1. 계정관리
1.3 계정 잠금 임계값 설정
1.3.1 취약점 개요
- 점검 내용 : 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검
- 점검 목적 : 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 잇는지 점검하여 비인가지의 공격(무작위 대입 공격, 사전 대입 공격, 추측 공격 등) 시동 시 로그인 실패 임계값에 따라 로그인을 차단하고 있는지 확인하기 위함
- 보안위협 : 로그인 실패 임계값이 설정되어 있지 않을 경우반복되는 로그인 시도에 대한 차단이 이루어지지 않아 각종 공격 (무작위 대입 공격, 사전 대입 공격, 추측 공격 등)에 취약하여 비인가자에게 사용자 계정 패스워드를 유출 당할 수 있음
1.3.2 점검대상 및 판단기준
- 대상 : Solaris, Linux, AIX, HP-UX 등
- 판단기준(양호) : 계정 잠금 임계값이 5 이하인 값으로 설정되어 있는 경우
- 판단기준(취약) : 계정 잠금 임계값이 설정되어 있지 않거나, 5 이하의 값으로 설정되지 않은 경우
- 조치방법 : 계정 임계값을 5 이하로 설정
1.3.3 OS별 점검 파일 위치 및 점검 방법
- Solaris
# cat /etc/default/login
RETRIES = 5
SOLARIS 5.9 이상 버전일 경우 추가적으로 "policy.conf" 파일 확인
# cat /etc/security/policy.conf
LOCK_AFTER_RETRIES = YES
- Linux
# cat /etc/pam.d/system-auth
auth required /lib/security/pam_tally.so deny=5
unlock_time=120 no_magic_root
account required /lib/security/pam_tally.so no_magic_root
reset
- AIX
# cat /etc/security/user
loginretries = 5
- Linux
# cat /tcb/files/auth/system/default
u_maxtries #5
HP-UX 11.v3 이상일 경우 "security" 파일 확인
# cat /etc/default/security
AUTH_MAXTRIES = 5
** 위에 제시한 설정이 해당 파일에 적용되지 않을 경우 아래의 보안 설정방법에 따라 설정을 변경함
1.3.4 조치 방법
- Solaris
- SOLARIS 5.9 이하 버전 -
Step 1) vi 편집기를 이용하여 "/etc/default/login" 파일 열기
Step 2) 아래와 같이 수정 또는 신규 삽입
(수정 전) # RETRIES = 2
(수정 후) RETRIES = 5
- SOLARIS 5.9 이상 버전 -
Step 1) vi 편집기를 이용하여 "/etc/default/login" 파일 열기
Step 2) 아래와 같이 수정 또는 신규 삽입(계정 잠금 횟수 설정)
(수정 전) # RETRIES = 2
(수정 후) RETRIES = 5
Step 3) vi 편집기를 이용하여 "/etc.security/policy.conf" 파일 열기
Step 4) 아래와 같이 수정 또는 신규 삽입(계정 잠금 정책사용 설정)
(수정 전) # LOCK_AFTER_RETRIES = NO
(수정 후) LOCK_AFTER_RETRIES =YES
- Linux
Step 1) vi 편집기를 이용하여 "/etc/pam.d/system-auth" 파일 열기
Step 2) 아래와 같이 수정 또는 신규 삽입
auth required /lib/security/pam_tally.so deny=5 unlock_time=120
no_magic_root
account required /lib/security/pam_tally.so no_magic_root reset
** no_magic_root : root에게는 패스워드 잠금 설정을 적용하지 않음
** deny=5 : 5회 입력 실패 시 패스워드 잠금
** unlock_time : 계정 잠김 후 마지막 계정 실패 시간부터 설정된 시간이 지나면 자동 계정 잠금 해제 (단위:초)
** reset : 접속 시도 성공 시 실패한 횟수 초기화
- AIX
Step 1) vi 편집기를 이용하여 "/etc/security/user" 파일 열기
Step 2) rlogin 설정을 아래와 같이 수정 또는 신규 삽입(root 설정에 해당되는 부분 수정)
(수정 전) rlogin = true
(수정 후) rlogin = false
**rlogin(remote-login) : 자주 접속하는 호스트에 대해 자동으로 원격 접속을 할 수 있도록 사용하는 명령어
- HP-UX
- HP-UX 11.v2 이하 버전 -
Step 1) vi 편집기를 이용하여 "/tcb/files/auth/system/default" 파일 열기
Step 2) 아래와 같이 수정 또는 신규 삽입
(수정 전) u_maxtries #
(수정 후) u_maxtries # 5
** HP-UX 서버에 계정 잠금 정책 설정을 위해서는 HP-UX 서버가 Trusted Mode로 동작하고 있어야 하므로 Trusted Mode로 전환한 후 잠금 정책 적용
- HP-UX 11.v3 이상 버전 -
Step 1) vi 편집기를 이용하여 "/etc/default/security" 파일 열기
Step 2) 아래와 같이 수정 또는 신규 삽입
(수정 전) # AUTH_MAXTRIES = 0
(수정 후) AUTH_MAXTRIES = 5
1.3.5 조치 시 영향
- HP-UX 경우 Trusted Mode로 전환 시 파일시스템 구조가 변경되어 운영 중이 ㄴ서비스에 문제가 발생할 수 있으므로 충분한 테스트를 거친 후 Trusted Mode로의 전환이 필요함
1.3.6 기타
- 사용자 로그인 실패 임계 값 : 시스템에 로그인 시 몇 번의 로그인 실패에 로그인을 차단할 것인지 결정하는 값