[리눅스 서버] 서버보안 가이드 - 계정관리(4)
■ 취약점 구분 : 계정관리
■ 취약점 항목 : 패스워드 정책 설정
■ 대상 OS : Linux
■ 위험도 : 상
■ 방법 : 패스워드 추측 공격을 방지하기 위한 사용자 패스워드 정책 설정
■ 내용
- 패스워드 길이, 사용기간, 잠금정책 등을 설정하여 무차별 대입공격 등에 대응
① 패스워드 최소길이 및 최대 사용기간 설정
▶ 패스워드 최소길이 : 패스워드 최소길이가 설정되어 있지 않거나 짧게 설정되어 있을 경우 취약한 패스워드를 사용함으로 인해 악의적인 사용자가 패스워드를 쉽게 유추 할 수 있음
▶ 패스워드 최대 사용기간 : 패스워드가 임의의 경로를 통해 유출되었을 때, 임의로 접속한 사용자가 언제든 다시 접속할 수 있는 환경을 방지하기 위해 패스워드 날짜 제한을 점검함
② 로그인 실패 시 계정 잠금 설정
▶ deny : 계정 잠금 임계값 -> 5회로 설정(5번 이상 로그인 실패 시 unlock_time만큼 계정을 잠금)
▶ reset : 잠김 계정에 다시 접속 시도하여 성공하면 로그인 실패한 횟수 리셋
■ 조치방법
① 패스워드 최소길이 및 최대 사용기간 설정
- /etc/login.def 파일을 실행하여 아래와 같이 설정
# vi /etc/login.defs
PASS_MIN_LEN 9 //패스워드 최소 길이를 9자로 설정
PASS_MAX_DAYS 90 //패스워드 최대 사용기간을 90일로 설정
② 로그인 실패 시 계정 잠금 설정
<pam_tally_so를 사용하는 경우>
# vi /etc/pam.d/system-auth //파일 내에 아래 구문 추가
auth required pam_tally.so no_magic_root
account reauired pam_tally.so deny=10 unlock_time=3600 no_magic_root reset
<pam_tallyy2.so를 사용하는 경우>
# vi /etc/pam.d/system-auth //파일 내에 아래 구문 추가
auth required pam_tally2.so deny=10 unlock_time=3600 no_magic_root reset
account required pam_tally2.so no_magic_root
※ 주의사항
- Linux 계열에 따라 system-auth 파일의 pam_tally 경로가 상이할 수 있으므로, 해당 파일의 default 형식에 맞게 설정해야 함
예) auth required /lib/security/pam_tally.so
또는, auth required /lib/security/$ISA/pam_tally.so 또는 auth required pam_tally.so 등
- Ubuntu의 경우 길이제한 부분은 # vi /etc/pam.d/common-password를 실행하여 아래와 같은 설정을 적용
(수정 전) password [success=1 default=ignore] pam_unix.so obscure sha512
(수정 후) password [success=1 default=ignore] pam_unix.so obscure min=8 sha512
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 리눅스 서버' 카테고리의 다른 글
| [리눅스 서버] 서버보안 가이드 - 데몬 설정파일 취약점 (0) | 2016.10.06 |
|---|---|
| [리눅스 서버] 서버보안 가이드 - su 사용제한 (0) | 2016.10.04 |
| [리눅스 서버] 서버보안 가이드 - 계정관리(3) (0) | 2016.10.01 |
| [리눅스 서버] 서버보안 가이드 - 파일 권한 설정 (0) | 2016.09.30 |
| [리눅스 서버] 서버보안 가이드 - 계정관리 (0) | 2016.09.29 |