본문 바로가기

OS/Linux

Linux - 계정 잠금 임계값 설정

728x90

OS에서 계정 잠금 임계값을 설정하는 것은 시스템 보안을 강화하기 위한 방법 중 하나입니다.

계정 잠금 임계값을 설정해 무작위 대입 공격이나 패스워드 추측 공격에 의한 계정 탈취를 방지할 수 있습니다. 

 

계정 잠금 임계값이란?

사용자가 일정 횟수 이상 잘못된 패스워드를 입력 시 해당 계정을 일정 시간 동안 잠그는 기능입니다.

기본적으로 보안 취약점 조치 가이드라인에는 임계값 5 이하를 권장하고 있습니다.

Linux (CentOS 7/8, RHEL 7/8, Ubuntu 20.04) 설정 방법

CentOS/RHEL

설정 파일 위치

# vi /etc/pam.d/system-auth

설정 방법

파일 위치 수정 전 수정 후
/etc/pam.d/password-auth
/etc/pam.d/system-auth
값 없음 auth required pam_tally2.so deny=5 unlock_time=120 no_magic_root
account required pam_tally2.so no_magic_root reset

Ubuntu

설정 파일 위치

# vi /etc/pam.d/common-auth

설정 방법

파일 위치 수정 전 수정 후
/etc/pam.d/common-auth 값 없음 auth required pam_tally2.so deny=5 unlock_time=120 no_magic_root

 

 

파일 위치 주의사항

RHEL 계열은 주로 password-auth 파일을 사용하지만 system-auth 파일에 설정을 추가해도 동작에 문제가 없습니다.

 

옵션 값 의미

옵션 설명
no_magic_root root 계정은 패스워드 잠금 설정을 적용하지 않음
deny = 5 5회 입력 실패 시 패스워드 잠금
unlock_time = 120 계정이 잠긴 후 설정된 시간(120) 이후 잠김 해제 (단위 : 초)
reset 접속 시도 성공 시 실패 횟수 초기화

 

SunOS (Solaris 11) 설정 방법

설정 파일 위치

# vi /etc/default/login
# vi /etc/security/policy.conf

설정 방법

파일 위치 수정 전 수정 후 비고
/etc/default/login # RETRIES=2 RETRIES=5 주석확인
/etc/security/policy.conf #LOCK_AFTER_RETRIES=NO LOCK_AFTER_RETRIES=YES 주석확인

 

AIX (AIX 7.2) 설정 방법

설정 파일 위치

# vi /etc/security/user

설정 방법

파일 위치 수정 전 수정 후
/etc/security/user loginretries = 0 loginretries = 5

 

HP-UX (HP-UX 11i v3) 설정 방법

설정 파일 위치

# vi /tcb/files/auth/system/default

설정 방법

파일 위치 수정 전 수정 후
/tcb/files/auth/system/default u_maxtries# u_maxtries#5

 

728x90
반응형