보안 정책을 강화할 수 있습니다.
STD_AUTH: 기본적인 보안 기능을 제공하지만, 추가적인 보안 요구 사항을 충족하기에는 한계가 있을 수 있습니다.
'시스템(Linux)' 카테고리의 다른 글
| fsck(File System Consistency Check) 에 대해 알아보겠습니다. (0) | 2024.08.08 |
|---|---|
| fstab 명령어에 대해 알아보겠습니다. (0) | 2024.08.07 |
| AppAmor 에 대해 알아보겠습니다. (1) | 2024.07.01 |
| 리눅스에서 자신의 공인 IP 혹은 서비스 IP 찾는 방법 (0) | 2024.06.25 |
| 리눅스 및 유닉스 시스템에서 디렉토리와 파일의 디스크 사용량을 확인하는 명령어에 대해 알아보겠습니다. (0) | 2024.06.21 |