[U - 03a] 계정 잠금 임계값 설정 (가이드에 없는 내용)

 

 

 

[U - 03] 계정 잠금 임계값 설정

 

개요

• 취약점 분석 [U - 03] 해당 내용에 대해 보안조치 사항을 추가적으로 기술함
• <주요정보통신기반시설 기술적 취약점 분석 평가 방법 가이드>에는 기술되지 않은 내용
• 해당 게시물은 Linux(RHEL)를 기준으로 기술함

 

목차

1. 운영체제 버전에 따른 system-auth 설정 (pam_tally.so / pam_tally2.so 차이)
   
   
2. pam 모듈 계정 임계 값 설정 순서
   
   
3. system-auth, password-auth 차이
   콘솔 기반 계정 잠금 설정은 system-auth
   GUI 즉 x-window(GNOME ,KDE) 기반의 계정 잠금 설정은 password-auth 

 

 

 

1. 운영체제 버전에 따른 system-auth 설정

• 주요정보통신기반시설 기술적 취약점 분석 평가 방법 가이드>에는 계정 임계 값 설정 시 pam_tally.so에 대한 설정 내용만 존재 

 

• 하지만, 해당 내용은 OS 버전에 따라 다르게 설정되어야 함
  Cent OS 5 이하(RHEL 5) : pam_tally.so
  Cent OS 6 이상(RHEL 6) : pam_tally2.so

 

 

• Cent OS 6 버전에 pam_tally.so 설정 시 모듈 오류 발생 (password-auth)

(오류 해결은 single 모드로 실행하여 password-auth 파일 수정)

 

 

 

• 또한, 로그가 기록되는 파일도 다름
  pam_tally.so : /var/log/faillog
  (로그 출력 명령: pam_tally)
  
  pam_tally2.so : /var/log/tallylog
  (로그 출력 명령: pam_tally2)

 

 

 

• 사용자 잠금 해제 (root 권한으로 수행)
  # pam_tally2 --user <사용자명> --reset

 

 

 

 

2. 비밀번호 임계값 설정 pam 모듈 순서

• pam 모듈은 위에서 아래로 순차적으로 수행함
• 같은 모듈로 구성, 설정되어 있어도 순서가 바뀌면 전혀 다른 결과를 발생
• 따라 순서에 맞게 모듈을 구성해야 함
• 비밀번호 임계 값 설정은 각 섹션의 2번째 Line에 설정해야 함

 

 

 

 

 

3. system-auth, password-auth 차이

• <주요정보통신기반시설 기술적 취약점 분석 평가 방법 가이드>에는 system-auth에 대해서만 기술 
• system-auth 뿐 아니라 password-auth 설정에 대해서도 고려해야하며, 설정 내용 방법은 system-auth와 동일함
• system-auth, password-auth는 서로 다른 영역의 계정 임계 값을 설정하는 곳으로 임계 값 설정 시 상황에 맞게 설정해야 함

 

/etc/pam.d/system-auth

• console 기반 로그인 시 계정에 대한 임계 값 설정
• /etc/pam.d/su 의 인증에 대한 모듈로 su 인증 시 system-auth를 참조

 

/etc/pam.d/passwd-auth

• GUI 즉 x-window(GNOME ,KDE) 기반 로그인 시 계정에 대한 임계 값 설정
• /etc/pam.d/sshd 의 인증에 대한 모듈로 sshd 인증 시 password-auth를 참조