[Unix] U-03 계정 잠금 임계값 설정 (상)
- 점검내용
사용자 계정 로그인 실패 시 계정잠금 임계값이 설정되어 있는지 점검
- 점검목적
계정탈취 목적의 무작위 대입 공격 시 해당 계정을 잠금하여 인증 요청에 응답하는 리소스 낭비를 차단하고
대입 공격으로 인한 비밀번호 노출 공격을 무력화하기 위함
- 보안위협
패스워드 탈취 공격(무작위 대입 공격, 사전 대입 공격, 추측 공격 등)의 인증 요청에 대해
설정된 패스워드와 일치 할 때까지 지속적으로 응답하여 해당 계정의 패스워드가 유출 될 수 있음
- 판단기준
양호 : 계정 잠금 임계값이 10회 이하의 값으로 설정되어 있는 경우
취약 : 계정 잠금 임계값이 설정되어 있지 않거나, 10회 이하의 값으로 설정되지 않은 경우
점검 및 조치 방법
■ SOLARIS
- SOLARIS 5.9 이하 버전 -
Step 1) vi 편집기를 이용하여 “/etc/default/login” 파일 열기
Step 2) 아래와 같이 수정 또는, 신규 삽입
(수정 전) #RETRIES=2
(수정 후) RETRIES=10
- SOLARIS 5.9 이상 버전 -
Step 1) vi 편집기를 이용하여 “/etc/default/login” 파일 열기
Step 2) 아래와 같이 수정 또는, 신규 삽입 (계정 잠금 횟수 설정)
(수정 전) #RETRIES=2
(수정 후) RETRIES=10
Step 3) vi 편집기를 이용하여 “/etc/security/policy.conf” 파일 열기
Step 4) 아래와 같이 수정 또는, 신규 삽입 (계정 잠금 정책사용 설정)
(수정 전) #LOCK_AFTER_RETRIES=NO
(수정 후) LOCK_AFTER_RETRIES=YES
■ LINUX
Step 1) vi 편집기를 이용하여 “/etc/pam.d/system-auth” 파일 열기
Step 2) 아래와 같이 수정 또는, 신규 삽입
- auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root
- account required /lib/security/pam_tally.so no_magic_root reset
| ※ 주의사항 1. 버전마다 적용 문구가 다르므로 확인 필요 2. 버전마다 상이하나 password-auth 파일에 적용 필요 3. 위 문구 수정/추가시 auth 및 account 문구를 넣는 위치(순서) 중요 (pam 모듈은 위에서부터 순차적으로 적용되므로 1번째 줄에 넣는지 2번째 줄에 넣는지에 따라 결과가 다르게 적용) |
■ AIX
Step 1) vi 편집기를 이용하여 “/etc/security/user” 파일 열기
Step 2) 아래와 같이 수정 또는, 신규 삽입
(수정 전) loginretries = 0
(수정 후) loginretries = 10
확인 필수 사항!!
해당 항목은 조치 시 영향을 가장 중요하게 봐야합니다.
| HP-UX 경우 Trusted Mode로 전환 시 파일시스템 구조가 변경되어 운영 중인 서비스에 문제가 발생할 수 있으므로 충분한 테스트를 거친 후 Trusted Mode로의 전환이 필요함 Liunx의 pam.d/system-auth의 내용 수정 시 해당 라이브러리가 실제 존재하는지 확인 필요 (/lib/security/pam_tally.so – 파일 미존재시 모든 계정이 로그인 안되는 장애가 발생될 수 있음) |
Liunx의 'pam.d/system-auth'의 내용 수정할 때 ' /lib/security/pam_tally.so' 파일이 존재하지 않으면 로그인 불가해져
콘솔, vty등 모든 방법, 루트 포함 모든 계정으로의 접속이 불가능해질 수 있습니다.
pam모듈은 참조되는 연관 파일이 모두 계정 및 로그인 시스템 파일이므로 다루는데 주의하셔야 합니다.
절대로..........절대로 백업 없이 조치하지 마세요.
만약 취약으로 진단되어 조치할 시에는
1. 롤백 시스템 사용
2. 시스템 사전 백업
3. 스냅샷 찍어두기
위에 세가지 방법등 사전 백업 후 작업을 진행해야 합니다.
2번의 경우 보다는 실질적으로 1,3번이 가장 시스템 복구가 빠른 방법이라고 생각합니다.
...
만약에 해당 파일을 잘못 만져서 시스템 접근이 불가능해진 경우 아래의 방법이 존재하긴 합니다.
| 1. 롤백 시스템 존재 시 오버라이트 설정 켜서 복구 2. 싱글모드로 부팅 후 수정한 파일을 수정 전으로 복구 |
어떻게 아냐구요? 저도 알고싶지 않았습니다....
경험상 pam 모듈을 만져서 로그인이 불가능한 경우엔
시스템 운영상에 직접적 문제가 발생하기보단 로그인만 불가능해진 상태인거라
복구만 잘 되면 시스템은 계속 정상작동 하는 것으로 보였습니다.
따라서 당황하지 마시고 시스템 운영 상태 먼저 확인 후 빠르게 복구조치 하시길 바랍니다.
어느 신입을 살리는 글이었기를 바라며...