728x90
* 해당 실습에서 사용한 버전은 Rocky 8 임.
1. 계정관리
1 - 1. Root 계정 원격접속 제한 * KISA 다운로드 링크 포함
1 - 3. 계정 잠금 임계값 설정 (현재글)
2. 파일 및 디렉토리 관리
2 - 1. root 홈, 패스 디렉터리 권한 및 패스 설정
가. 계정 잠금 임계값 설정
1) 계정 잠금 임계값을 10회 이하의 값으로 설정
* 통상 시도횟수 : 3~5회 / 계정 잠금시간 3~5분으로 설정한다.(무차별 대입공격 방지용)
2) faillock 수정(기존 system-auth, password-auth 와 동일한 과정)
가) Redhat 5 버전부터 pam_tally.so의 no_magic_root와 reset이 default로 설정
나) 5버전 이후 부터 tally2를 사용
다) 8버전 이후부터 faillock 사용
* faillock은 기본 활성화가 안되서... 아래블로그를 참조해서 설정했다.
Rocky linux 8 faillock 설정 : 네이버 블로그 (naver.com)
| - faillock 활성화 # authselect select sssd --force # authselect enable-feature with-faillock 위 명령어를 입력하면 system-auth가 수정되어있다. |
| -faillock 설정 #vi /etc/security/faillock.conf 일반적인 설정을 위해 다음과 같이 설정하겠다. dir = /var/run/faillock audit silent deny = 5 fail_interval = 900 unlock_time = 120 * 필자는 확인을 위해 30으로 설정하였음. - 설정옵션 faillock.conf(5) - man-pages-ko (wariua.github.io) dir = /var/run/faillock : 실패 기록을 담을 사용자 별 파일들을 유지할 디렉터리(디폴트는 /var/run/faillock 이라고하는데...) audit : 알 수 없는 사용자의 경우 시스템 로그에 사용자 이름을 기록한다. silent : 사용자에게 정보성 메시지를 기록하지 않는다. deny : 로그인 시도 횟수(디폴트는 3) fail_interval : 로그인 연속 시도 횟수 시간(디폴트는 15) * fail_interval = 900, deny = 3인 경우 900초동안 3번의 로그인 시도 실패 시 계정 잠금. unlock_time : 계정 잠금 시간 설정 |
728x90
'공부 > 리눅스' 카테고리의 다른 글
| 2-2. 리눅스 취약점 조치(파일 및 디렉토리 관리) - 파일 및 디렉토리 소유자 설정 (0) | 2024.01.29 |
|---|---|
| 2-1. 리눅스 취약점 조치(파일 및 디렉토리 관리) - root 홈, 패스 디렉터리 권한 및 패스 설정 (2) | 2024.01.29 |
| 1-4. 리눅스 취약점 조치(계정관리) - PW 파일 보호 (0) | 2024.01.29 |
| 1-2. 리눅스 취약점 조치(계정관리) - PW 설정 (0) | 2024.01.25 |
| 1-1. 리눅스 취약점 조치(계정관리) - Root 계정 원격 접속 제한 (0) | 2024.01.25 |
