리눅스/주요정보통신기반시설_UNIX 썸네일형 리스트형 [계정관리]1.3 CentOS 6.7 계정 잠금 임계값 설정(수정필요) 계정 잠금 임계값 설정(취약한 설정) 로그인 시 계정 잠금 임계 값을 설정하지 않을 경우 악의적인 목적의 사용자의 무분별한 시도가 가능하게 된다.그렇기 때문에 계정 잠금 임계 값 설정을 해줘야 한다. system-auth 파일의 Default 셋팅을 보면 로그인 시도를 몇번을 하든 조치를 취하는 것이 없다. 로그인 시도를 몇번을 하든 계정이 잠기지 않고 시도할 수 있기 때문에 악의적인 목적의 사용자가 Brute force와 같은 공격을 수행할 수 있다. 계정 잠금 임계값 설정(양호한 셋팅) * pam_tally2.so는 로그인 시도 횟수를 헤아리는 모듈로 일정횟수 이상 실패시에는 접근을 차단 및 관리해주는 역할을 담당한다./etc/pam.d/sshd_config 파일에 pam_tally2.so 모듈을 이.. [계정관리]1.2 CentOS 6.7 패스워드 복장성 설정 패스워드 정책은 계정에 정책을 적용하는 것이라서, PAM에 있는 모듈을 통해서 정책을 지정할 수 있다. 이때, 사용하는 모듈이 바로 system-auth 모듈이다. 취약한 설정 system-auth 파일을 확인 시 로그인 시도 횟수가 3으로 지정되어 있는 것을 제외하고는 어떤한 설정도 되어 있지 않다. 제약이 없으니, 아주 심플한 패스워드로 변경이 가능하다.패스워드가 짧고 간단할 수록 탈취당할 수 있는 확률은 높아지게 된다. (양호한 설정) pam_cracklib.so 모듈은 사전(Dictionary)에 등록된 단어를 이용한 패스워드 설정 등을 방지하기 위한 비교 및 검사를 수행할 때 사용한다(password-auth, system-auth 등에 필수적으로 포함되게 된다.)패스워드를 최소 8자리를 만족하.. [계정관리]1.1 CentOS 6.7 root 계정 원격 접속 제한 Telnet의 경우(취약한 설정) Telnet 서비스를 사용하고 있는지 확인하는 것이 먼저!이며, -c 옵션은 count의 의미이다.Telnet 서비스가 설치되어 있는지 직접적으로 확인도 할 수 있다. Telnet 서비스를 사용하는 중이라면, 슈퍼데몬의 telnet을 확인해서 활성화가 되어 있는지 확인해야한다. iptables 확인을 통해 23번 포트로 들어오는 것 허용하고 있는지를 봐야한다. -A는 새로운 정책을 추가한다.-m state --state는 패킷의 상태와 목적에 따라 제어한다.NEW는 새로 접속을 시도하는 패킷을 말한다.-m tcp는 지정을 해줘도 되고 지정을 하지 않아도 된다, 생략해도 자동으로 등록이 되는 것 같다.-p는 프로토콜을 제어할 때 사용한다.--dport는 수신지 포트를 제어.. 이전 1 2 3 다음
