리눅스(redhat, centos) 7.9 계정잠금설정 보안취약점 조치

IT이야기

리눅스(redhat, centos) 7.9 계정잠금설정 보안취약점 조치

스토리비즈니스 2022. 10. 12. 00:02

서버 구축 혹은 운영을 하다보면 보안취약점 조치를 해야 할 때가 있습니다. 시행착오를 줄이기 원하시는 분들을 위하여, 계정잠금에 대한 설정 방법을 알아보도록 하겠습니다.

1. 판단기준

1) 양호 : 계정 잠금 임계값이 10 이하의 값으로 설정되어 있는 경우

2) 취약 : 계정 잠금 임계값이 설정되어 있지 않거나, 10 이상의 값으로 설정된 경우

2. 설정파일

# vi /etc/pam.d/system-auth

# vi /etc/pam.d/password-auth

1) 적용 전

auth required pam_env.so

auth required pam_faildelay.so delay=2000000

auth sufficient pam_fprintd.so

auth sufficient pam_unix.so nullok try_first_pass

auth requisite pam_succeed_if.so uid >= 1000 quiet_success

auth required pam_deny.so

account required pam_unix.so

account sufficient pam_localuser.so

account required pam_succeed_if.so uid < 1000 quiet

account required pam_permit.so

password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok md5 shadow remember=1

password required pam_deny.so

session optional pam_keyinit.so revoke

session required pam_limits.so

-session optional pam_systemd.so

session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid

2) 적용 후(중요한 건 아래 순서대로 추가해야 합니다)