ABOUT ME

    -

    Today
    -
    Yesterday
    -
    Total
    -
    • 리눅스(redhat, centos) 7.9 계정잠금설정 보안취약점 조치
      IT이야기 2022. 10. 12. 00:02

      서버 구축 혹은 운영을 하다보면 보안취약점 조치를 해야 할 때가 있습니다. 시행착오를 줄이기 원하시는 분들을 위하여, 계정잠금에 대한 설정 방법을 알아보도록 하겠습니다.

       

      1. 판단기준 

       1) 양호 : 계정 잠금 임계값이 10 이하의 값으로 설정되어 있는 경우

       2) 취약 : 계정 잠금 임계값이 설정되어 있지 않거나, 10 이상의 값으로 설정된 경우

       

      2. 설정파일

      # vi /etc/pam.d/system-auth

      # vi /etc/pam.d/password-auth

       

       1)  적용 전 

      auth     required       pam_env.so

      auth     required       pam_faildelay.so delay=2000000

      auth     sufficient      pam_fprintd.so

      auth     sufficient      pam_unix.so nullok try_first_pass

      auth     requisite       pam_succeed_if.so uid >= 1000 quiet_success

      auth     required        pam_deny.so

       

      account     required    pam_unix.so

      account     sufficient   pam_localuser.so

      account     required    pam_succeed_if.so uid < 1000 quiet

      account     required    pam_permit.so

       

      password    requisite    pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

      password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok md5 shadow remember=1

      password    required     pam_deny.so

       

      session       optional      pam_keyinit.so revoke

      session       required      pam_limits.so

      -session       optional      pam_systemd.so

      session       [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid

       

       2) 적용 후(중요한 건 아래 순서대로 추가해야 합니다)

      auth     required          pam_env.so

      auth     required         pam_faillock.so preauth silent audit deny=10 unlock_time=600(초)

      auth     required           pam_faildelay.so delay=2000000

      auth     sufficient          pam_fprintd.so

      auth     sufficient          pam_unix.so nullok try_first_pass

      auth     [default=die]  pam_faillock.so preauth silent audit deny=10 unlock_time=600(초)

      auth     requisite       pam_succeed_if.so uid >= 1000 quiet_success

      auth     required        pam_deny.so

       

      account     required    pam_unix.so

      account     sufficient   pam_localuser.so

      account     required    pam_succeed_if.so uid < 1000 quiet

      account     required    pam_permit.so

      account     required    pam_faillock.so

       

      password    requisite    pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

      password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok md5 shadow remember=1

      password    required     pam_deny.so

       

      session       optional      pam_keyinit.so revoke

      session       required      pam_limits.so

      -session       optional      pam_systemd.so

      session       [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid

      'IT이야기' 카테고리의 다른 글

      베리타스 VCS 클러스터 Active-Active(A-A) 구성 확인 명령어  (0) 2022.11.05
      서버 구축 후 가용성 테스트 계획서 작성하는 방법  (1) 2022.10.15
      esxi 서버 보안취약점 조치 - 파일시스템관리  (1) 2022.09.29
      esxi 서버 보안취약점 조치 - 로그관리  (0) 2022.09.28
      esxi 서버 보안 취약점 조치 - 패스워드 관리  (0) 2022.09.23

      관련글 관련글 더보기

    Designed by Tistory.

    티스토리툴바