[리눅스 보안] 리눅스 계정관리 - Session Timeout 설정

[리눅스 보안] 리눅스 계정관리 - Session Timeout 설정

■ 대상 OS : SunOS, Linux, AIX, HP-UX

■ 취약점 개요

    - 계정이 접속된 상태로 방치될 경우 권한이 없는 사용자에게 중요시스템이 노출되어 악의적인 목적으로 사용될 수 있으므로 일정 시간 이후 어떠한 이벤트가 발생하지 않으면 연결을 종료하는 Session Timeout 설정이 필요함

■ 보안 대책

    - 양호 : Session Timeout이 600초(10분) 이하로 설정되어 있는 경우

    - 취약 : Session Timeout이 600초(10분) 이하로 설정되지 않은 경우

■ 조치방법

    - 600초(10분) 동안 입력이 없을 경우 접속된 Session을 끊도록 설정

■ 보안설정 방법

    ◆ OS별 점검 파일 위치 및 점검 방법

        - SunOS

          #cat /etc/default/login

          TIMEOUT=600

          export TMOUT

        - Linux, AIX, HP-UX

          <sh, ksh, bash 사용 시>

            #cat /etc/profile(.profile)

            TIMEOUT=600

            export TMOUT

          <csh 사용 시>

            #cat /etc/csh.login 또는, #cat /etc/csh.cshrc

            set autologout=10

     ※ 위에 제시한 설정이 해당 파일에 적용되지 않은 경우 아래의 보안설정 방법에 따라 설정을 변경

■ SunOS

    1. vi 편집기를 이용하여 "/etc/default/login" 파일을 연 후

    2. 아래와 같이 수정 또는 신규 삽입

        TIMEOUT=600   (단위 : 초)

        export TMOUT

■ Linux, AIX, HP-UX

   - sh(born shell), ksh(korn shell), bash(born again shell)을 사용하는 경우

      1. vi 편집기를 이용하여 "/etc/profile(.profile)" 파일을 연 후

      2. 아래와 같이 수정 또는, 추가

         TIMEOUT=600   (단위 : 초)

         export TMOUT

    - csh 를 사용하는 경우

      1. vi 편집기를 이용하여 "/etc/csh.login" 또는, "/etc/csh.cshrc" 파일을 연 후

      2. 아래와 같이 수정 또는, 추가

         set autologout=10   (단위 : 분)

■ 조치 시 영향

    - 모니터링 용도로 사용할 경우 해당 계정의 환경변수 파일에만 예외적으로 600초 이상의 시간 입력

       (예 : root 로 모니터링 할 경우 /.profile, /.bash_profile 등에 600초 이상 입력

※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853

문의 사항 남기기