rhel_서버_보안_점검_가이드

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판		 이전 판
rhel_서버_보안_점검_가이드 [2015/01/19 05:35] – [계정 잠금 임계 값 설정] zzungrhel_서버_보안_점검_가이드 [2015/12/10 01:15] (현재) zzung
줄 1: 줄 1:
 ====== RedHat Enterprise Linux Server 취약점 보안 가이드 ====== ====== RedHat Enterprise Linux Server 취약점 보안 가이드 ======
  
-======  계정관리 취약점 보안 가이드 ======+======  계정관리 취약점 가이드 ======
  
-이 문서는 CentOS 6.6 기준으로 테스트 되었습니다.  
 ===== 패스워드 복잡성 설정 ===== ===== 패스워드 복잡성 설정 =====
 패스워드 변경 시 해당 OS 버전에 따라 적용해야 하는 lib 가 따로 존재 한다.\\ 패스워드 변경 시 해당 OS 버전에 따라 적용해야 하는 lib 가 따로 존재 한다.\\
줄 16: 줄 15:
 |64bit|cd /lib64/security/| |64bit|cd /lib64/security/|
 ==== 계정 잠금 임계 값 설정 ==== ==== 계정 잠금 임계 값 설정 ====
 +++++ system-auth|
 <file vim system-auth> <file vim system-auth>
 [root@test ~]# cat /etc/pam.d/system-auth [root@test ~]# cat /etc/pam.d/system-auth
줄 44: 줄 43:
 session     required      pam_unix.so session     required      pam_unix.so
 </file> </file>
 +++++
 **적용 후 테스트 방법** \\ **적용 후 테스트 방법** \\
 테스트 계정을 생성 한 후 유저 계정으로 로그인 시도합니다. 테스트 계정을 생성 한 후 유저 계정으로 로그인 시도합니다.
 +++++ test|
 <code vim> <code vim>
 [test1@test ~]$ su - test1 [test1@test ~]$ su - test1
줄 75: 줄 75:
 [root@test ~]# pam_tally2          // 초기화 된 것을 확인한다. [root@test ~]# pam_tally2          // 초기화 된 것을 확인한다.
 </code> </code>
 +++++
  
 +==== 계정 패스워드 최소길이 /최대사용 기간설정 ====
 +++++ password 설정|
 +<code vim login.defs>
 +[root@test ~]# vim /etc/login.defs 
 +#
 +# Please note that the parameters in this configuration file control the
 +# behavior of the tools from the shadow-utils component. None of these
 +# tools uses the PAM mechanism, and the utilities that use PAM (such as the
 +# passwd command) should therefore be configured elsewhere. Refer to
 +# /etc/pam.d/system-auth for more information.
 +#
  
-==== 계정 패스워드 최소/최대 길이 설정 ====+# *REQUIRED* 
 +#   Directory where mailboxes reside, _or_ name of file, relative to the 
 +#   home directory.  If you _do_ define both, MAIL_DIR takes precedence. 
 +#   QMAIL_DIR is for Qmail 
 +
 +#QMAIL_DIR Maildir 
 +MAIL_DIR /var/spool/mail 
 +#MAIL_FILE .mail
  
 +# Password aging controls:
 +#
 +# PASS_MAX_DAYS Maximum number of days a password may be used.
 +# PASS_MIN_DAYS Minimum number of days allowed between password changes.
 +# PASS_MIN_LEN Minimum acceptable password length.
 +# PASS_WARN_AGE Number of days warning given before a password expires.
 +#
 +PASS_MAX_DAYS 99999 // 패스워드 변경 없이 최대 사용기간 설정
 +PASS_MIN_DAYS 0     // 패스워드 변경 없이 최소 사용기간 설정 
 +PASS_MIN_LEN 5     // 패스워드 최소 길이 설정
 +PASS_WARN_AGE 7     // 만료일전 경고 일자 만료일 -7일
 +
 +#
 +# Min/max values for automatic uid selection in useradd
 +#
 +UID_MIN   500
 +UID_MAX 60000
 +
 +#
 +# Min/max values for automatic gid selection in groupadd
 +#
 +GID_MIN   500
 +GID_MAX 60000
 +
 +#
 +# If defined, this command is run when removing a user.
 +# It should remove any at/cron/print jobs etc. owned by
 +# the user to be removed (passed as the first argument).
 +#
 +#USERDEL_CMD /usr/sbin/userdel_local
 +
 +#
 +# If useradd should create home directories for users by default
 +# On RH systems, we do. This option is overridden with the -m flag on
 +# useradd command line.
 +#
 +CREATE_HOME yes
 +
 +# The permission mask is initialized to this value. If not specified, 
 +# the permission mask will be initialized to 022.
 +UMASK           077
 +
 +# This enables userdel to remove user groups if no members exist.
 +#
 +USERGROUPS_ENAB yes
 +
 +# Use SHA512 to encrypt password.
 +ENCRYPT_METHOD SHA512 
 +</code>
 +++++
  • rhel_서버_보안_점검_가이드.1421645737.txt.gz
  • 마지막으로 수정됨: 2015/06/18 15:49
  • (바깥 편집)