[Linux 보안] 리눅스 계정 관리 - 패스워드 최소 길이 설정

[Linux 보안] 리눅스 계정 관리 - 패스워드 최소 길이 설정

■ 대상 OS : SunOS, Linux, AIX, HP-UX

■ 취약점 개요

    - 패스워드 무작위 대입 공격(Brute Force Attack)이나 패스워드 추측 공격(Password Guessing)을 피하기 위하여 패스워드 최소 길이가 설정되어 있는지 점검함

    - 패스워드 최소 길이가 설정되어 있지 않거나, 짧게 설정되어 있을 경우 쉽게 유추될 수 있음

■ 보안대책

    - 양호 : 패스워드 최소 길이가 8자 이상으로 설정되어 있는 경우

    - 취약 : 패스워드 최소 길이가 8자 미만으로 설정되어 있는 경우

■ 조치방법

    - 패스워드 정책 설정파일을 수정하여 패스워드 최소 길이를 8자 이상으로 설정

■ 보안설정 방법

    ◆ OS별 점검 파일 위치 및 점검 방법

        - SunOS

          #cat /etc/default/passwd

          PASSLENGTH=8

        - Linux

          #cat /etc/login.defs

          PASS_MIN_LEN 8

        - AIX

          #cat /etc/security/user

          minlen=8

        - HP-UX

          #cat /etc/default/security

          MIN_PASSWORD_LENGTH=8

    ◆ 위에 제시한 설정이 해당 파일에 적용되지 않은 경우 아래의 보안설정 방법에 따라 설정

■ SunOS

    1. vi 편집기를 이용하여 "/etc/default/passwd" 파일을 연 후

    2. 아래와 같이 수정 또는, 신규 삽입

       (수정 전) PASSLENGTH=6

       (수정 후) PASSLENGTH=8

■ Linux

    1. vi 편집기를 이용하여 "/etc/login.defs" 파일을 연 후

    2. 아래와 같이 수정 또는, 신규 삽입

       (수정 전) PASS_MIN_LEN 6

       (수정 후) PASS_MIN_LEN 8

■ AIX

    1. vi 편집기를 이용하여 "/etc/security/user" 파일을 연 후

    2. default: 부분을 아래와 같이 수정 또는, 신규 삽입

       (수정 전) minlen=4

       (수정 후) minlen=8

■ HP-UX

    1. vi 편집기를 이용하여 "etc/default/security" 파일을 연 후

    2. 아래와 같이 수정 또는, 신규 삽입

       (수정 전) MIN_PASSWORD_LENGTH=

       (수정 후) MIN_PASSWORD_LENGTH=8

※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853

문의 사항 남기기