* 해당 실습에서 사용한 버전은 Rocky 8 임.
1. 계정관리
1 - 1. Root 계정 원격접속 제한 * KISA 다운로드 링크 포함
1 - 2. PW 설정 (현재글)
2. 파일 및 디렉토리 관리
2 - 1. root 홈, 패스 디렉터리 권한 및 패스 설정
가. PW 복잡성 설정
1) 패스워드 관리방법(KISA 권장)
가) 영문, 숫자, 특문 조합하여 계정명과 상이한 8자 이상의 PW 설정
※ 다음 각 목의 종류 중
ㆍ2종류 이상조합하여 최소 10자리
ㆍ3종류 이상 조합하여 최소 8자리 이상의 길이로 구성
(1) 영문 대문자(26개)
(2) 영문 소문자(26개)
(3) 숫자(10개)
(4) 특수문자(32개)
* 몇몇 특수문자는 보안상 사용이 불가능한 경우가 있으니, 설정 전 메뉴얼을 참조할 것
나) 시스템마다 별개의 PW 사용
다) PW 기록시 변형 기록
* user계정 passwd 명령어 인증(Authentication token) 오류 발생시 아래 링크 참조
passwd: Authentication token manipulation error 오류 해결 6가지 방법
Root 권한이 없는 일반 사용자가 passwd 명령을 사용하여 본인의 비밀번호를 수정할 경우 일부 사용자에게는 "passwd: Authentication token maipulation error"이라는 시스템 오류가 발생합니다. You must wait longer
talkme.tistory.com
2) 패스워드 복잡성 설정 파일 확인
가) /etc/pam.d/system-auth 수정
| #vi /etc/pam.d/system-auth password requisite /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 - 옵션 설명 ㆍretry : 패스워드 입력 실패시 재시도 가능 횟수 ㆍdifok : 기존 패스워드와 비교 * 기본값이 10인 경우 50%를 비교한다고 하나 실제 테스트한 경우, 기존 패스워드와 일치하는 문자열의 개수임을 확인. 버전마다 상이한 것으로 확인되며, 정책 적용 전 반드시 확인하고 사용하도록 하자. ㆍminlen : 최소 사용 길이 ㆍdcredit : 숫자 사용 횟수 ㆍucredit : 영어 대문자 사용 횟수 ㆍlcredit : 영어 소문자 사용 횟수 ㆍocredit : 숫자, 영어 대/소문자를 제외한 기타 특수문자 사용 횟수 ex) ucredit = -1 * -1은 반드시 한 개를 포함해야 함을 의미함. difok = 숫자 * N 의 경우 기존 PW와 일치하지 않아야 함을 의미. * 이유는 모르겠으나 system-auth에서, retry는 정책이 적용되지 않았음 기본적으로 5회 이상 재시도 횟수를 부여하는 것을 확인 * 버전에 따라 옵션의 대소문자를 구분하여 옵션 적용 안되는 경우가 있으니, 마지막까지 확인해야함. |
나) /etc/security/pwquality.conf 수정
| #vi /etc/security/pwquality.conf * 정책 옵션은 위를 참조. |
'공부 > 리눅스' 카테고리의 다른 글
| 2-2. 리눅스 취약점 조치(파일 및 디렉토리 관리) - 파일 및 디렉토리 소유자 설정 (0) | 2024.01.29 |
|---|---|
| 2-1. 리눅스 취약점 조치(파일 및 디렉토리 관리) - root 홈, 패스 디렉터리 권한 및 패스 설정 (2) | 2024.01.29 |
| 1-4. 리눅스 취약점 조치(계정관리) - PW 파일 보호 (0) | 2024.01.29 |
| 1-3. 리눅스 취약점 조치(계정관리) - 계정 잠금 임계값 설정 (0) | 2024.01.29 |
| 1-1. 리눅스 취약점 조치(계정관리) - Root 계정 원격 접속 제한 (0) | 2024.01.25 |
