시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검
판단기준은 계정 잠금 임계값이 5 이하의 값으로 설정되어 있는 경우 양호
솔라리스
/etc/default/login에서 다음 정책을 체크한다.
RETRIES=5
솔라리스 5.9이상인 경우 policy.conf 파일 확인
/etc/default/login
RETRIES=5
/etc/security/policy.conf
LOCK_AFTER_RETRIES=YES
리눅스
/etc/pam.d/system-auth에서 다음 정책을 체크한다.
auth required /lib/security/pam_tally.so deny=5
unlock_time=120 no_magic_root
account required /lib/security/pam_tally.so no_magic_root reset
| no_magic_root | root에게는 패스워드 잠금 설정을 적용하지 않는다. |
| deny=5 | 5회 입력 실패 시 패스워드 잠금 |
| unlock_time | 계정 잠김 후 마지막 계정 실패 시간부터 설정된 시간이 지나면 자동 계정 잠김 해제(단위 : 초) |
| reset | 접속 시도 성공 시 실패한 횟수 초기화 |
AIX
/etc/security/user에서 다음 정책을 체크한다.
loginretries=5
HP-UX
/tcb/files/auth/system/default에서 다음 정책을 체크한다.
u_maxtries#5
단, HP-UX에 계정 잠금 정책 설정을 위해 HP-UX 서버가 Trusted Mode로 동작하고 있어야하므로 Trusted Mode로 전환 후 잠금정책 적용해야 한다.
또한, 모드 전환 시 파일 시스템 구조가 변경되기 때문에 운영중인 서비스에 문제가 발생할 수 있으므로 충분한 테스트 후 전환해야 함.
이해가 안되서 물어보니~
트러스트 모드와 언트러스트 모드는 리눅스의 pwconv와 pwunconv와 같은 개념이라 한다.(/etc/passwd와 /etc/shadow 스왑)
trusted로 바꾸게 되면 /tcb/files/auth/<계정의첫글자> 디렉터리 안에서 관리하게 된다.
ex)root, root2, redhat, rabbit계정이라면 /tcb/files/auth/r 디렉토리 안에 해당 계정명 파일이 존재하고 그 파일들이 passwd파일이 된다.
untrusted로 바꾸게 되면 해당 디렉토리에 auth라는 디렉토리가 사라지게 된다고 함.
그래서 막 바꿔대면 운영중인 서비스의 계정의 관리파일을 못찾게 되니 프로세스가 좀비마냥 돌기에 문제가 생긴다~!
11.v3 이상일경우
/etc/default/security 파일 확인
AUTH_MAXTRIES=5
'Hacking > [Infra] 인프라 취약점 점검' 카테고리의 다른 글
| [UNIX] U-06 / 파일 및 디렉터리 소유자 설정 (0) | 2021.12.06 |
|---|---|
| [UNIX] U-05 / root홈, 패스 디렉터리 권한 및 패스 설정 (0) | 2021.12.06 |
| [UNIX] U-04 / 패스워드 파일 보호 (0) | 2021.12.03 |
| [UNIX] U-02 / 패스워드 복잡성 설정 (0) | 2021.11.25 |
| [UNIX] U-01 / root 원격 접속 제한 (0) | 2021.11.24 |
