Unix : U-03(상) 계정관리 > 계정 잠금 임계값 설정
사용자 로그인 실패 임계 값 : 시스템에 로그인 시 몇 번의 로그인 실패시 로그인을 차단할 것인지 설정하는 값
취약점 개요
ㆍ점검내용
사용자 계정 로그인 실패 시 계정 잠금 임계값이 설정되어 있는지 점검한다.
ㆍ점검목적
계정 탈취 목적의 무작위 대입 공격 시 해당 계정을 잠궈 인증 요청의 응답 리소스 낭비를 차단하고, 대입 공격을 무력화하기 위해서이다.
ㆍ보안위협
패스워드 탈취 공격(무작위 대입 공격, 사전 대입 공격, 추측 공격 등)의 인증 요청에 대해
설정된 패스워드와 맞을때까지 지속적으로 응답하여 해당 계정의 패스워드가 노출될 수 있음
판단기준 및 조치방법
ㆍ판단기준
양호 : 계정 잠금 임계값이 10회 이하의 값으로 설정되어 있는 경우
취약 : 계정 잠금 임계값이 설정되어 있지 않거나, 10회 이하의 값으로 설정되지 않은 경우
ㆍ조치방법
계정 잠금 임계값을 10회 이하로 설정한다.
점검 및 조치 사례
ㆍLINUX
순서 1. vi 편집기를 이용하여 "/etc/pam.d/system-auth, /etc/pam.d/password-auth" 파일 열기
순서 2. 아래와 같이 수정 혹은 신규 삽입
auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root
account required /lib/security/pam_tally.so no_magic_root reset
- 수정 전
- 수정 후 (9, 15번 줄)
ㆍ조치 시 영향
Linux의 pam.d/system-auth의 내용 수정 시 해당 라이브러리가 실제 존재하는지 확인 필요하다.
(/lib/security/pam_tally.so - 파일 미존재시 모든 계정이 로그인 안되는 장애가 발생할 수 있다.)