728x90
반응형

점검 필요성

  • 로그인 실패에 대한 임계값이 설정되어 있지 않으면 반복되는 로그인 시도를 통해 비인가 사용자에게 비밀번호 유추 및 각종 공격에 취약해질 수 있음
  • 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검

 

점검

  • 계정 잠금 임계값을 5이하로 설정

1. SOLARIS

#cat /etc/default/login

RETRIES=5

 

#cat /etc/security/policy.conf

LOCK_AFTER_RETRIES=YES

 

 

2. Linux

#cat /etc/pam.d/system-auth

auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root

account required /lib/security/pam_tally.so no_magin_root reset

 

3. AIX

#cat /etc/security/user

loginretries=10

 

 4. HP-UX

#cat /tcb/files/auth/system/default

u_maxtries#5

 

#cat /etc/default/security

AUTH_MAXTRIES=10

 

 

Bash Shell Script 활용 (Linux)

일부 Code

#! /bin/bash
#check file name
file1=" /etc/pam.d/system-auth"
checksum=0
#u03 info
cat << EOF >> $TL 2>&1
---------------------------------------------------------------------
[u-03 계정 잠금 임계값 설정]
 a. $file1 file의 auth 설정 확인
 > auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root
   dney=5 (5회 실패 시 패스워드 잠금)
   unlock_time=120 (실패로 인한 잠금 시간_초)
   no_magic_root (root 접속 실패 시 계정 잠금 미적용)

 b. $file1 file의 account 설정 확인
 > account required /lib/security/pam_tally.so no_magic_root reset
   no_magic_root (root 접속 실패 시 계정 잠금 미적용)
   reset (접속 성공 시 이전 실패 횟수 초기화)
---------------------------------------------------------------------
EOF
if [ -e $fname ] ; then
	echo -e "\n<u-03 점검 결과>"  >> $TL 2>&1
	
	echo -e "\n(a):$file1 auth" >>$TL 2>&1
	
	comm="`grep auth $file1 | grep required | grep '/lib/security/pam_tally.so' | grep -v '\#' | grep deny | grep -e 1 -e 2 -e 3 -e 4 -e 5`"
	if [ "$comm" ]; then
		((checksum++))
	else
		echo "[auth 미설정] deny=5" >> $TL 2>&1
    if
    
    
    ...
fi

 

 

결과

 

 

 

 

[U - 03a] 계정 잠금 임계값 설정 (가이드 미존재 내용)

[U - 03] 계정 잠금 임계값 설정 점검 필요성 로그인 실패에 대한 임계값이 설정되어 있지 않으면 반복되는 로그인 시도를 통해 비인가 사용자에게 비밀번호 유추 및 각종 공격에 취약해질 수 있

sa2da-sac.tistory.com

 

 

 

 

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원

기술안내서 가이드 기술안내서 가이드 상세보기 제목 주요정보통신기반시설 기술적 취약점 분석 평가 상세 가이드 담당자 융합기반보호팀  주성준  전화 061-820-1671 이메일 등록일 2021-04-28 조

www.kisa.or.kr

 

728x90
저작자표시 비영리 변경금지

'*Security > [ U ] 취약점 분석' 카테고리의 다른 글

[U - 04] 패스워드 파일 보호  (0) 2022.02.11
[U - 03a] 계정 잠금 임계값 설정 (가이드에 없는 내용)  (0) 2022.01.11
[U - 02] 패스워드 복잡성 설정  (0) 2021.12.30
[U - 01] root 계정 원격 접속 제한  (0) 2021.12.19

+ Recent posts

티스토리툴바