[Linux 보안] 리눅스 계정 관리 - 계정 잠금 임계값 설정

[Linux 보안] 리눅스 계정 관리 - 계정 잠금 임계값 설정

■ 대상 OS : SunOS, Linux, AIX, HP-UX

■ 취약점 개요

    - 침입자에 의한 패스워드 "무작위 대입 공격(Brute Force Attack)이나 패스워드 추측 공격(Password Guessing) 발생 시 암호 입력 실패 횟수를 적정하게 제한함으로써 자동공격을 차단하고 공격 시간을 지체시켜 패스워드 유출 위험을 줄일 수 있음

    ※ 무작위 대입 공격(Brute Force Attack) : 컴퓨터로 암호를 해독하기 위해 가능한 모든 키를 하나하나 추론해 보는 시도

■ 보안대책

    - 양호 : 계정 잠금 임계값이 5이하의 값으로 설정되어 있는 경우

    - 취약 : 계정 잠금 임계값이 설정되어 있지 않거나, 5 이하의 값으로 설정되지 않은 경우

■ 조치방법

    - 계정 잠금 임계값을 5 이하로 설정

■ 보안설정 방법

    ◆ OS별 점검 파일 위치 및 점검 방법

        - SunOS

          #cat /etc/default/login

          RETRIES=5

          SunOS 5.9 이상 버전일 경우 추가적으로 "policy.conf" 파일 확인

          #cat /etc/security/policy.conf

          LOCK_AFTER_RETRIES=YES

       - Linux

          #cat /etc/pam.d/system-auth

          auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root

          account required /lib/security/pam_tally.so no_magic_root reset

        - AIX

          #cat /etc/security/user

          loginretries=5

        - HP-UX

          #cat /tcb/files/auth/system/default

          u_maxtries#5

    ◆ 위에 제시한 설정이 해당 파일에 적용되지 않은 경우 아래의 보안설정 방법에 따라 설정

■ SunOS

   - SunOS 5.9 이하 버전

      1. vi 편집기를 이용하여 "/etc/default/login" 파일을 연 후

      2. 아래와 같이 수정 또는, 신규 삽입

         (수정 전) # RETRIES=2

         (수정 후)    RETRIES=5

    - SunOS 5.9 이상 버전

      1. vi 편집기를 이용하여 "/etc/default/login" 파일을 연 후

      2. 아래와 같이 수정 또는 신규 삽입 (계정 잠금 횟수 설정)

         (수정 전) #RETRIES=2

         (수정 후)   RETRIES=5

      3. vi 편집기를 이용하여 "/etc/security/policy.conf" 파일을 연 후

      4. 아래와 같이 수정 또는, 신규 삽입 (계정 잠금 정책사용 설정)

         (수정 전) #LOCK_AFTER_RETRIES=NO

         (수정 후)   LOCK_AFTER_RETRIES=YES

■ Linux

    1. vi 편집기를 이용하여 "/etc/pam.d/system-auth" 파일을 연 후

    2. 아래와 같이 수정 또는, 신규 삽입

        auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root

        account required /lib/security/pam_tally.so no_magic_root reset

옵 션	설 명
no_magic_root	root에게는 패스워드 잠금 설정을 적용하지 않음
deny=5	5회 입력 실패 시 패스워드 잠금
unlock_time	계정잠김 후 마지막 계정 실패 시간부터 설정된 시간이 지나면 자동 계정 잠김 해제 (단위 : 초)
reset	접속 시도 성공 시 실패한 횟수 초기화

■ AIX

    1. vi 편집기를 이용하여 "/etc/security/user" 파일을 연 후

    2. 아래와 같이 수정 또는, 신규 삽입

      (수정 전) loginretries = 0

       (수정 후) loginretries = 5

■ HP-UX

    1. vi 편집기를 이용하여 "/tcb/files/auth/system/default" 파일을 연 후

    2. 아래와 같이 수정 또는, 신규 삽입

       (수정 전) u_maxtries#

       (수정 후) u_maxtries#5

    ※ HP-UX 서버에 계정 잠금 정책 설정을 위해서는 HP-UX 서버가 Trusted Mode로 동작하고 있어야하므로 Trusted Mode로 전환한 후 잠금 정책 적용

■ 조치 시 영향

    - Trusted Mode로 전환 시 파일시스템 구조가 변경되어 운영 중인 서비스에 문제가 발생할 수 있으므로 충분한 테스트를 거친 후 Trusted Mode 의 전환이 필요함

※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853

문의 사항 남기기