U-07(중) 패스워드 최소 길이 설정

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 Unix 점검 항목

■ 취약점 개요

○ 점검개요 : 시스템 정책에 패스워드 최소(8자 이상) 길이 설정이 적용되어 있는 점검

○ 점검목적 : 패스워드 최소 길이 설정이 적용되어 있는지 점검하여 짧은(8자 미만) 패스워드 길이로 발생하는 취약점을 이용한 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비(사용자 패스워드 유출)가 되어 있는지 확인

○ 보안위협 : 패스워드 최소 길이 설정이 적용되어 있지 않을 경우 비인가자의 각종 공격(무작위 대입 공격, 사전 대입 공격 등)에 취약하여 사용자 계정 패스워드 유출 우려

○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등

○ 판단기준

- 양호 : 패스워드 최소 길이가 8자 이상으로 설정되어 있는 경우(공공기관의 경우 9자리 이상)

- 취약 : 패스워드 최소 길이가 8자 미만으로 설정되어 있는 경우(공공기관의 경우 9자리 미만)

// * 공공기관은 9자리 이상으로 권고함 (컨설팅 수행 시)

■ 점검방법

○ SOLATIS, AIX

#cat /etc/default/passwd

PASSLENGTH=8

#cat /etc/security/user

minlen=8

○ LINUX

#cat /etc/login.defs

PASS_MIN_LEN 8

○ HP-UX

#cat /etc/default/security

MIN_PASSW0RD_LENGTH=8

 

■ 조치방안

○ SOLATIS, AIX, LINUX, HP-UX

1. vi 편집기를 이용하여 “/etc/defauIt/passwd” 파일 열기

2. 아래와 같이 수정 또는, 신규 삽입

(수정 전)PASSLENGTH=6

(수정 후)PASSLENGTH=8(or 9)

 

○ LINUX

1. vi 편집기를 이용하여 “/etc/login.defs” 파일 열기

2. 아래와 같이 수정 또는, 신규 삽입

(수정 전)PASS_MIN_LEN 6

(수정 후)PASS MIN LEN 8(or 9)

 

○ AIX

1. vi 편집기를 이용하여 “/etc/security/user” 파일 열기

2. default: 부분을 아래와 같이 수정 또는, 신규 삽입

(수정 전)minlen=4

(수정 후)minlen=8(or 9)

 

○ HP-UX

1. vi 편집기를 이용하여 “/etc/default/security” 파일 열기

2. 아래와 같이 수정 또는, 신규 삽입

(수정 전)MIN_PASSWORD_LENGTH=

(수정 후)MIN_PASSWORD_LENGTH=8(or 9)

 

■ 조치 시 영향

일반적인 경우 무관