U-03(상) |
1. 계정관리 > 1.3 계정 잠금 임계값 설정 |
점검내용 |
시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검 |
점검목적 |
시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검하여 비인가자의 공격(무작위 대입 공격, 사전 대입 공격, 추측 공격 등 ) 시도 시 로그인 실패 임계값에 따라 로그인을 차단하고 있는지 확인하기 위함 |
보안위협 |
로그인 실패 임계값이 설정되어 있지 않을 경우 반대되는 로그인 시도에 대한 차단이 이루어지지 않아 각종 공격(무작위 대입 공격, 사전 대입 공격, 추측 공격 등 )에 취약하여 비인가자에게 사용자 계정 패스워드를 유출 당할수 있음 |
참고 |
※ 사용자 로그인 실패 임계 값 : 시스템에 로그인 시 몇 번의 로그인 실패에 로그인을 차단할 것인지 결정하는 값 |
OS |
CentOS 7 |
<조치방법>
#콘솔
[root@localhost ~]# vim /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
# 로그인 시 5번 실패 할 경우 60초 동안 로그인이 제한 된다.
auth required pam_tally2.so deny=5 unlock_time=60
auth sufficient pam_fprintd.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so
account required pam_unix.so
account required pam_tally2.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account required pam_permit.so
#SSH
[root@localhost ~]# vim /etc/pam.d/password-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
# 로그인 시 5번 실패 할 경우 60초 동안 로그인이 제한 된다.
auth required pam_tally2.so deny=5 unlock_time=60
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so
account required pam_unix.so
account required pam_tally2.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account required pam_permit.so
