취약점 진단 가이드/UNIX 서버 진단 가이드

U-03(상) 계정 잠금 임계값 설정

H.J.World 2020. 8. 25. 10:10
728x90
반응형

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 Unix 점검 항목


■ 취약점 개요

○ 점검개요 : 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검

○ 점검목적 : 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검하여 비인가자의 공격(무작위 대입 공격, 사전 대입 공격, 추측 공격 등) 시도 시 로그인 실패 임계값에 따라 로그인을 차단하고 있는지 확인

○ 보안위협 : 로그인 실패 임계값이 설정되어 있지 않을 경우 반복되는 로그인 시도에 대한 차단이 이루어지지 않아 각종 공격(무작위 대입 공격, 사전 대입 공격, 추측 공격 등)에 취약하여 비인가자에게 사용자 계정 패스워드를 유출 당할 가능성 존재

○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등

○ 판단기준

- 양호 : 계정 잠금 임계값이 5 이하의 값으로 설정되어 있는 경우
- 취약 : 계정 잠금 임계값이 설정되어 있지 않거나, 5 이하의 값으로 설정되지 않은 경우

■ 점검방법

○ SOLATIS

#cat /etc/default/login
RETRIES=5

ㆍSOLARIS 5.9 이상 버전일 경우 추가적으로 “policy.conf” 파일 확인
#cat /etc/security/policy.conf
LOCK_AFTER_RETRIES=YES

○ LINUX

#cat /etc/pam.d/system-auth
auth required /lib/security/pam tally.so deny=5
unlock time=120 no magic root
account required /lib/security/pam tally.so no magic root reset

○ AIX

#cat /etc/security/user
loginretries=5

○ HP-UX

#cat /tcb/files/auth/system/default
u_maxtries#5

ㆍHP-UX 11.v3 이상일 경우 “security” 파일 확인
#cat /etc/default/security
AUTH_MAXTRIES=5

■ 조치방안

○ SOLATIS


vi 편집기를 이용하여 “/etc/default/login” 파일 열기
아래와 같이 수정 또는, 신규 삽입

(수정 전)#RETRIES=2
(수정 후)RETRIES=5

○ LINUX


vi 편집기를 이용하여 “/etc/pam.d/system-auth” 파일 열기
아래와 같이 수정 또는, 신규 삽입

auth required /lib/security/pam_tally.so deny=5 unlock_time=120
no_magic_root
account required /lib/security/pam_tally.so no_magic_root reset


옵션
설명
no_magic_root
root에게는 패스워드 잠금 설정을 미적용
deny=5
5회 입력 실패 시 패스워드 잠금
unlock_time
계정 잠김 후 마지막 계정 실패 시간부터 설정된 시간이 지나면 자동 계정 잠김 해제 (단위 : 초)
reset
접속 시도 성공 시 실패한 횟수 초기화

 

○ AIX


vi 편집기를 이용하여 “/etc/security/user” 파일 열기
아래와 같이 수정 또는, 신규 삽입

(수정 전)loginretries = 0
(수정 후)loginretries = 5

○ HP-UX


vi 편집기를 이용하여 “/tcb/fiIes/auth/system/default” 파일 열기
아래와 같이 수정 또는, 신규 삽입

(수정 전)u_maxtries#
(수정 후)u_maxtries#5

ㆍHP-UX 11.v3 이상일 경우 “security” 파일 확인
vi 편집기를 이용하여 “/etc/default/security” 파일 열기
아래와 같이 수정 또는, 신규 삽입

(수정 전)#AUTH_MAXTRIES=0
(수정 후)AUTH_MAXTRIES=5

728x90
반응형