[주요정보통신기반시설 취약점 진단] U-03(상) 계정 잠금 임계값 설정

Unix 서버 취약 분석·평가 항목

1. 계정 관리(U-01 ~ U-04, U-44 ~ U-54 -> 15개)
2. 파일 및 디렉터리 관리(U-05 ~ U-18, U-55 ~ U-59 -> 19개)
3. 서비스 관리(U-19 ~ U-41, U-60 ~ U-71 -> 35개)
4. 패치 관리(U-42 -> 1개)
5. 로그 관리(U-43, U-72 -> 2개)

---

 

1. 취약점 개요

1) 점검 내용

• 사용자 계정 로그인 실패 시 계정 잠금 임계값이 설정되어 있는지 점검

2) 점검 목적

• 계정탈취 목적의 무작위 대입 공격 시 해당 계정을 잠금하여 인증 요청에 응답하는 리소스 낭비를 차단하고 대입 공격으로 인한 비밀번호 노출 공격을 무력화하기 위함

3) 보안 위협

• 패스워드 탈취 공격(무작위 대입 공격, 사전 대입 공격, 추측 공격 등)의 인증 요청에 대해 설정된 패스워드와 일치할 때까지 지속적으로 응답하여 해당 계정의 패스워드가 유출 될 수 있음

4) 참고

• 사용자 로그인 실패 임계 값 : 시스템에 로그인 시 몇 번의 로그인 실패에 로그인을 차단할 것인지 결정하는 값

 

2. 점검 대상 및 판단 기준

1) 대상

• Solaris, Linux, AIX, HP-UX 등

2) 판단 기준

• 양호 : 계정 잠금 임계값이 10회 이하의 값으로 설정되어 있는 경우
• 취약 : 계정 잠금 임계값이 설정되어 있지 않거나, 10회 이하의 값으로 설정되지 않은 경우

3) 조치 방법

• 계정 잠금 임계값을 10회 이하로 설정

 

3. 점검 및 조치 사례

1) OS 별 점검 파일 위치

Solaris	#cat /etc/default/login RETRIES=5 (Solaris 5.9 이상 버전일 경우 추가적으로 "policy.conf" 파일 확인 #cat /etc/security/policy.conf LOCK_AFTER_RETRIES=YES
Linux	#cat /etc/pam.d/system-auth auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root account required /lib/security/pam_tally.so no_magic_root reset
AIX	#cat /etc/security/user loginretries=10
HP-UX	#cat /etc/files/auth/system/default u_maxtries#5 (HP-UX 11.v3 이상일 경우 "security" 파일 확인 #cat /etc/default/security AUTH_MAXTRIES=10

-> 위에 제시한 설정이 해당 파일에 적용되지 않은 경우 아래의 보안설정방법에 따라 설정을 변경함

 

2) Solaris

<Solaris 5.9 이하 버전>

Step 1) vi 편집기를 이용하여 "/etc/default/login" 파일 열기

Step 2) 아래와 같이 수정 또는 신규 삽입

(수정 전) #RETRIES=2

(수정 후) RETRIES=10

 

<Solaris 5.9 이상 버전>

Step 1) vi 편집기를 이용하여 "/etc/default/login" 파일 열기

Step 2) 아래와 같이 수정 또는 신규 삽입(계정 잠금 횟수 설정)

(수정 전) #RETRIES=2

(수정 후) RETRIES=10

Step 3) vi 편집기를 이용하여 "/etc/security/policy.conf" 파일 열기

Step 4) 아래와 같이 수정 또는 신규 삽입(계정 잠금 정책 사용 설정)

(수정 전) #LOCK_AFTER_RETRIES=NO

(수정 후) LOCK_AFTER_RETRIES=YES

 

3) Linux

Step 1) vi 편집기를 이용하여 "/etc/pam.d/system-auth" 파일 열기

Step 2) 아래와 같이 수정 또는 신규 삽입

auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root
account required /lib/security/pam_tally.so no_magic_root reset

no_magic_root : root에게는 패스워드 잠금 설정을 적용하지 않음

deny=5 : 5회 입력 실패 시 패스워드 잠금

unlock_time : 계정 잠김 후 마지막 계정 실패 시간부터 설정된 시간이 지나면 자동 계정 잠김 해제(단위:초)

reset : 접속 시도 성공 시 실패한 횟수 초기화

 

4) AIX

Step 1) vi 편집기를 이용하여 "/etc/security/user" 파일 열기

Step 2) 아래와 같이 수정 또는 신규 삽입

(수정 전) loginretries = 0

(수정 후) loginretries = 10

 

5) HP-UX

<HP-UX 11.v2 이하 버전>

Step 1) vi 편집기를 이용하여 /tcb/files/auth/system/default 파일 열기

Step 2) 아래와 같이 수정 또는 신규 삽입

(수정 전) u_maxtries#

(수정 후) u_maxtries#10

HP-UX 서버에 계정 잠금 정책 설정을 위해서는 HP-UX 서버가 Trusted Mode 로 동작하고 있어야 하므로 Trusted Mode로 전환한 후 잠금 정책 적용!

 

<HP-UX 11.v3 이상 버전>

Step 1) vi 편집기를 이용하여 /etc/default/security 파일 열기

Step 2) 아래와 같이 수정 또는 신규 삽입

(수정 전) #AUTH_MAXTREIS=0

(수정 후) AUTH_MAXTRIES=10

Standard and Shadow modes only

4. 조치 시 영향

• HP-UX의 경우 Trusted Mode로 전환 시 파일시스템 구조가 변경되어 운영 중인 서비스에 문제가 발생할 수 있으므로 충분한 테스트를 거친 후 Trusted Mode로의 전환이 필요함
• Linux의 경우 pam.d/system-auth의 내용 수정 시 해당 라이브러리가 실제 존재하는지 확인 필요
  (/lib/security/pam_tally.so -> 파일 미존재시 모든 계정 로그인 안되는 장애가 발생할 수 있음)