계정 잠금 임계값 설정 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드

https://www.kisa.or.kr/public/laws/laws3.jsp

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원

---

보안 가이드라인 - UNIX 서버 - 계정관리(기본사항) - 계정 잠금 임계값 설정

취약점 개요

점검 내용

• 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검

점검 목적

• 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검하여 비인가자의 공격(무작위 대입 공격, 추측 공격) 시도 시 로그인 실패 임계값에 따라 로그인을 차단하고 있는지 확인하기 위함

보안 위협

• 로그인 실패 임계값이 설정되어 있지 않을 경우 반복되는 로그인 시도에 대한 차단이 이루어지지 않아 각종 공격(무작위 대입 공격, 사진 대입 공격, 추측 공격 등)에 취약하여 비인가자에게 사용자 계정 패스워드를 유출당할 수 있음

참고

• 사용자 로그인 실패 임계 값: 시스템에 로그인 시 몇 번의 로그인 실패에 로그인을 차단할 것인지 결정하는 값

---

점검대상 및 판단기준

대상

• SOLARIS, LINUX, AIX, HP-UX

판단기준

양호

• 계정 잠금 임계값이 5 이하의 값으로 설정되어 있는 경우

취약

• 계정 잠금 임계값이 설정되어 있지 않거나, 5 이하의 값으로 설정되지 않은 경우

조치방법

• 계정 잠금 임계값을 5 이하로 설정

---

점검 및 조치 사례

OS별 점검 파일 위치 및 점검 방법

SOLARIS

• #cat / etc/default/login
  RETRIER=5

SOLARIS 5.9 이상 버전일 경우 추가적으로 "policy.conf" 파일 확인

• #cat /etc/security/policy.conf
  LOCK_AFTER_RETRIES=YES

LINUX

• #cat /etc/pam.d/system-auth
  auth required /lib/security/pam_tally.so deny=5
  unlock_time=120 no_magic_root
  account required /lib/security/pam_tally.so no_magic_root
  reset

AIX

• #cat /etc/security/user
  loginretries=5

HP-UX

• #cat /tcb/files/auth/system/default
  u_maxtries#5

HP-UX 11.v3 이상일 경우 "security" 파일 확인

• #cat /etc/default/security
  AUTH_MAXTRIES=5

위에 제시한 설정이 해당 파일에 적용되지 않은 경우 아래의 보안설정 방법에 따라 설정을 변경

 

SOLARIS

  - SOLARIS 5.9 이하 버전 - 

• Step 1) vi 편집기를 이용하여 "/etc/default/login" 파일 열기
• Step 2) 아래와 같이 수정 또는, 신규 삽입
      (수정 전) #RETRIES=2
      (수정 후) RETRIES=5
• Step 3) vi 편집기를 이용하여 "/etc/security/policy.conf" 파일 열기
• Step 4) 아래와 같이 수정 또는, 신규 삽입 (계정 잠금 정책 사용 설정)
      (수정 전) #LOCK_AFTER_RETRIES=NO
      (수정 후) LOCK_AFTER_RETRIES=YES

LINUX

• Step 1) vi 편집기를 이용하여 "/etc/pam.d/system-auth" 파일 열기
• Step 2) 아래와 같이 수정 또는, 신규 삽입
      auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root
      account required /lib/security/pam_tally.so no_magic_root reset

AIX

• Step 1) vi 편집기를 이용하여 "/etc/security/user" 파일 열기
• Step 2) 아래와 같이 수정 또는 신규 삽입
      (수정 전) loginretries = 0
      (수정 후) loginretries = 5

 

HP-UX

  - HP-UX 11.v2 이하 버전 -

• Step 1) vi 편집기를 이용하여 /tcb/files/auth/system/default 파일 열기
• Step 2) 아래와 같이 수정 또는 신규 삽입
      (수정 전) u_maxtries#
      (수정 후) u_maxtries#5

HP-UX 서버에 계정 잠금 정책 설정을 위해서는 HP-UX 서버가 Trusted Mode로 동작하고 있어야 하므로 Trusted Mode로 전환한 후 잠금 정책 적용

 

- HP-UX 11.v3 이상 버전 -

• Step 1) vi 편집기를 이용하여 /etc/default/security 파일 열기
• Step 2) 아래와 같이 수정 또는 신규 삽입
      (수정 전) #AUTH_MAXTRIES=0
      (수정 후) AUTH_MAXTRIES=5