Unix 서버 1. 계정 관리

주요정보통신기반시설_Unix 서버

1. 계정 관리

 

 

사용환경

UBUNTU : 20.04

 

 

 

1.1 root 계정 원격접속 제한

 

 

양호 : 원격 터미널 서비스를 사용하지 않거나, 사용 시 root 직접 접속을 차단한 경우

취약 : 원격 터미널 서비스 사용 시 root 직접 접속을 허용한 경우

 

 

관리자계정 탈취로 인한 시스템 장악을 방지하기 위해 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하기 위함

 

 

 

***시행착오***

 

걍 첨부터 막혀버림

root@ubuntu:~# cat /etc/sshd_config
cat: /etc/sshd_config: No such file or directory

 

경로 다시 찾음

root@ubuntu:~# cd /etc/ssh
root@ubuntu:/etc/ssh# ls
moduli        sshd_config         ssh_host_ecdsa_key.pub    ssh_host_rsa_key
ssh_config    sshd_config.d       ssh_host_ed25519_key      ssh_host_rsa_key.pub
ssh_config.d  ssh_host_ecdsa_key  ssh_host_ed25519_key.pub  ssh_import_id

 

vi 편집기를 이용하여 “/etc/ssh/sshd_config” 파일 열기

 

 

 

 

1.2 패스워드 복잡성 설정

 

양호 : 패스워드 최소길이 8자리 이상, 영문·숫자·특수문자 최소 입력 기능이 설정된 경우

취약 : 패스워드 최소길이 8자리 이상, 영문·숫자·특수문자 최소 입력 기능이 설정된 경우

 

 

 

***참고사항***

 

< 부적절한 패스워드 유형 >

 

1. 사전에 나오는 단어나 이들의 조합

2. 길이가 너무 짧거나, NULL(공백)인 패스워드

3. 키보드 자판의 일련의 나열 (예) abcd, qwert, etc

4. 사용자 계정 정보에서 유추 가능한 단어들

 

 

< 패스워드 관리 방법 >

1. 영문, 숫자, 특수문자를 조합하여 계정명과 상이한 8자 이상의 패스워드 설정

  ※ 다음 각 목의 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는, 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성

  가. 영문 대문자(26개)

  나. 영문 소문자(26개)

  다. 숫자(10개)

  라. 특수문자(32개)

 

2. 시스템마다 상이한 패스워드 사용

 

3. 패스워드를 기록해 놓을 경우 변형하여 기록

 

 

 

 

 

1.3 계정 잠금 임계값 설정

 

 

양호 : 계정 잠금 임계값이 10회 이하의 값으로 설정되어 있는 경우

취약 : 계정 잠금 임계값이 설정되어 있지 않거나, 10회 이하의 값으로 설정되지 않은 경우

 

단계1. “/etc/pam.d/system-auth” 파일 열기

단계2. 다음 문장을 삽입

auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root
account required /lib/security/pam_tally.so no_magic_root reset

 

 

***시행착오***

1. 가이드에 나온 system-auth 파일이 존재하지 않음

 구글링으로 해결 --> common-auth 파일에서 작성해야 함

 

2. 도대체가 vi편집기 이상해서 말을 안들어먹음

 지 맘대로 적힘 + 여러 번 해도 소용없음 --> vim 설치해서 해결......

 

3. 도대체가 pam_tally.so 이거가 없음

  가이드에서는 pam_tally인데... 내꺼에서는 pam_permit이라는 점...

 

 

팍쒸.......... 시간 너무 잡아먹어서 그냥 넘김......

 

 

 

 

1.4 패스워드 파일 보호

 

 

양호 : 쉐도우 패스워드를 사용하거나, 패스워드를 암호화하여 저장하는 경우

취약 : 쉐도우 패스워드를 사용하지 않고, 패스워드를 암호화하여 저장하지 않는 경우

 

일부 오래된 시스템의 경우 /etc/passwd 파일에 패스워드가 평문으로 저장 되므로 사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검하여 비인 가자의 패스워드 파일 접근 시에도 사용자 계정 패스워드가 안전하게 관리 되고 있는지 확인

 

단계1. /etc /shadow 파일의 패스워드 암호화 존재 확인 

 

단계2. /etc/passwd 파일 내 두 번째 필드가 “x” 표시되는지 확인