계정관리

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판		 이전 판
계정관리 [2022/01/11 05:12] fatp11th계정관리 [2022/01/11 07:01] (현재) – [Session Timeout 설정] fatp11th
줄 331: 줄 331:
 크레딧 값 < 0 : 새 비밀번호에 각 문자를 포함하는 데 필요한 최소 필수 크레딧입니다. 크레딧 값 < 0 : 새 비밀번호에 각 문자를 포함하는 데 필요한 최소 필수 크레딧입니다.
 신용 값 = 0: 새 암호에 해당 문자 클래스를 포함해야 하는 필수 요구 사항이 없습니다. 신용 값 = 0: 새 암호에 해당 문자 클래스를 포함해야 하는 필수 요구 사항이 없습니다.
 +
 +참조링크
 +https://access.redhat.com/solutions/5027331
  
 ====계정 잠금 임계값 설정==== ====계정 잠금 임계값 설정====
줄 400: 줄 403:
 </WRAP> </WRAP>
  
-루트 사용자에게도 계정 잠금을 적용하려면 /etc/pam.d/system-auth 및 /etc/pam.d/password-auth 파일의 pam_faillock 항목에 even_deny_root 옵션을 추가합니다.+루트 사용자에게도 계정 잠금을 적용하려면 /etc/pam.d/system-auth 및 /etc/pam.d/password-auth 파일의 auth required pam_faillock.so 항목에 even_deny_root 옵션을 추가합니다.
  
 <WRAP prewrap> <WRAP prewrap>
줄 416: 줄 419:
 <WRAP prewrap> <WRAP prewrap>
 <code bash> <code bash>
-faillock --user <username> --reset+#faillock --user <username> --reset
 </code> </code>
 </WRAP> </WRAP>
줄 422: 줄 425:
 참조문서 참조문서
 https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/security_guide/index#sect-Security_Guide-Workstation_Security-Account_Locking https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/security_guide/index#sect-Security_Guide-Workstation_Security-Account_Locking
 +https://access.redhat.com/solutions/62949
  
 +===RHEL 8===
 +''/etc/pam.d/system-auth'' 및 ''/etc/pam.d/password-auth''를 수동으로 편집하는 것은 권장되지 않습니다. ''authselect''를 사용하여 ''pam_faillock''을 활성화/비활성화합니다.
 +
 +To enable faillock
 +<WRAP prewrap>
 +<code bash>
 +# authselect enable-feature with-faillock
 +</code>
 +</WRAP>
 +
 +To disable faillock
 +<WRAP prewrap>
 +<code bash>
 +# authselect disable-feature with-faillock
 +</code>
 +</WRAP>
 +
 +faillock 구성
 +faillock 옵션은 /etc/security/faillock.conf에 저장해야 합니다.
 +<WRAP prewrap>
 +<code vim>
 +deny=4
 +unlock_time=1200
 +silent
 +</code>
 +</WRAP>
 +
 +인증 실패 기록을 재설정하거나 보려면 다음과 같은 명령을 사용하십시오.
 +사용자 이름에 대한 인증 실패 기록을 표시하려면
 +<WRAP prewrap>
 +<code bash>
 +# faillock --user username
 +</code>
 +</WRAP>
 +
 +사용자 이름에 대한 인증 실패 기록을 재설정하려면
 +<WRAP prewrap>
 +<code bash>
 +# faillock --user username --reset
 +</code>
 +</WRAP>
 +
 +SSHD 구성 조정
 +''pam_faillock.so''가 예상대로 작동하지 않으면 SSHD 구성을 다음과 같이 변경해야 할 수 있습니다.
 +<WRAP prewrap>
 +<code bash>
 +# vi /etc/ssh/sshd_config
 +ChallengeResponseAuthentication yes
 +PasswordAuthentication no
 +</code>
 +</WRAP>
 +
 +그런 다음 이러한 구성 변경 사항을 적용하려면 sshd 서비스를 다시 시작합니다.
 +<WRAP prewrap>
 +<code bash>
 +# systemctl restart sshd
 +</code>
 +</WRAP>
 +
 +참조문서
 +https://access.redhat.com/solutions/62949
  
 ====패스워드 파일 보호==== ====패스워드 파일 보호====
  
-/etc/shadow 파일의 패스워드 암호화 존재 확인 +''/etc/shadow'' 파일의 패스워드 암호화 존재 확인 
-/etc/passwd 파일 내 두 번째 필드가 " X " 표시되는지 확인+''/etc/passwd'' 파일 내 두 번째 필드가 " X " 표시되는지 확인
  
 참조문서 참조문서
줄 435: 줄 500:
 root 이외에 UID가 '0' 금지 root 이외에 UID가 '0' 금지
  
-/etc/passwd 파일 내 UID (세 번째 필드 값) 확인+''/etc/passwd'' 파일 내 UID (세 번째 필드 값) 확인
 root 이외의 계정이 "UID=0"인 경우 0이 아닌 적절한 UID 부여 root 이외의 계정이 "UID=0"인 경우 0이 아닌 적절한 UID 부여
  
줄 448: 줄 513:
 wheel:x:10:root,admin wheel:x:10:root,admin
  
-/etc/pam.d/su+''/etc/pam.d/su'' 
 +<WRAP prewrap> 
 +<code vim>
 #%PAM-1.0 #%PAM-1.0
 auth            sufficient      pam_rootok.so auth            sufficient      pam_rootok.so
줄 461: 줄 528:
 session         include         system-auth session         include         system-auth
 session         optional        pam_xauth.so session         optional        pam_xauth.so
 +</code>
 +</WRAP>
  
 +참조문서
 +https://access.redhat.com/solutions/452213
  
 ====패스워드 최소 길이, 최대 사용 기간, 최소 사용기간 설정==== ====패스워드 최소 길이, 최대 사용 기간, 최소 사용기간 설정====
  
-/etc/login.defs 내 패스워드 관련 파일 수정 +''/etc/login.defs'' 내 패스워드 관련 파일 수정
  
  
 +<WRAP prewrap>
 +<code vim>
 PASS_MAX_DAYS 99999  패스워드 사용 가능 기간(일) PASS_MAX_DAYS 99999  패스워드 사용 가능 기간(일)
 PASS_MIN_DAYS 0      패스워드 변경 최소 기간(일) PASS_MIN_DAYS 0      패스워드 변경 최소 기간(일)
 PASS_MIN_LEN 5      패스워드 최소 길이 PASS_MIN_LEN 5      패스워드 최소 길이
 PASS_WARN_AGE 7      패스워드 기간 만료 경고 기간(일) PASS_WARN_AGE 7      패스워드 기간 만료 경고 기간(일)
 +</code>
 +</WRAP>
  
  
 ====불필요한 계정 제거==== ====불필요한 계정 제거====
  
-/etc/passwd 내 계정확인 후 제거+''/etc/passwd'' 파일 내 계정확인 후 제거
  
  
 ====관리자 그룹에 최소한의 계정 포함==== ====관리자 그룹에 최소한의 계정 포함====
  
-/etc/group 내+''/etc/group'' 
 root:x:0:root 확인 root:x:0:root 확인
  
 ====계정이 존재하지 않는 GID 금지==== ====계정이 존재하지 않는 GID 금지====
  
-/etc/group 파일과 /etc/passwd 파일 비교하여 점검+''/etc/group'' 파일과 ''/etc/passwd'' 파일 비교하여 점검
  
  
 ====동일한 UID 금지 ==== ====동일한 UID 금지 ====
  
-/etc/passwd 파일 내 동일한 UID가 있는지 확인+''/etc/passwd'' 파일 내 동일한 UID가 있는지 확인
  
  
 ====사용자 shell 점검 ==== ====사용자 shell 점검 ====
  
-로그인이 불필요한 계정에 /bin/false 또는 /sbin/nologin 쉘 부여+로그인이 불필요한 계정에 ''/bin/false'' 또는 ''/sbin/nologin'' 쉘 부여
  
-/etc/passwd 파일 내 로그인 쉘 부분인 계정 맨 마지막에 부여+''/etc/passwd'' 파일 내 로그인 쉘 부분인 계정 맨 마지막에 부여
  
  
 ====Session Timeout 설정==== ====Session Timeout 설정====
  
-/etc/profile 파일 내 +''/etc/profile'' 파일 내 
 +<WRAP prewrap> 
 +<code bash>
 HOSTNAME=`/usr/bin/hostname 2>/dev/null` HOSTNAME=`/usr/bin/hostname 2>/dev/null`
 HISTSIZE=5000                                 # 히스토리 저장 갯수  HISTSIZE=5000                                 # 히스토리 저장 갯수 
줄 517: 줄 592:
  
 export PATH USER LOGNAME MAIL HOSTNAME HISTSIZE HISTCONTROL HISTTIMEFORMAT TMOUT  # 환경변수 적용 export PATH USER LOGNAME MAIL HOSTNAME HISTSIZE HISTCONTROL HISTTIMEFORMAT TMOUT  # 환경변수 적용
 +</code> 
 +</WRAP>
  
  • 계정관리.1641877948.txt.gz
  • 마지막으로 수정됨: 2022/01/11 05:12
  • 저자 fatp11th