null password를 가지는 unix 계정을 만들수 없는가?
로빈아빠
본문
임의로 사용하기 위하여 패스워드가 없는 계정을 만드는것은 상당히 위험하다.
특별한 이유가 있어서라기보다는 크래커가 이용할 수 있는 거점을 제공할 수있
기 때문이다.
예를들어,누군가가 패스워드가 없는 계정인 'sync'를 찾아내고 login 과정없이 디
스크를 사용하게 되었다고 가정하자. 이것은 안전하고 위험해 보이지 않을 수도
있다.
그러나 당신의 시스템이 FTP에 접속하기 전에 사용자를 검사하지 않는 시스템
중의 하나라면 문제가 발생할 수 있다. 크래커는 다양한 FTP방법을 이용하여
접속을 하고, 패스워드가 없는 계정 'sync'를 이용해서, 패스워드 파일을 복사해
가 수 있다.
유닉스의 최신버전은 이런 종류의 사건을 미리 방지하는 기능을 갖고 있지만,완
전하게 안전한 시스템을 위해서는 시스템의 모든 프로그램과 사용자확인법 등에
관해서 깊이 있는 지식을 가지고있어야 한다.
null-password가 갖고있는 또 다른 문제점은,자신의 라이브러리에 있는
LD_LIBRARY_PATH 변수를 바꿔서 'login -p'또는 'su'를 실행시킴으로써 자신
의 프로그램을 'sync'가 사용한 것처럼 시스템 프로그램을 속일 가능성이 있다
는 것이다.
특별한 이유가 있어서라기보다는 크래커가 이용할 수 있는 거점을 제공할 수있
기 때문이다.
예를들어,누군가가 패스워드가 없는 계정인 'sync'를 찾아내고 login 과정없이 디
스크를 사용하게 되었다고 가정하자. 이것은 안전하고 위험해 보이지 않을 수도
있다.
그러나 당신의 시스템이 FTP에 접속하기 전에 사용자를 검사하지 않는 시스템
중의 하나라면 문제가 발생할 수 있다. 크래커는 다양한 FTP방법을 이용하여
접속을 하고, 패스워드가 없는 계정 'sync'를 이용해서, 패스워드 파일을 복사해
가 수 있다.
유닉스의 최신버전은 이런 종류의 사건을 미리 방지하는 기능을 갖고 있지만,완
전하게 안전한 시스템을 위해서는 시스템의 모든 프로그램과 사용자확인법 등에
관해서 깊이 있는 지식을 가지고있어야 한다.
null-password가 갖고있는 또 다른 문제점은,자신의 라이브러리에 있는
LD_LIBRARY_PATH 변수를 바꿔서 'login -p'또는 'su'를 실행시킴으로써 자신
의 프로그램을 'sync'가 사용한 것처럼 시스템 프로그램을 속일 가능성이 있다
는 것이다.
관련링크
댓글목록
등록된 댓글이 없습니다.