[보안취약점] 우분투에서 계정 잠금 임계값을 설정하는 방법

우분투에서 계정 잠금 임계값을 설정하는 방법

출처-주요정보통신기반시설_기술적_취약점_분석_평가_방법_상세가이드

 

1. 텍스트 편집기를 사용하여 /etc/pam.d/common-auth 파일을 엽니다.

sudo vi /etc/pam.d/common-auth

 

2. 파일에서 auth requisite pam_deny.so 다음에 있는 auth required pam_tally2.so 줄을 찾습니다. 이 줄은 계정 실패 횟수를 추적하고 잠금을 처리하는 모듈을 가리킵니다.

 

3. 해당 줄을 다음과 같이 수정합니다.

auth required pam_tally2.so deny=5 unlock_time=120 no_magic_root

• deny=5: 계정 실패 횟수가 3회 이상인 경우 계정을 잠급니다.
• unlock_time=600: 계정이 잠긴 후 600초 (10분) 후에 자동으로 잠금이 해제됩니다.
• no_magic_root: root 계정의 실패 횟수는 잠금에 영향을 주지 않습니다.

pam_tally2 모듈 설정 값

common-auth 편집

vim /etc/pam.d/common-auth

auth required pam_tally2.so deny=3 unlock_time=300 onerr=fail audit

 

• deny=<num>: 실패 횟수 임계값을 지정합니다. 이 값보다 많은 실패 시도가 있으면 계정이 잠깁니다.
• unlock_time=<seconds>: 잠긴 계정이 얼마 동안 잠금 상태를 유지할지를 지정합니다 (초 단위).
• onerr=<action>: 모듈에서 에러가 발생했을 때 어떤 동작을 수행할지를 지정합니다. fail로 설정하면 실패 시도가 증가하며, ignore로 설정하면 실패 시도가 증가하지 않습니다.
• audit: 실패 시도가 기록되도록 설정합니다. 로그에 실패 시도가 기록되어 보안 감사에 도움이 됩니다.
• fail_delay=<seconds>: 로그인 실패 후 계정이 잠금되기까지 대기할 시간(초)을 지정합니다. 일정 시간 동안 로그인을 제한함으로써 대량의 로그인 시도로부터 계정을 보호할 수 있습니다.
• max_fail_count=<num>: 계정이 잠기기 전에 허용되는 최대 로그인 실패 수를 지정합니다.

 

4. 파일을 저장하고 종료합니다.

728x90

 

또한, 계정 잠금과 관련된 설정은 /etc/pam.d/common-account 파일에서 다음 줄을 찾아 수정할 수 있습니다.

vim /etc/pam.d/common-account

account required pam_tally2.so no_magic_root

위의 설정은 root 계정의 실패 횟수도 잠금에 영향을 주지 않습니다.

 

설정을 변경한 후에는 변경 사항이 적용되도록 시스템을 재부팅하거나, 로그아웃/로그인을 수행해야 합니다.

 

이제 계정 실패 횟수가 임계값을 초과하면 해당 계정이 잠금됩니다. 잠긴 계정은 설정한 잠금 해제 시간 이후에 자동으로 해제됩니다.

 

pam_tally2를 사용하여 계정의 패스워드 초기화 및 잠금을 해제하는 방법

1. 계정 패스워드 초기화

pam_tally2는 실패 횟수를 추적하는데 사용되므로, 계정의 패스워드를 초기화하려면 실패 횟수도 함께 초기화해야 합니다. 다음 명령을 사용하여 실패 횟수를 초기화합니다.

sudo pam_tally2 --user <username> --reset

<username>은 초기화할 계정의 사용자 이름으로 대체해야 합니다.

2. 계정 잠금 해제

잠긴 계정을 해제하려면 pam_tally2의 잠금 해제 옵션을 사용합니다. 다음 명령을 사용하여 계정을 해제합니다.

sudo pam_tally2 --user <username> --reset=0

<username>은 잠긴 계정의 사용자 이름으로 대체해야 합니다. --reset=0은 실패 횟수를 0으로 재설정하여 계정을 해제하는 역할을 합니다.

 

위의 단계를 따르면 pam_tally2를 사용하여 계정의 패스워드를 초기화하고, 잠금을 해제할 수 있습니다.