root 설정 보안

# vi /etc/pam.d/login
 --> auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
  내용이 주석처리되어있다면 root보안 인증을 하지 않아 취약한 것이고, 
  주석이 되어있지 않아야 root 인증을 함으로 보안이 되어있는 것이다.

 

---

 # vi /etc/securetty

파일 내 *pts/x 관련 설정이 존재하는 경우 위의 pam 모듈 설정과 관계없이 
root 계정 접송을 허용하므로 반드시 securetty 파일에서 pts/x 관련 설정 제거가 필요하다.

※  tty(terminal-teletype) : 서버와 연결된 모니터, 키보드 등을 통해 사용자가 콘솔로 직접 로그인할 경우.

    pts(pseudo-terminal, 가상터미널) : Telnet, SSH, 터미널 등을 이용하여 접속할 경우. (따라서 보안을 위해서는 pts가 존재하면 안 된다.)

---

패스워드

# cat /etc/pam.d/system-auto를 확인하여 

auth 컨텍스트 부분에 auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root이 있는지 확인.

-> deny = 5 ( 5회 입력 실패 시 패스워드 잠금 )

-> unlock_time ( 계정 잠김 후 마지막 계정 실패 시간으로부터 설정된 시간이 지나면 자동 계정 잠김 해제 )

-> no_magic_root ( root에게는 패스워드 잠금 설정을 적용하지 않음 )

-> reset ( 접속 시도 성공 시 실패한 횟수 초기화 )

account 컨텍스트 부분에 account required /lib/security/pam_tally.so no_magic_root reset이 있는지 확인한

---

root 계정 제한 su
권한이 없는 일반 사용자가 su 명령어를 사용하여 로그인을 시도하고 
패스워드 무작위 대입 공격(Brute Force Attack)이나 패스워드 추측 공격 (Password Guessing)을 통해 
root 권한을 획득할 수 있음. su 명령어 사용이 허용된 사용자만 root계정으로 접속할 수 있도록 함.

 vi /etc/pam.d/su 폴더의 4행과 6행을 확인.
6행의 주석을 풀면 wheel 그룹 사용자만 su - 이용 가능하고 4행의 경우는 신뢰가 추가된 것을 확인할 수 있을 
이는 su - 를 하면 password를 입력하지도 않고 root계정으로 전환이 가능하다.

 1 #%PAM-1.0
      2 auth            sufficient      pam_rootok.so
      3 # Uncomment the following line to implicitly trust users in the "wheel" group.
      4 #auth           sufficient      pam_wheel.so trust use_uid
      5 # Uncomment the following line to require a user to be in the "wheel" group.
      6 #auth           required        pam_wheel.so use_uid
      7 auth            include         system-auth
      8 account         sufficient      pam_succeed_if.so uid = 0 use_uid quiet
      9 account         include         system-auth
     10 password        include         system-auth
     11 session         include         system-auth
     12 session         optional        pam_xauth.so

---

패스워드 최소 길이 설정

# vi /etc/login.defs

 27 PASS_MIN_LEN    5
--> 길이 조정 하기

패스워드 사용 기간 

25 PASS_MAX_DAYS   99999
-->   기간 조정 

패스워드 푀소 사용기간 설정

 26 PASS_MIN_DAYS   0
--> 기간 조정

600기가 2개 하드 171번 교체  미러링 1번 

---

 

Big Ju