반응형
※ 이 글에서는 LINUX 기준으로만 작성하였습니다.
| 평가항목 ID |
구분 | 평가항목 | 상세설명 | 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) |
| SRV-069 | 기술적 보안 | 비밀번호 관리정책 설정 미비 | 사용자 비밀번호에 대한 관리정책 설정이 미흡할 경우 유추하기 쉬운 비밀번호 설정, 주기적인 비밀번호 미변경 등 비인가자에 의한 계정 탈취 가능성이 높아지는 위협이 존재하므로 적절한 비밀번호 관리정책이 설정되어 있는지 여부를 점검 | (상) [서비스 관리] U-02 패스워드 복잡성 설정 (중) [계정 관리] U-46 패스워드 최소 길이 설정 (중) [계정 관리] U-47 패스우드 최대 사용 기간 설정 (중) [계정 관리] U-48 패스워드 최소 사용 기간 설정 |
| 평가대상 (AIX) |
평가대상 (HP-UX) |
평가대상 (LINUX) |
평가대상 (SOLARIS) |
평가대상 (WIN) |
| O | O | O | O | O |
● 점검목적
- 패스워드 복잡성 관련 정책이 설정되어 있는지 점검하여 비인가자의 공격(무작위 대입 공격, 사전 대입 공격 등)에 대비가 되어 있는지 확인하기 위함
● 보안위협
- 복잡성 설정이 되어있지 않은 패스워드는 사회공학적인 유추가 가능 할 수 있으며 암호화된 패스워드 해시값을 무작위 대입공격, 사전대입 공격 등으로 단시간에 패스워드 크랙이 가능함
● 판단기준
* 양호 - 비밀번호 복잡성이 설정되어있을 경우(최소길이 8자리 이상, 영문/숫자/특수문자 조합)
* 취약 - 비밀번호 복잡성이 설정되어있지 않을 경우
● 확인방법
- 패스워드 설정파일에서 각 파라미터값 확인
[문자 조합설정]
# vi /etc/pam.d/system-auth
password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1
[최소길이, 최대사용기간, 최소사용기간 설정]
#vi /etc/login.defs
PASS_MIN_LEN
PASS_MAX_DAYS
PASS_MIN_DAYS
● 조치방법
- 패스워드 설정파일에서 다음과 같은 정책 설정
[문자 조합설정]
# vi /etc/pam.d/system-auth
| minlen=8 | 최소길이 8자리 |
| dcredit=-1 | 최소 숫자 1자리 이상 |
| ucredit=-1 | 최소 대문자 1자리 이상 |
| lcredit=-1 | 최소 소문자 1자리 이상 |
| ocredit=-1 | 최소 특수문자 1자리 이상 |
[최소길이, 최대사용기간, 최소사용기간 설정]
#vi /etc/login.defs
(단위 : 일)
반응형
'보안담당자로 살아가기 > 전자금융기반시설 취약점 분석ㆍ평가' 카테고리의 다른 글
| 서버 보안 취약점 평가_SRV074 (0) | 2023.09.14 |
|---|---|
| 서버 보안 취약점 평가_SRV070 (0) | 2023.09.13 |
| 서버 보안 취약점 평가_SRV060 (0) | 2023.09.05 |
| 서버 보안 취약점 평가_SRV048 (0) | 2023.09.01 |
| 서버 보안 취약점 평가_SRV047 (0) | 2023.09.01 |