문서의 이전 판입니다!
RedHat Enterprise Linux Server 취약점 보안 가이드
계정관리 취약점 보안 가이드
이 문서는 CentOS 6.6 기준으로 테스트 되었습니다.
패스워드 복잡성 설정
패스워드 변경 시 해당 OS 버전에 따라 적용해야 하는 lib 가 따로 존재 한다.
해당 버전은 아래 경로에서 확인 할 수 있다.
[root@test ~]# cat /usr/share/doc/pam-1.1.1/txts/README*
* 주의 : /etc/pam.d/ 폴더 안에 있는 파일을 수정하게 되면, 로그인하는 계정 부터는 바로 적용이 됨
* 운영체제 별 모듈(lib파일) 확인하는 경로
| 운영체제 | 경로 |
| 32bit | cd /lib/security/ |
| 64bit | cd /lib64/security/ |
계정 잠금 임계 값 설정
- system-auth
[root@test ~]# cat /etc/pam.d/system-auth #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_env.so auth required pam_tally2.so deny=3 onerr=fail unlock_time=120 // 추가하는 부분 auth sufficient pam_fprintd.so auth sufficient pam_unix.so nullok try_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_deny.so account required pam_unix.so account required pam_tally2.so // 추가하는 부분 account sufficient pam_localuser.so account sufficient pam_succeed_if.so uid < 500 quiet account required pam_permit.so password requisite pam_cracklib.so try_first_pass retry=3 type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok password required pam_deny.so session optional pam_keyinit.so revoke session required pam_limits.so session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid session required pam_unix.so
적용 후 테스트 방법
테스트 계정을 생성 한 후 유저 계정으로 로그인 시도합니다.
[test1@test ~]$ su - test1 Password: su: incorrect password // 1번째 틀림 [test1@test ~]$ su - test1 Password: su: incorrect password // 2번째 틀림 [test1@test ~]$ su - test1 Password: su: incorrect password // 3번째 틀림 [test1@test ~]$ su - test1 Account locked due to 4 failed logins // 4번째 틀림 Password: su: incorrect password [test1@test ~]$ su - test1 Account locked due to 5 failed logins // 5번째 정상적인 비밀번호 입력시에도 로그인이 되지 않는다. Password: su: incorrect password [root@test ~]# pam_tally2 // 해당 명령어 입력 후 테스트한 계정의 실패 횟수를 확인한다. Login Failures Latest failure From test1 5 01/19/15 14:17:11 pts/0 [root@test ~]# pam_tally2 --reset // 모든 유저의 failures 를 초기화 시켜 주는 명령어 Login Failures Latest failure From test1 5 01/19/15 14:17:11 pts/0 [root@test ~]# pam_tally2 // 초기화 된 것을 확인한다.
계정 패스워드 최소/최대 길이 설정
로그인하면 댓글을 남길 수 있습니다.