계정 잠금 임계값 설정(취약한 설정)
로그인 시 계정 잠금 임계 값을 설정하지 않을 경우 악의적인 목적의 사용자의 무분별한 시도가 가능하게 된다.
그렇기 때문에 계정 잠금 임계 값 설정을 해줘야 한다.
system-auth 파일의 Default 셋팅을 보면 로그인 시도를 몇번을 하든 조치를 취하는 것이 없다.
로그인 시도를 몇번을 하든 계정이 잠기지 않고 시도할 수 있기 때문에 악의적인 목적의 사용자가 Brute force와 같은 공격을 수행할 수 있다.
계정 잠금 임계값 설정(양호한 셋팅)
* pam_tally2.so는 로그인 시도 횟수를 헤아리는 모듈로 일정횟수 이상 실패시에는 접근을 차단 및 관리해주는 역할을
담당한다.
/etc/pam.d/sshd_config 파일에 pam_tally2.so 모듈을 이용해서, 5번 실패하면, 120초 동안 계정을 잠기게 설정했고, root계정의 경우 로그인 실패를 해서 계정이 잠긴다면, 업무에 지장이 올 수 있기 때문에 계정이 잠기지 않게끔 설정했다.
account는 서비스 사용자가 해당 서비스에 접근이 허용되는지 여부를 검사
required는 인증을 위해서는 반드시 이 모듈에 대한 실행결과가 성공이 되어야 한다.
이 모듈에 대한 실행결과가 실패할 경우 나머지 모듈에 대해서도 테스트를 계속 진행하지만, 서비스 사용자는 전체적인 결과만 알 뿐 어느지점에서 실패했는지에 대한 정보는 확인이 불가능하다.
정책을 적용한 후, 로그인 시도를 했을 때 root 계정은 정책이 무시되는 것을 볼 수 있다.
하지만, 일반 계정은 일정 횟수 로그인을 실패하면, 계정이 잠기게 되는 것을 볼 수 있다.
이때 root 계정에 계정을 풀어달라고 요청을 한다면, pam_tllay2 -u [계정명] -r 을 통해서 실패 횟수를 reset 시킬 수 있다.
실패한 횟수만 확인하고 싶을 때는 -r 옵션만 제거해주면 된다.
'리눅스 > 주요정보통신기반시설_UNIX' 카테고리의 다른 글
| [계정관리]1.5 CentOS 6.7 root 이외의 UID '0' 금지 (0) | 2019.03.15 |
|---|---|
| [파일 및 디렉토리 관리]2.1 CentOS 6.7 root 홈, 디렉터리 권한 및 패스 설정 (0) | 2019.03.14 |
| [계정관리]1.4 CentOS 6.7 패스워드 파일 보호 (0) | 2019.03.14 |
| [계정관리]1.2 CentOS 6.7 패스워드 복장성 설정 (0) | 2019.03.13 |
| [계정관리]1.1 CentOS 6.7 root 계정 원격 접속 제한 (0) | 2019.03.13 |
