1. 계정관리
05. 패스워드 사용규칙 적용
가. 상세 설명
패스워드 추측공격을 피하기 위하여 패스워드 최소길이가 설정되어 있는지 점검한다. 패스워드 최소길이가 설정되어 있지 않거나 짧게 설정되어 있을 경우 취약한 패스워드를 사용함으로 인해 악의적인 사용자가 패스워드를 쉽게 유추할 수 있다.
나. 진단기준
양호 : 패스워드 정책에 따른 설정이 적용되어 있는 경우
취약 : 패스워드 정책에 따른 설정이 적용되어 있지 않은 경우
다. 진단방법
<XenServer>
■ 패스워드 최대 사용기간, 최소 사용기간, 최소길이 설정 확인 (단위: 일)
# cat /etc/login.defs | grep –i “PASS_MAS_DAYS”
# cat /etc/login.defs | grep –i “PASS_MIN_DAYS”
# cat /etc/login.defs | grep –i “PASS_MIN_LEN”
라. 조치방안
<XenServer>
■ /etc/login.defs에서 패스워드 최대 사용기간은 90일, 최소 사용기간은 1일 설정으로 변경
(단위:일)
# vi /etc/login.defs
PASS_MIN_LEN 8
PASS_MAX_DAYS 90
PASS_MIN_DAYS 1
마. 참고사항
■ 패스워드 최소길이 : 패스워드 추측공격을 피하기 위하여 패스워드 최소길이가 설정되어 있는지 점검, 패스워드 최소길이가 설정되어 있지 않거나 짧게 설정되어 있을 경우 취약한 패스워드를 사용함으로 인해 악의적인 사용자가 패스워드를 쉽게 유추 가능
■ 패스워드 최대 사용기간 : 패스워드가 임의의 경로를 통해 유출되었을 때, 임의로 접속한 사용자가 언제든 다시 접속할 수 있는 환경을 방지하기 위해 패스워드 날짜 제한을 점검
■ 패스워드 최소 사용기간 : 패스워드를 변경하고 난 이후에 최소 사용기간 안에 패스워드를 변경할 수 없도록 설정
'보안 공부 > 클라우드 보안' 카테고리의 다른 글
| [클라우드 취약점 진단-XenServer] 07. SU(select user)사용 제한제한 (0) | 2022.03.23 |
|---|---|
| [클라우드 취약점 진단-XenServer] 06. 로그인이 불필요한 계정 shell 제한 (0) | 2022.03.22 |
| [클라우드 취약점 진단-XenServer] 04. group 파일 권한 설정 (0) | 2022.03.18 |
| [클라우드 취약점 진단-XenServer] 03. passwd 파일 권한 설정 (0) | 2022.03.17 |
| [클라우드 취약점 진단-XenServer] 02. 일반 계정 root 권한 관리 (0) | 2022.03.08 |