원문출처 : https://sa2da-sac.tistory.com/75
개요
- 취약점 분석 [U - 03] 해당 내용에 대해 보안조치 사항을 추가적으로 기술함
- <주요정보통신기반시설 기술적 취약점 분석 평가 방법 가이드>에는 기술되지 않은 내용
- 해당 게시물은 Linux(RHEL)를 기준으로 기술함
목차
- 운영체제 버전에 따른 system-auth 설정 (pam_tally.so / pam_tally2.so 차이)
- pam 모듈 계정 임계 값 설정 순서
- system-auth, password-auth 차이
콘솔 기반 계정 잠금 설정은 system-auth
GUI 즉 x-window(GNOME ,KDE) 기반의 계정 잠금 설정은 password-auth
1. 운영체제 버전에 따른 system-auth 설정
- 주요정보통신기반시설 기술적 취약점 분석 평가 방법 가이드>에는 계정 임계 값 설정 시 pam_tally.so에 대한 설정 내용만 존재
- 하지만, 해당 내용은 OS 버전에 따라 다르게 설정되어야 함
Cent OS 5 이하(RHEL 5) : pam_tally.so
Cent OS 6 이상(RHEL 6) : pam_tally2.so
- Cent OS 6 버전에 pam_tally.so 설정 시 모듈 오류 발생 (password-auth)
(오류 해결은 single 모드로 실행하여 password-auth 파일 수정)
- 또한, 로그가 기록되는 파일도 다름
pam_tally.so : /var/log/faillog
(로그 출력 명령: pam_tally)
pam_tally2.so : /var/log/tallylog
(로그 출력 명령: pam_tally2)
- 사용자 잠금 해제 (root 권한으로 수행)
# pam_tally2 --user <사용자명> --reset
2. 비밀번호 임계값 설정 pam 모듈 순서
- pam 모듈은 위에서 아래로 순차적으로 수행함
- 같은 모듈로 구성, 설정되어 있어도 순서가 바뀌면 전혀 다른 결과를 발생
- 따라 순서에 맞게 모듈을 구성해야 함
- 비밀번호 임계 값 설정은 각 섹션의 2번째 Line에 설정해야 함
3. system-auth, password-auth 차이
- <주요정보통신기반시설 기술적 취약점 분석 평가 방법 가이드>에는 system-auth에 대해서만 기술
- system-auth 뿐 아니라 password-auth 설정에 대해서도 고려해야하며, 설정 내용 방법은 system-auth와 동일함
- system-auth, password-auth는 서로 다른 영역의 계정 임계 값을 설정하는 곳으로 임계 값 설정 시 상황에 맞게 설정해야 함
/etc/pam.d/system-auth
- console 기반 로그인 시 계정에 대한 임계 값 설정
- /etc/pam.d/su 의 인증에 대한 모듈로 su 인증 시 system-auth를 참조
/etc/pam.d/passwd-auth
- GUI 즉 x-window(GNOME ,KDE) 기반 로그인 시 계정에 대한 임계 값 설정
- /etc/pam.d/sshd 의 인증에 대한 모듈로 sshd 인증 시 password-auth를 참조