(리눅스 서버 보안) 4. 로그인 실패 횟수 제한

리눅스 서버 취약점 보안

취약점 점검항목: 4. 로그인 실패 횟수 제한

 

 

취약점 점검기준

  - 양호기준: 계정 잠금 임계값이 5이하의 값으로 설정되어 있는 경우 양호합니다.
  - 취약기준: 계정 잠금 임계값이 설정되어 있지 않거나, 6이상의 값으로 설정되어 있는 경우 취약합니다.

 

 

취약점 점검 및 조치방법

  - sudo 권한이 있는 아이디 쉘 접속 후 루트 권한을 얻어서 작업하시길 바랍니다.
    $sudo su -

 

  - SSH 로그인 실패 횟수 설정 확인: /etc/ssh/sshd_config 파일에 MaxAuthTries 5 이하로 설정합니다.

    #vi /etc/ssh/sshd_config

#vi /etc/ssh/sshd_config

 

  - 리눅스(방법1) O/S: /etc/login.defs 파일에 LOGIN_RETRIES 5 이하 설정합니다.

    #vi /etc/login.defs

   ※ 내용이 많아서 보기 어려운 경우 | grep LOGIN_RETRIES 로 확인합니다.

    #cat /etc/login.defs | grep LOGIN_RETRIES

리눅스(데미안) 로그인 실패 횟수 설정값 확인

 

  - 리눅스(방법2) O/S: /etc/pam.d/system-auth, /etc/pam.d/password-auth 파일에 아래와 같이 설정합니다.

    #vi /etc/pam.d/system-auth (콘솔 통한 로그인 실패 횟수 설정값 확인하기)

    #vi /etc/pam.d/password-auth (X-Window, ssh 통한 로그인 실패 횟수 설정값 확인하기)

    pam_tally.so 인 경우

    auth       required     pam_tally.so deny=5 unlock_time=120 no_magic_root

    account   required    pam_tally.so no_magic_root reset

    pam_tally2.so 인 경우

    auth       required     pam_tally2.so deny=5 unlock_time=120 no_magic_root

    account   required    pam_tally2.so no_magic_root reset

    pam_faillock.so 인 경우

    auth        required         pam_faillock.so preauth silent audit deny=5 unlock_time=120

    auth        [default=die]   pam_faillock.so authfail audit deny=5 unlock_time=120

    account   required         pam_faillock.so

 

   ※ 옵션설명
    no_magic_root : root에게는 패스워드 잠금 설정을 적용하지 않음
    deny=5 : 5회 입력 실패 시 패스워드 잠금
    unlock_time=120 : 계정 잠김 후 마지막 계정 실패 시간부터 설정된 시간(120초)가 지나면 자동 계정잠김 해제
    reset : 접속 시도 성공시 실패한 횟수 초기화

 

 

 

  - HP-UX:  /tcb/files/auth/system/default 파일을 연 후 아래와 같이 수정 또는, 신규 삽입 합니다.

    #vi /tcb/files/auth/system/default
    (수정 전) u_maxtries# 
    (수정 후) u_maxtries#5 
   ※ HP-UX 서버에 계정 잠금 정책 설정을 위해서는 HP-UX 서버가 Trusted Mode로 동작하고 있어야하므로 Trusted Mode로 전환한 후 잠금 정책 적용 

 

  - AIX: /etc/security/user 파일을 연 후 아래와 같이 수정 또는, 신규 삽입 합니다.

    #vi /etc/security/user
    (수정 전) loginretries = 0
    (수정 후) loginretries = 5

  - SunOS 8 이하 버전: /etc/default/login 파일을 연 후 아래와 같이 수정 또는, 신규 삽입 합니다.

   #vi /etc/default/login
   (수정 전) #RETRIES=2
   (수정 후) RETRIES=5

 

  - SunOS 9 이상 버전: /etc/security/policy.conf 파일을 연 후 아래와 같이 수정 또는, 신규 삽입 합니다.

   #vi /etc/security/policy.conf
   (수정 전) #LOCK_AFTER_RETRIES=NO
   (수정 후) LOCK_AFTER_RETRIES=YES

 

 

※ 로그인 실패 횟수 제한 방법은 O/S마다 다르고, 같은 O/S라도 버전마다 다르고, 같은 버전이라도 pam에 따라 다릅니다. 설정 후 정상 잠김이 작동하는지 테스트를 해봐야 하며 정상 잠기지 않을 시 다른 방법을 찾아보시기 바랍니다.

 

 

리눅스(유닉스) 취약점 점검 전체보기

'리눅스(유닉스) 취약점 점검' 카테고리의 글 목록