[Unix] 계정 잠금 임계값 설정

1. 항목 개요

점검 내용 : 사용자 계정 로그인 실패 시 계정잠금 임계값이 설정되어 있는지 점검
점검 목적 : 계정탈취 목적의 무작위 대입 공격 시 해당 계정을 잠금하여 인증 요청에 응답하는 리소스 낭비를 차단하고 대입 공격으로 인한 비밀번호 노출 공격 을 무력화하기 위함

해당 항목은, 로그인 시도 회수에 대한 제안을 걸어뒀는가에 대한 항목이다.

무차별 대입 공격을 막기 위해 로그인 시도가 많아지면, 잠시 후 다시 시도하게 하거나, 해당 IP, MAC 주소로 시도되는 로그인을 막는 방식으로 동작을 한다.

주통기에 어떤 파일을 봐야하는지 잘 정리가 되어 있다.

파일의 목록은 다음과 같다.

OS별 점검 파일 위치 및 점검 방법
SOLARIS(5.9 이전)	/etc/default/login
SOLARIS(5.9 이상)	/etc/security/policy.conf
LINUX	/etc/pam.d/system-auth
AIX	/etc/security/user
HP-UX	/tcb/files/auth/system/default HP-UX 11.v3 이상일 경우 “security” 파일 확인 /etc/default/security

항목설명

항목	설명
CONSOLE=/dev/console	root 로그인은 로컬 콘솔에서만 허용 (telnet/ssh 원격 root 로그인 차단).
PASSREQ=YES	계정 생성 시 패스워드 필수 설정 여부.
ALTSHELL=YES	사용자에게 /etc/passwd에 지정된 기본 쉘이 아닌 다른 쉘 사용 허용 여부.
PATH=...	로그인 시 기본 PATH 설정.
UMASK=022	기본 파일 생성 권한 마스크.
TIMEOUT=60	로그인 입력 대기 시간 (초). 지정된 시간 내 입력 없으면 세션 종료.
RETRIES=5	로그인 실패 허용 횟수 (예: 5회 실패 시 로그인 차단).
SYSLOG=YES	로그인 실패를 syslog에 기록할지 여부.
DISABLETIME=600	로그인 실패 허용 횟수 초과 시, 계정 잠김 지속 시간(초). (예: 600 → 10분).
SLEEPTIME=4	로그인 실패 시 지연 시간 (초). brute force 공격 방어용.

여기서 RETRIES를 보면 된다.

항목설명

항목	설명
CRYPT_ALGORITHMS_ALLOW	허용할 암호화 알고리즘 목록. 예: CRYPT_ALGORITHMS_ALLOW=1,2a,md5,5,6
CRYPT_ALGORITHMS_DEPRECATE	더 이상 사용하지 않을 알고리즘 지정. 예: CRYPT_ALGORITHMS_DEPRECATE=__unix__
CRYPT_DEFAULT	신규 패스워드 생성 시 기본 암호화 알고리즘. 예: CRYPT_DEFAULT=6 (SHA-512)
PASSLENGTH	최소 패스워드 길이. 예: PASSLENGTH=8
NAME_SERVICE_CRED_EXPIRATION	네임서비스 인증서 만료 기간.
PROFS_GRANTED	기본 권한 프로파일. (예: Basic Solaris User)
AUTHS_GRANTED	기본 권한(auths) 부여.
LIMITPRIV	제한할 프로세스 권한 지정.
PRIV_DEFAULT	기본 프로세스 권한.
LOCK_AFTER_RETRIES	YES이면 로그인 실패 허용 횟수 초과 시 계정 잠금. (/etc/default/login의 RETRIES와 연동).

여기서 LOCK_AFTER_RETRIES가 설정되어 있어야 횟수 제한이 걸린다.