티스토리 뷰

인프라 진단/Linux 진단

[Linux / 인프라 진단] 사용자 인증 - 2. 계정 잠금 임계값 설정

보안청 2020. 11. 16. 09:08
반응형

 

  • 대상 OS : SunOS, Linux, AIX, HP-UX
  • 위험 분석

- 계정 비밀번호에 대한 무작위 입력으로 인해 비인가자에게 로그인 권한을 탈취될 수 있다.

- 계정 사용가능 시간 설정/잠금 시간 설정 등 각종 로그인 관련한 임계값 설정의 적절성 여부를 점검

※ 무작위 대입 공격(Brute Force Attack) : 컴퓨터로 암호를 해독하기 위해 가능한 모든 키를 하나하나 추론해 보는 시도
  • 위험 영향 : 미 설정 시 패스워드 노출 위험 영향

■ 조치방법

- 계정 잠금 임계 값 및 잠금 기간을 설정하여 공격자가 일정 횟수 이상의 로그인 시도를 차단함

- 패스워드 정책에 따라 설정 또는 ‘5회 이하(안행부 취약점 분석평가 기준)’ 설정권고

 

 보안설정 방법

- Solaris -

/etc/default/login 파일에서 RETRIES 및 DISABLETIME 값(초)을 수정

 # vi /etc/default/login

   RETRIES=3

   DISABLETIME=30

 

※ 10 이상 버전일 경우 /etc/security/policy.conf에서 LOCK_AFTER_RETRIES=YES로 변경

- HP-UX -

-> Standard mode의 경우(HP-UX 11.v3 이상부터 적용 가능)

/etc/default/security 파일에서 AUTH_MAXTRIES 값을 수정하여 임계값 설정

 # vi /etc/default/security

  AUTH_MAXTRIES=3

-> rusted mode의 경우

/tcb/files/auth/system/default 파일에서 u_maxtries 값을 수정하여 임계값 설정

 # vi /tcb/files/auth/system/default

   u_maxtries#3

※ HP-UX 서버에 계정 잠금 정책 설정을 위해서는 HP-UX 서버가 Trusted Mode로 동작하고 있어야하므로 Trusted Mode로 전환한 후 잠금 정책 적용

※ 잠긴 계정을 풀기 위해서는 root로 접속해 수동으로 아래 명령어를 수행해야 함

Standard mode의 경우

 # userdbset -d -u username auth_failures

Trusted mode의 경우

 # audusr -d -u username auth_failures

- AIX -

/etc/security/user 파일과 /etc/security/login.cfg 파일에서 각 계정의 loginretries 및 loginreenable 값(초)을 수정하여 임계 값 설정(해당 값이 없을 경우 추가)

 # vi /etc/security/user

   loginretries=3

 # vi /etc/security/login.cfg

   loginreenable=360

또는 chuser 명령어를 통해 설정이 가능

 # chuser loginretries=3 <계정명>

 # chuser loginreenable=360 <계정명>

- Linux -

Fedora & Gentoo & Red Hat의 경우 /etc/pam.d/system-auth 파일에서 아래와 같이 설정

(Ubuntu & Suse & Debian의 경우 /etc/pam.d/common-auth)

 

32비트

auth required pam_tally.so deny=5 unlock_time=120 no_magic_root

account required pam_tally.so no_magic_root reset

 

64비트

auth required pam_tally2.so deny=5 unlock_time=120 no_magic_root 
account required pam_tally2.so no_magic_root



<설명>
- no_magic_root
 : root에게는 패스워드 잠금 설정을 하지 않음

- deny=5
 : 5회 입력 실패 시 패스워드 잠금

- unlock_time
 : 계정이 잠긴 후 풀릴 때 까지의 시간(초단위)

- reset
 : 접속시도 성공 시 실패한 횟수 리셋




※ 접속 실패 횟수 리셋하는 방법 


pam_tally2 –u <계정이름> -r


pam_tally –user <계정이름> --reset
반응형

'인프라 진단 > Linux 진단' 카테고리의 다른 글

[Linux / 인프라 진단] 사용자 인증 - 1. root 계정 원격 접속 제한  (0) 2020.11.16
댓글
반응형
공지사항
최근에 올라온 글
최근에 달린 댓글
Total
Today
Yesterday
링크
TAG
more
«   2024/04   »
1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30
글 보관함