본문 바로가기

리눅스

[리눅스][보안취약점] 계정 잠금 임계값 설정

728x90

[보안취약점] 계정 잠금 임계값 설정

점검 내용 : 사용자 계정 로그인 실패 시 계정잠금 임계값이 설정되어 있는지 점검

판단기준 : 계정 잠금 임계값을 10회 이하의 값으로 설정되어 있는 경우

점검 및 조치 방법

system-auth 파일

vim /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_fprintd.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        sufficient    pam_ldap.so use_first_pass
auth        required      pam_deny.so

account     required      pam_unix.so broken_shadow
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     [default=bad success=ok user_unknown=ignore] pam_ldap.so
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_ldap.so use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional     pam_systemd.so
session     optional      pam_oddjob_mkhomedir.so umask=0077
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session     optional      pam_ldap.so

/etc/pam.d/system-auth 편집

auth required pam_tally.so deny=5 unlock_time=120 no_magic_root

account required pam_tally.so no_magic_root reset

옵션 설명
no_magic_root root에게는 패스위드 잠금 설정을 적용하지 않음
deny=5 5회 입력 실패 시 패스워드 잠금
unlock_time 계정 잠김 후 마지막 계정 실패 시간부터 설정된 시간이 지나면 자동 계정 잠김 해제(단위: 초)
reset 접속 시도 성공 시 실패한 횟수 초기화
sed -i '5 i\auth        required      pam_tally.so deny=5 unlock_time=120 no_magic_root' /tmp/system-auth
sed -i '14 i\account     required      pam_tally.so no_magic_root reset' /tmp/system-auth

728x90