[Linux] U-03 : 계정 잠금 임계 값 설정

들어가기 전

사내 운영 중인 리눅스 서버의 보안 점검이 있었습니다. 그 중 계정 임계값 설정이라는 보완조치가 내려왔는데 이건 무엇이고, 어떻게 조치를 했는지 기록하고자 합니다.

 

한국인터넷진흥원(KISA)에서 제공하는 주요 정보통신기반시설의 기술적 취약점 분석, 평가 방법 상세가이드(2021.03)을 기반으로 작성하였습니다.

 

서버 환경은 다음과 같습니다.

서버 환경
Rocky Linux 8.8

---

계정 잠금 임계값이란?

계정 잠금 임계값 설정은 계정 탈취 공격인 무차별 대입 공격 (Brute Force) 혹은 사전 대입 공격에 대비하여 일정 횟수 이상 로그인 실패 시 인증 요청에 응답하는 리소스를 차단합니다. 이로 인해 비밀번호 노출 공격을 무력화하기 위해 설정합니다.

 

점검 기준

점검 기준은 두 가지의 상태로 나누어 점검을 실시했습니다.

• 양호: 계정 잠금 임계값이 10회 이하의 값으로 설정되어 있는 경우
• 취약: 계정 잠금 임계값이 설정되어 있지 않거나, 10회 이하의 값으로 설정되어 있는 경우

 

조치사항

조치 하게 된 서버의 경우 계정 잠금 임계값이 설정되어 있지않아서 위 기준에 따라 조치를 취했습니다.

 

방법1: /etc/login.defs 파일 수정

vi /etc/login.defs

# LOGIN_RETRIES 설정을 변경합니다.
LOGIN_RETRIES 5

# 변경 후 아래 명령어를 통해 반영이 되었음을 확인합니다.
cat /etc/login.defs | grep LOGIN_RETIRES

 

방법2: /etc/pam.d/system-auth 파일 수정

vi /etc/pam.d/system-auth

# 아래 코드를 삽입합니다.
auth	required	pam_faillock.so preauth silent audit deny=5 even_deny_root_unlock_time=60

• audit: 사용자(일반 계정) 감사를 활성화
• deny=N: N회 입력 실패 시 패스워드 잠금 
• even_deny_root_unlock_time: root 계정 적용 시 사용

 

❗트러블슈팅

su: incorrect password

조치를 취한 후 su 명령을 통해 작업을 진행하려하니, 위와 같이 su 접근 권한에 문제가 생겼습니다. 오류가 발생한 서버의 환경은 Red Hat 6.5이고, 방법2: pam.d/system-auth를 수정하는 부분에서 리눅스 버전 차이로 인해 오류가 발생했습니다. Red Hat 6.xx 버전에서는 pam_faillock PAM 모듈을 지원하지 않고, 7.xx 이상 버전에서 지원을 한다고 합니다.

• 원인

pam_faillock.so 미지원으로 인해 임계값 설정 오류

• 해결

지원하는 모듈의 계정 잠금 기능 사용: pam_faillock.so -> pam_tally2.so