티스토리 뷰
반응형
- 대상 OS : SunOS, Linux, AIX, HP-UX
- 위험 분석
- 계정 비밀번호에 대한 무작위 입력으로 인해 비인가자에게 로그인 권한을 탈취될 수 있다.
- 계정 사용가능 시간 설정/잠금 시간 설정 등 각종 로그인 관련한 임계값 설정의 적절성 여부를 점검
※ 무작위 대입 공격(Brute Force Attack) : 컴퓨터로 암호를 해독하기 위해 가능한 모든 키를 하나하나 추론해 보는 시도
- 위험 영향 : 미 설정 시 패스워드 노출 위험 영향
■ 조치방법
- 계정 잠금 임계 값 및 잠금 기간을 설정하여 공격자가 일정 횟수 이상의 로그인 시도를 차단함
- 패스워드 정책에 따라 설정 또는 ‘5회 이하(안행부 취약점 분석평가 기준)’ 설정권고
■ 보안설정 방법
- Solaris -
/etc/default/login 파일에서 RETRIES 및 DISABLETIME 값(초)을 수정
# vi /etc/default/login
RETRIES=3
DISABLETIME=30
※ 10 이상 버전일 경우 /etc/security/policy.conf에서 LOCK_AFTER_RETRIES=YES로 변경
- HP-UX -
-> Standard mode의 경우(HP-UX 11.v3 이상부터 적용 가능)
/etc/default/security 파일에서 AUTH_MAXTRIES 값을 수정하여 임계값 설정
# vi /etc/default/security
AUTH_MAXTRIES=3
-> rusted mode의 경우
/tcb/files/auth/system/default 파일에서 u_maxtries 값을 수정하여 임계값 설정
# vi /tcb/files/auth/system/default
u_maxtries#3
※ HP-UX 서버에 계정 잠금 정책 설정을 위해서는 HP-UX 서버가 Trusted Mode로 동작하고 있어야하므로 Trusted Mode로 전환한 후 잠금 정책 적용
※ 잠긴 계정을 풀기 위해서는 root로 접속해 수동으로 아래 명령어를 수행해야 함
Standard mode의 경우
# userdbset -d -u username auth_failures
Trusted mode의 경우
# audusr -d -u username auth_failures
- AIX -
/etc/security/user 파일과 /etc/security/login.cfg 파일에서 각 계정의 loginretries 및 loginreenable 값(초)을 수정하여 임계 값 설정(해당 값이 없을 경우 추가)
# vi /etc/security/user
loginretries=3
# vi /etc/security/login.cfg
loginreenable=360
또는 chuser 명령어를 통해 설정이 가능
# chuser loginretries=3 <계정명>
# chuser loginreenable=360 <계정명>
- Linux -
Fedora & Gentoo & Red Hat의 경우 /etc/pam.d/system-auth 파일에서 아래와 같이 설정
(Ubuntu & Suse & Debian의 경우 /etc/pam.d/common-auth)
32비트
auth required pam_tally.so deny=5 unlock_time=120 no_magic_root
account required pam_tally.so no_magic_root reset
64비트
auth required pam_tally2.so deny=5 unlock_time=120 no_magic_root
account required pam_tally2.so no_magic_root
<설명>
- no_magic_root
: root에게는 패스워드 잠금 설정을 하지 않음
- deny=5
: 5회 입력 실패 시 패스워드 잠금
- unlock_time
: 계정이 잠긴 후 풀릴 때 까지의 시간(초단위)
- reset
: 접속시도 성공 시 실패한 횟수 리셋
※ 접속 실패 횟수 리셋하는 방법
pam_tally2 –u <계정이름> -r
pam_tally –user <계정이름> --reset
반응형
'인프라 진단 > Linux 진단' 카테고리의 다른 글
[Linux / 인프라 진단] 사용자 인증 - 1. root 계정 원격 접속 제한 (0) | 2020.11.16 |
---|
댓글