------------------- 로그인 정책
|
목적 |
로그인 화면에 시스템 정보(OS 버전)을 보여주지 않고, 로그인 실패가 반복될 경우 로그인을 제한하여 시스템을 보호함 |
|
관련 파일 |
/etc/security/login.cfg |
|
점검방법 |
lssec –f /etc/security/login.cfg –s default –a [항목] 예) lssec –f /etc/security/login.cfg –s default –a herald * 단, 특정 계정에만 적용하기를 원하면 –s default 대신 –s [사용자 계정] 을 사용 |
|
설정방법 |
chsec –f /etc/security/login.cfg –s default –a [항목]=[값] |
|
항목 |
설명 |
기본 설정 |
권장 설정 |
|
herald |
로그인 화면에 보여 줄 내용을 지정함 |
|
Authorized Access Only\nlogin: |
|
sak_enable |
Secure attention key를 사용한 … |
False |
False |
|
logintimes |
해당 포트를 통해서 로그인 가능한 시간대를 지정함 |
NONE |
NONE |
|
logindisable |
몇번 로그인 실패할 경우, 해당 포트를 Lock할 것인지를 정함 |
0 |
4 |
|
logininterval |
포트를 잠기 위해서 몇 초 동안에 logindisable 시도가 있어야 하는지 정함 |
0 |
60 |
|
loginreenable |
해당 포트가 잠긴 후, 몇 분후 자동으로 잠김이 해제될 것인지를 정함 |
0 |
30 |
|
logindelay |
로그인이 실패할 경우, 몇 초씩 지연을 할 것인지를 지정함 |
0 |
5 |
-----------로그인 후, 일정시간동안 사용하지 않은 경우 자동 로그 아웃 시키기
|
목적 |
로그인한 사용자가 일정시간동안 사용하지 않을 경우 자동으로 로그아웃 시킴 |
|
관련 파일 |
/etc/security/.profile |
|
점검방법 |
/etc/security/.profile 내에 TMOUT, TIMEOUT이 정의되어 있는지 확인 |
|
설정방법 |
/etc/security/.profile에 아래 내용 추가 (예, 10분=600) TMOUT=600; TIMEOUT=600; export readonly TMOUT TIMEOUT |
-------------------- 패스워드 정책
|
목적 |
추측하기 쉬운 패스워드를 사용할 경우, 패스워드 추측 또는 전수조사 공격으로 인하여 비인가자의 시스템 접근이 가능하기 때문에, 패스워드가 추측하기 어렵고 반복되어 사용되지 않게 함 |
|
관련 파일 |
/etc/security/user |
|
점검방법 |
lssec -f /etc/security/user -s default –a [항목] 예) lssec –f /etc/security/user –s default –a minlen * 단, 특정 계정만 점검하기를 원하면 –s default 대신 –s [사용자 계정] 을 사용 |
|
설정방법 |
chsec –f /etc/security/user –s default –a [항목]=[값] 예) chsec –f /etc/security/user –s default –a minlen=6 |
|
항목 |
설명 |
기본 설정 |
권장 설정 |
|
dictionlist |
패스워드에 UNIX 명령어가 포함되지 않게 함 |
미적용 |
/usr/share/dict/words |
|
histexpire |
몇 주 후에 동일한 패스워드가 재사용될 수 있는지 설정 |
0 |
26 |
|
histsize |
최근 사용된 패스워드를 몇 개까지 재사용할 수 없게 할지를 설정 |
0 |
20 |
|
maxage |
패스워드가 몇 주동안 유효할 수 있는지 정의 |
0 |
4 |
|
maxexpired |
maxage가 지난 다음에 expire 된 패스워드를 변경할 수 있는 최대 주 |
-1 |
2 |
|
maxrepeats |
패스워드에 반복 가능한 동일 문자의 최대 수 |
8 |
2 |
|
minage |
최소 몇 주전에 패스워드가 변경되어야 하는지 설정 |
0 |
1 |
|
minalpha |
최소 몇 개의 알파벳 문자를 포함해야 하는지 설정 |
0 |
2 |
|
mindiff |
최소한 포함되어야 하는 반복되지 않는 문자 개수 |
0 |
4 |
|
minlen |
패스워드 최소 길이 |
0 |
6 (root는 8) |
|
minother |
최소 포함해야 할 알파벳 문자 이외의 문자 개수 |
0 |
2 |
|
pwdwarntime |
패스워드 변경이 필요함을 몇 일전부터 알릴지를 설정 |
0 |
5 |
-----------------root의 직점적인 로그인 금지
|
목적 |
root 권한으로 직접 로그인을 못하게 하고, 일반 계정으로 로그인 후 su 명령을 통해서 root 권한을 얻을 수 있게 함 |
|
관련 파일 |
/etc/security/user |
|
점검방법 |
lssec –f /etc/security/user –s root –a rlogin 결과가 false 인지 점검 |
|
설정방법 |
1. root 계정 로그인 금지 # chsec –f /etc/security/user –s root –a rlogin=false 2. root 계정으로 su 가능한 그룹 지정 # chsec –f /etc/security/user –s root –a su=true # chsec –f /etc/security/user –s root –a sugroups=[그룹이름] |
2006-_SMA세미나-AIX_보안_강화_및_점검_방법-2006.ppt