엔지니어 은성의 성장록

[보안취약점] U-03. 계정관리- 계정 잠금 임계값 설정 본문

보안취약점

[보안취약점] U-03. 계정관리- 계정 잠금 임계값 설정

엔지니어 은성 2021. 10. 26. 10:51

■ 점검 항목 설명

사용자 로그인 실패 임계값이 설정되어있는지 점검하여 비인가자의 공격(무작위 공격, 사전 대입 공격, 추측 공격)등 시도 시 로그인 실패 임계값에 따라 로그인을 차단하고 있는지 확인해야 한다.

 

※ 사용자 로그인 실패 임계값 : 몇 번의 로그인 실패 시 로그인을 차단할 것인지 결정

 

■ 점검 기준

양호 10 회 이하의 값으로 설정되어있는 경우
취약 계정 잠금 임계값이 설정되어있지 않거나, 10회 이하의 값으로 설정되지 않은 경우

 

■ 점검 방법 & 대응 방안

# cat /etc/pam.d/system-auth 및 # cat /etc/pam.d/password-auth

-> auth required pam_tally2.so deny=3

deny 값이 설정되어있지 않을 경우, 임계값 설정이 되어있지 않은 상태. RHEL 6 버전 이상일 경우 

/etc/pam.d/system-auth 변경! 순서를 준수하여 설정하지 않으면 모든 계정의 로그인이 불가하거나 계정 잠금 정책이 적용되지 않을 수가 있음.

옵션
deny 로그인 실패 시 계정 잠금 임계값 지정
unlock_time 계정이 잠겼을 경우 잠금이 해제되는 소요시간 
reset 로그인 성공시 이전 로그인 실패 횟수 초기화 (선택사항)
even_deny_root root 계정에 대한 계정 잠금 임계값 적용 (선택사항)
no_magic_root root에게는 패스워드 잠금 설정을 적용하지 않음
Comments