반응형
[보안취약점] 계정 잠금 임계값 설정
점검 내용 : 사용자 계정 로그인 실패 시 계정잠금 임계값이 설정되어 있는지 점검
판단기준 : 계정 잠금 임계값을 10회 이하의 값으로 설정되어 있는 경우
점검 및 조치 방법
system-auth 파일
vim /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth required pam_faildelay.so delay=2000000
auth sufficient pam_fprintd.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth sufficient pam_ldap.so use_first_pass
auth required pam_deny.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account [default=bad success=ok user_unknown=ignore] pam_ldap.so
account required pam_permit.so
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password sufficient pam_ldap.so use_authtok
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session optional pam_oddjob_mkhomedir.so umask=0077
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_ldap.so
/etc/pam.d/system-auth 편집
auth required pam_tally.so deny=5 unlock_time=120 no_magic_root
account required pam_tally.so no_magic_root reset
옵션 | 설명 |
no_magic_root | root에게는 패스위드 잠금 설정을 적용하지 않음 |
deny=5 | 5회 입력 실패 시 패스워드 잠금 |
unlock_time | 계정 잠김 후 마지막 계정 실패 시간부터 설정된 시간이 지나면 자동 계정 잠김 해제(단위: 초) |
reset | 접속 시도 성공 시 실패한 횟수 초기화 |
sed -i '5 i\auth required pam_tally.so deny=5 unlock_time=120 no_magic_root' /tmp/system-auth
sed -i '14 i\account required pam_tally.so no_magic_root reset' /tmp/system-auth
728x90
반응형
'리눅스' 카테고리의 다른 글
[리눅스] rsync 설치 (0) | 2013.07.02 |
---|---|
[WEB 보안] John the ripper 설치 (johnripper) (0) | 2013.07.02 |
[리눅스] 하드웨어 정보 확인하기 | dmidecode 명령어 (0) | 2013.06.28 |
[리눅스] yum 명령어 (0) | 2013.06.28 |
ls 명령어 (0) | 2013.06.28 |