Techbrad

이전 포스팅에서 리눅스의 Pam을 사용하여 root계정 임계치 설정을 진행하였다. [Linux] SSH Brute Force 보안 - root 계정 원격 접속 차단 및 포트 변경 (CentOS7) 이전 포스팅에서 리눅스 CentOS7 기준으로 root의 계정을 찾기 위한 Brute Force를 진행하였다. 리눅스 Brute Force Attack 파이썬 구현 및 확인 Brute Force Attack 시스템을 해킹하기 위해서는 사용하는 여러가. techbrad.tistory.com 계정에 대한 임계치 설정과 더불어 IP를 통한 접근제어를 진행하는 방법을 알아보고자 한다. TCP wrapper을 활용하면 서비스에 접근하는 IP를 설정할 수 있다. /etc/hosts.allow, /etc/hosts.deny..

패스워드 최소 길이 설정 일반적으로 계정의 패스워드 길이를 8자 이상으로 설정해야한다. 리눅스에서 이를 설정하기 위해 /etc/login.defs 의 PASS_MIN_LEN 값을 8로 변경해야한다. 패스워드 최대/최소 사용기간 설정 계정 패스워드를 90일(12주) 단위로 변경해주는 것도 계정을 보안하는 방법이다. /etc/login.defs 옵션 중 PASS_MAX_DAYS 를 90으로 값을 변경하여 설정 할 수 있다. 또한, 패스워드 최소 사용기간을 1일로 설정해야한다. 패스워드를 0일로 설정하면 계속해서 패스워드를 변경할 수 있어 1일로 해주는 것이 잦은 패스워드 변경을 방지할 수 있다. 이는 /etc/login.defs 옵션 중 PASS_MIN_DAYS 를 1로 설정하면된다. /etc/login.d..

패스워드 복잡도 설정 다양한 문자를 조합하여 패스워드 복잡도를 올려야한다. 영문대소문자, 숫자, 특수 문자 중 2종류 이상을 조합하여 최소 10자리 이상, 3종류 이상을 조합하면 최소 8자리 이상으로 구성해야한다. 이를 위해 /etc/pam.d/system-auth 파일의 수정해야한다. ■ vi /etc/pam.d/system-auth 파일 해당 파일에 빨간색으로 적혀있는 문장을 추가한다. #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required pam_tally2.so deny=5 unlock_time=60 no_magic_root reset a..

root 이외의 UID가 0 금지 UID가 0인 유저는 root만 허용이 된다. 다른 유저가 UID를 갖고 있는 경우 시스템에 접근이 가능하므로 시스템 취약점 검사시 UID=0이 있는지 확인한다. root 이외에 UID 있는지 검출 Shell echo "[U-01]root 이외의 UID가 '0' 금지" >> $HOSTNAME.txt 2>&1 echo "root계정과 동일한 UID를 갖는 계정이 존재하지 않을 경우 양호" >> $HOSTNAME.txt 2>&1 if [ `cat /etc/passwd | awk -F: '$3==0{print $1}' | wc -l` == 1 ] then result=1 else result=0 fi echo "" >> $HOSTNAME.txt 2>&1 if [ $result..