SharedIT | 묻고 답하기(AMP)

서버 패스워드 자동 변경 프로그램 문의

다수의 서버를 관리하고 있습니다.

보안상 분기마다 한번씩 서버 패스워드를 변경해줘야 하는데요.

많은 서버를 관리하다 보니, 변경하는데도 많은 시간이 필요합니다.

aix, solaris, hp-ux, linux(rhel, centos 등), 윈도우 서버 등... 패스워드 변경해야 하는 경우(자동 변경)

참고할만한 솔루션이 있을까요?

오픈소스면 더 좋을것 같습니다. 



Tags : 태그가 없습니다.

5개의 답변이 있습니다.

BaroPAM
  0 추천 | 3년 이상 전 | 주식회사 누리아이티 | 010-2771-4076

지금까지 하는 방법은 주기적으로 패스워드를 변경하는 것 보다 생각의 전환이 필요한 것 같습니다.

2-factor 인증 솔루션을 Linux/Unix에 적용하면 암호와 같이 OTP를 입력할 경우, 암호를 먼저 입력하고 공백 없이 이어서 OTP를 입력하면 됩니다. 예를 들어 암호가 "baropam" 이고 일회용 인증키가 "123456" 이라면 "baropam123456"으로 입력하면 됩니다.


OTP 생성 주기가 30초 이면 30초 마다 비밀번호가 바뀌기 때문에 고전적 방법인  주기적으로 서버 비밀번호를 바꿀 필요가 없습니다.



오픈마인드 | 3년 이상 전

OTP는 단말기(?)를 지급해 주어야 할것 같은데요. 추가적인 비용이 발생할듯 합니다. 

구글에서 주는 앱으로 된 otp를 연동할수 있나요?

제일 안전한 방법이 될수 있겠네요.

deerokgo
  0 추천 | 3년 이상 전

IaC (Infrastructure as a Code) 관련된 오픈소스 사용하시면 됩니다.

IaC는 말 그대로 인프라 관리를 코드로 한다는 개념입니다.

IaC Tool에는 많이 사용하는 Ansible과 Terraform 이 있습니다.

해당 홈페이지에서 쉽게 다운로드 받을 수 있고요.

사용하는 곳도 많아서 사례도 어렵지 않게 찾아볼 수 있습니다.


참고로 IaC를 사용하시면 소프트웨어 패치, 배포 등을 쉽게 할 수 있고,

수십대의 하드웨어 관리를 편리하게 할 수 있습니다.

오픈마인드 | 3년 이상 전

Terraform은 처음 들어봤습니다.  장단점이 있을듯 보여지는데 찾아봐야겠습니다.

일단, Ansible로 구현을 하면 좋을것 같습니다. 

공부를 좀 해보고, Front-end, Back-end 어떻게 구현할지 재미있을것 같습니다. 

윈도우도 문제없이 잘 되면 좋을 것 같습니다;; 

낭만생선
  0 추천 | 3년 이상 전

서버 접근 제어 솔루션에서 그런 기능들을 포함하고 있을겁니다.

서버 - 접근제어 솔루션 - 접근제어 콘솔 - 사용자

의 구성으로 되어 있고

접근제어 솔루션은 서버의 계정을 주기적으로 변경하고

사용자는 접근제어 콘솔의 비번만 관리하면 부여된 권한으로 접근이 되는 방식이죠.

Audit에 맞는 기능들도 다 구비하고 있고요.

금융권은 거의다 쓰는걸로 알고 있네요.

비번을 자동으로 바꾸면, 정상적인 접근에 대한 정보도 변경이 되어야 하기 때문에

이런 솔루션이 필요할겁니다.

오픈마인드 | 3년 이상 전

서버 접근 제어 솔루션을 사용하고 있으나,  

패스워드 변경 부분과 관련해... 불편한점이 있어 여쭤보게되었습니다. ^^;

wansoo
  0 추천 | 3년 이상 전

모두 유닉스와 리눅스이네요.

스크립트를 이용해서 변경시키면 될 거 같습니다.

ssh 접속 가능한 서버들이라면 ssh 접속해서 변경 시키면 되겠고요.

ssh 접속이 안되고 telnet 접속만 가능하다면...

전체 서버 암호 변경을 제어하려는 컴퓨터에 expect shell을 설치해서 스크립트를 작성하면 되겠고요.

스크립트도 복잡하지않게 작성가능할 거 같습니다.


expect shell 설치는 REDHAT, CentOS 계열이면 yum install expect 명령을 주면 되겠고...

데비안, 우분투 계열이면 apt install expect 명령을주면 되겠고요.


각 서버별로 expect shell을 이용해서 로긴하고 암호 변경 명령을 줘서 암호를 변경 시키고, 접속을 종료하는 형식으로 반복 작업하는 형식으로 하면 될 것 같네요.

단지, 변경될 암호 규칙을 특정 알고리즘으로 할 것인지, 저장된 파일로 할 것인지에 따라 변경할 암호를 가져오는 방법에 대한 고민이 있어야 할 것 같고요.


expect shell 스크립트는 인터넷 자료 참고해 보시면 많이 나오겠고요.

접속하고 암호변경하는 형식의 내용이라면 한 서버당 10줄 이내의 명령으로 가능할거라 보여 지고...

각서버에 대한 내용을 배열을 이용해서 반복 처리해 버린다면 3~40줄 정도의 명령이면 가능하지 않을까도 싶어 보이네요.

오픈마인드 | 3년 이상 전

expect shell은 찾아보겠습니다.

며칠동안 ansible로 구현을 해보는것도 좋을것 같아 구상중에 있었습니다. 참고하겠습니다.

다양한 OS가 존재하다 보니 범용성이 좋은 툴(?)이 좋을것 같은 생각이 듭니다. 

난수는 패스워드 변경시 생성하면 될것 같구요. 

재미있을듯 합니다. 

Genghis Khan
  0 추천 | 3년 이상 전

https://guide.jinbo.net/digital-security/computer-security/how-to-use-keepassxc

현재 유료 솔루션을 사용하고 있고

오픈소스를 찾으시는것 같아 위 링크 참고하세요

오픈마인드 | 3년 이상 전

자동으로 변경시켜주는 솔루션이 필요합니다.

관리자 권한 있는 사람만 변경가능하구요. 물론 OS상에서 바로 변경하는 것은 상관없구요.