esxi 서버 보안 취약점 조치 - 패스워드 관리

1. 쉐도우 패스워드 사용 여부

- 취약점 : 쉐도우 패스워드 파일을 사용하지 않으면 취약 /etc/shadow 파일권한이 400이 아니면 취약

- 점검방법 : /etc/shadow 파일 존재 여부 및 파일권한 확인

- 조치사항 

1] shadow 파일 생성

# pwconv 명령을 이용하여 /etc/shadow 파일을 생성

2] /etc/shadow 파일의 권한을 root 소유의 400으로 설정

# chown root /etc/shadow

# chown 400 /etc/shadow

 

2. 암호 없는 계정의 비활성화

- 취약점 : 활성화된 ID 중 암호가 없는 계정이 있으면 취약

- 점검방법 

1] cat /etc/passwd 실행

2] 사용 계정의 두번째 항목에 빈칸일 경우 패스워드를 설정해야 함

 예) 패스워드 없는 ID 예

  : root::0:0::/:/sbin/sh (두번째 항목 공백)

    grep:: /etc/passwd

- 조치사항

# vi /etc/shadow 파일에서 해당 계정의 두번째 필드인 password 필드에 " * " 을 삽입한다

# cat /etc/shadow

guest:*:12456:0:99999:7:::

sys:*:23456:0:99999:7::

 

3. 만기될 패스워드 경고

- 취약점 : 패스워드 만기 경고가 7일 이상으로 설정되어 있으면 양호

- 점검방법

# vi /etc/login.defs PASS_WARN_AGE 7(이상 PASS) 값 확인

- 조치사항

# vi /etc/login.defs PASS_WARN_AGE 7 이상 설정

 

4. 취약한 계정 암호 패스워드 사용

- 취약점 : ID로 유추가능한 패스워드나 취약한 패스워드를 사용중인 계정이 있으면 취약

- 점검방법 : passwd "취약한id" 를 명령어로 패스워드 변경