본문 바로가기
공부/KISA

계정 잠금 임계값 설정 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드

by Skogkatt의 개인 블로그 2020. 7. 30.
반응형

https://www.kisa.or.kr/public/laws/laws3.jsp

 

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원

기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥

www.kisa.or.kr

보안 가이드라인 - UNIX 서버 - 계정관리(기본사항) - 계정 잠금 임계값 설정

취약점 개요

점검 내용

  • 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검

점검 목적

  • 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검하여 비인가자의 공격(무작위 대입 공격, 추측 공격) 시도 시 로그인 실패 임계값에 따라 로그인을 차단하고 있는지 확인하기 위함

보안 위협

  • 로그인 실패 임계값이 설정되어 있지 않을 경우 반복되는 로그인 시도에 대한 차단이 이루어지지 않아 각종 공격(무작위 대입 공격, 사진 대입 공격, 추측 공격 등)에 취약하여 비인가자에게 사용자 계정 패스워드를 유출당할 수 있음

참고

  • 사용자 로그인 실패 임계 값: 시스템에 로그인 시 몇 번의 로그인 실패에 로그인을 차단할 것인지 결정하는 값

점검대상 및 판단기준

대상

  • SOLARIS, LINUX, AIX, HP-UX

판단기준

양호
  • 계정 잠금 임계값이 5 이하의 값으로 설정되어 있는 경우
취약
  • 계정 잠금 임계값이 설정되어 있지 않거나, 5 이하의 값으로 설정되지 않은 경우

조치방법

  • 계정 잠금 임계값을 5 이하로 설정

점검 및 조치 사례

OS별 점검 파일 위치 및 점검 방법

SOLARIS
  • #cat / etc/default/login
    RETRIER=5

SOLARIS 5.9 이상 버전일 경우 추가적으로 "policy.conf" 파일 확인

  • #cat /etc/security/policy.conf
    LOCK_AFTER_RETRIES=YES
LINUX
  • #cat /etc/pam.d/system-auth
    auth required /lib/security/pam_tally.so deny=5
    unlock_time=120 no_magic_root
    account required /lib/security/pam_tally.so no_magic_root
    reset
AIX
  • #cat /etc/security/user
    loginretries=5
HP-UX
  • #cat /tcb/files/auth/system/default
    u_maxtries#5

HP-UX 11.v3 이상일 경우 "security" 파일 확인

  • #cat /etc/default/security
    AUTH_MAXTRIES=5

위에 제시한 설정이 해당 파일에 적용되지 않은 경우 아래의 보안설정 방법에 따라 설정을 변경

 

SOLARIS

  - SOLARIS 5.9 이하 버전 - 

  • Step 1) vi 편집기를 이용하여 "/etc/default/login" 파일 열기
  • Step 2) 아래와 같이 수정 또는, 신규 삽입
        (수정 전) #RETRIES=2
        (수정 후) RETRIES=5
  • Step 3) vi 편집기를 이용하여 "/etc/security/policy.conf" 파일 열기
  • Step 4) 아래와 같이 수정 또는, 신규 삽입 (계정 잠금 정책 사용 설정)
        (수정 전) #LOCK_AFTER_RETRIES=NO
        (수정 후) LOCK_AFTER_RETRIES=YES
LINUX
  • Step 1) vi 편집기를 이용하여 "/etc/pam.d/system-auth" 파일 열기
  • Step 2) 아래와 같이 수정 또는, 신규 삽입
        auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root
        account required /lib/security/pam_tally.so no_magic_root reset
AIX
  • Step 1) vi 편집기를 이용하여 "/etc/security/user" 파일 열기
  • Step 2) 아래와 같이 수정 또는 신규 삽입
        (수정 전) loginretries = 0
        (수정 후) loginretries = 5

 

HP-UX

  - HP-UX 11.v2 이하 버전 -

  • Step 1) vi 편집기를 이용하여 /tcb/files/auth/system/default 파일 열기
  • Step 2) 아래와 같이 수정 또는 신규 삽입
        (수정 전) u_maxtries#
        (수정 후) u_maxtries#5

HP-UX 서버에 계정 잠금 정책 설정을 위해서는 HP-UX 서버가 Trusted Mode로 동작하고 있어야 하므로 Trusted Mode로 전환한 후 잠금 정책 적용

 

- HP-UX 11.v3 이상 버전 -

  • Step 1) vi 편집기를 이용하여 /etc/default/security 파일 열기
  • Step 2) 아래와 같이 수정 또는 신규 삽입
        (수정 전) #AUTH_MAXTRIES=0
        (수정 후) AUTH_MAXTRIES=5
반응형

'공부 > KISA' 카테고리의 다른 글

root 이외의 UID가 '0' 금지 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드  (0) 2020.08.03
패스워드 파일 보호 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드  (0) 2020.07.31
패스워드 복잡성 설정 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드  (0) 2020.07.27
root 계정 원격 접속 제한 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드  (0) 2020.07.24
취약한 API 사용 - KISA 소프트웨어 개발 보안 가이드  (0) 2020.07.22

관련글

댓글

티스토리툴바