[리눅스 서버] 서버보안 가이드 - 계정관리(4)

2016. 10. 1. 12:41·Infra/리눅스 서버

[리눅스 서버] 서버보안 가이드 - 계정관리(4)

 

 

■ 취약점 구분 : 계정관리

 

■ 취약점 항목 : 패스워드 정책 설정

 

■ 대상 OS : Linux

 

■ 위험도 : 상

 

■ 방법 : 패스워드 추측 공격을 방지하기 위한 사용자 패스워드 정책 설정

 

■ 내용

    - 패스워드 길이, 사용기간, 잠금정책 등을 설정하여 무차별 대입공격 등에 대응

      ① 패스워드 최소길이 및 최대 사용기간 설정

          ▶ 패스워드 최소길이 : 패스워드 최소길이가 설정되어 있지 않거나 짧게 설정되어 있을 경우 취약한 패스워드를 사용함으로 인해 악의적인 사용자가 패스워드를 쉽게 유추 할 수 있음

          ▶ 패스워드 최대 사용기간 : 패스워드가 임의의 경로를 통해 유출되었을 때, 임의로 접속한 사용자가 언제든 다시 접속할 수 있는 환경을 방지하기 위해 패스워드 날짜 제한을 점검함

 

      ② 로그인 실패 시 계정 잠금 설정

          ▶ deny : 계정 잠금 임계값 -> 5회로 설정(5번 이상 로그인 실패 시 unlock_time만큼 계정을 잠금)

          ▶ reset : 잠김 계정에 다시 접속 시도하여 성공하면 로그인 실패한 횟수 리셋

 

■ 조치방법

    ① 패스워드 최소길이 및 최대 사용기간 설정

        - /etc/login.def 파일을 실행하여 아래와 같이 설정

          # vi /etc/login.defs

             PASS_MIN_LEN       9                //패스워드 최소 길이를 9자로 설정

             PASS_MAX_DAYS    90              //패스워드 최대 사용기간을 90일로 설정

 

    ② 로그인 실패 시 계정 잠금 설정

        <pam_tally_so를 사용하는 경우>

          # vi /etc/pam.d/system-auth         //파일 내에 아래 구문 추가

             auth  required  pam_tally.so no_magic_root

             account  reauired  pam_tally.so deny=10 unlock_time=3600 no_magic_root reset

 

        <pam_tallyy2.so를 사용하는 경우>

          # vi /etc/pam.d/system-auth        //파일 내에 아래 구문 추가

             auth  required  pam_tally2.so deny=10 unlock_time=3600 no_magic_root reset

             account  required  pam_tally2.so no_magic_root

 

※ 주의사항

    - Linux 계열에 따라 system-auth 파일의 pam_tally 경로가 상이할 수 있으므로, 해당 파일의 default 형식에 맞게 설정해야 함

      예) auth  required  /lib/security/pam_tally.so

           또는, auth  required  /lib/security/$ISA/pam_tally.so 또는 auth  required  pam_tally.so 등

    - Ubuntu의 경우 길이제한 부분은 # vi /etc/pam.d/common-password를 실행하여 아래와 같은 설정을 적용

      (수정 전) password     [success=1  default=ignore]  pam_unix.so  obscure sha512

      (수정 후) password     [success=1  default=ignore]  pam_unix.so  obscure min=8 sha512




※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853


문의 사항 남기기

 

저작자표시 비영리 변경금지 (새창열림)

'Infra > 리눅스 서버' 카테고리의 다른 글

[리눅스 서버] 서버보안 가이드 - 데몬 설정파일 취약점  (0) 2016.10.06
[리눅스 서버] 서버보안 가이드 - su 사용제한  (0) 2016.10.04
[리눅스 서버] 서버보안 가이드 - 계정관리(3)  (0) 2016.10.01
[리눅스 서버] 서버보안 가이드 - 파일 권한 설정  (0) 2016.09.30
[리눅스 서버] 서버보안 가이드 - 계정관리  (0) 2016.09.29
'Infra/리눅스 서버' 카테고리의 다른 글
  • [리눅스 서버] 서버보안 가이드 - 데몬 설정파일 취약점
  • [리눅스 서버] 서버보안 가이드 - su 사용제한
  • [리눅스 서버] 서버보안 가이드 - 계정관리(3)
  • [리눅스 서버] 서버보안 가이드 - 파일 권한 설정
하늘이데아
하늘이데아
IT에 관한 모든 것들, 궁금한 사항은 언제든지 문의~^^ 선박 사이버 복원력(Cyber ​​Resilience)/서버/네트워크/보안/솔루션/SI, SM/컨설팅/전산 유지보수 전문입니다. 070-4432-2177 / jyuhm@ufeed.co.kr
  • 하늘이데아
    IT 보물창고
    하늘이데아
  • 전체
    오늘
    어제
    • 분류 전체보기 (305)
      • (주)에스엔티코리아 (11)
        • 컨설팅 (2)
        • 데이터 센터(IDC) (0)
        • Infra (0)
      • Infra (224)
        • Server 일반 (0)
        • 윈도우 서버 (96)
        • 리눅스 서버 (90)
        • 가상화 (0)
        • Unix (0)
        • Network 일반 (4)
        • CCNA CCNP CCIE (3)
        • L4 - L7(알테온, 파이오링크) (1)
        • 방화벽 IPS IDS 웹방화벽 (27)
        • Storage (0)
        • NAS (0)
        • Cloud (1)
        • PC 일반 (1)
        • 모바일 (0)
        • 스마트 워크 (0)
        • 부대시설 (0)
      • News (7)
        • IT (0)
        • 엔터테이먼트 (2)
        • 게임 리뷰 (0)
      • Security (47)
        • Server Security (0)
        • Network Security (3)
        • Hacking & Security (44)
        • Security Policy (0)
        • PC Security (0)
      • AI & IoT (0)
        • AI (0)
        • IoT (0)
        • Big Data (0)
        • Block Chain (0)
      • DBMS (1)
        • Oracle (0)
        • My-SQL (1)
        • MS-SQL (0)
        • PostgreSQL (0)
        • Mongo DB (0)
        • IBM DB2 (0)
        • MS Access (0)
        • Cassandra (0)
        • Maria DB (0)
        • Tibero (0)
      • 솔루션 (14)
        • Management System (0)
        • 전자칠판 (0)
        • Monitoring System (0)
        • Operating System (0)
        • Open Source (0)
        • Kubernetes & Docker (0)
        • ERP, 그룹웨어, CRM, PMS (0)
        • DRM, DLP, 보안 USB (0)
        • 문서 중앙화 (0)
        • 통합 소방방재 시스템 (1)
        • 반려동물 ICT (2)
        • Office 365 (기업 최적화), 컨설팅 (0)
        • 지능형 CCTV (0)
        • BMS 빌딩 통합관리 시스템 (0)
        • 재택근무 & 화상회의 시스템 (10)
        • Etc. (1)
      • 기획 Planning (1)
        • 전산기획 (0)
        • Design UI UX (1)
        • 회사생활 Mind (인사평가) (0)
      • Tip & Know How (0)
        • Office 365 (0)
  • 블로그 메뉴

    • 태그
    • 방명록
  • 링크

  • 공지사항

  • 인기 글

  • 태그

    윈도우보안
    리눅스 보안
    IPS
    홈페이지취약점
    방화벽
    AIX
    IT보물창고
    홈페이지_개발보안
    AIX보안
    보안취약점
    서버보안
    리눅스 파일 및 디렉토리 관리
    Security
    SunOS 보안
    HP UX 보안
    윈도우서버
    홈페이지
    서버
    Cisco
    AIX 보안
    리눅스
    에스엔티코리아
    보안
    VPN
    보안장비
    HP UX보안
    서버관리
    SunOS
    리눅스보안
    SunOS보안
  • 최근 댓글

  • 최근 글

  • hELLO· Designed By정상우.v4.10.3
하늘이데아
[리눅스 서버] 서버보안 가이드 - 계정관리(4)
상단으로

티스토리툴바