[Linux] 계정 보안

SSH  계정 정책 설정

• 적용된 운영체제는 Amazon Linux2 버전입니다.

---

Session Timeout 적용

# 해당파일 수정
vi ~/.bash_profile 
# 적당한 위치에 삽입
export TMOUT=60 (=1분)
export TMOUT=600 (=10분)

# 해당파일 수정
vi /etc/profile
#적당한 위치에 삽입
export TMOUT=60 (=1분)
export TMOUT=600 (=10분)

 

 

• 아래 코드 사용해야 적용 됨.

# 적용 명령어
source /etc/profile
source ~/.bash_profile

 

 

 

 

---

 

아래 내용은 수정 시 즉시 반영됨. (곧 즉시 테스트 가능)

 

같은 계정을 한명 만 사용하는 설정

vi /etc/security/limits.conf

# 아래 사진에서 @keyclass1 이 아이디 할당하는 부분을 * 로해서 전체 아이디 에 적용되도록 해야함
# 예
# *    hard   maxlogins    1

vi /etc/pam.d/login

# 해당 내용 추가
# session required pam_limits.so

 

 

이전 사용한 암호 기억 설정 접근

vi /etc/pam.d/system-auth

# 2회까지 기억 함
password    sufficient    pam_unix.so try_first_pass nullok remember=2

 

 

비밀번호 정책 정의

**저장 이후로 생성된 계정들에 대한 정책**

# vi /etc/login.defs
PASS_MAX_DAYS   100
PASS_MIN_DAYS   0
# PASS_MIN_LEN  5
PASS_WARN_AGE   7

**이미 생성된 계정들에 대한 정책**

최대 사용기간
chage -M <days> <username>

최소 사용기간
chage -m <days> <username>

암호 만료 안내
chage -W <days> <username>

확인 
chage -l <username>

 

 

로그인 실패 시 후 잠금 처리

# 계정 제한 파일
vi /etc/pam.d/password-auth

# 아래 코드와 같이 적용되어야 한다
**auth        required      pam_tally2.so  deny=5 unlock_time=600**
...
account     required      pam_unix.so
**account     required      pam_tally2.so**

 

 

잠금상태 확인

# pam_tally2 사용법

#유저 잠금 확인 
pam_tally2 --user=my_user_id

#유저 잠금 해제
pam_tally2 --user=my_user_id -r

#전체 잠금 계정 확인
faillock

#실패 로그 삭제
faillock --user aaronkilik --r

 

 

 

참고 : http://i5on9i.blogspot.com/2018/07/linux-login.html

아래 명령어로 비밀번호 생성 규칙 정의

인스턴스에서 지원하는 형식을 확인 해야함.( 확인 경로 : /etc/pam.d/system-auth)
해당 파일 내에 (pam_cracklib.so / pwquality.conf) 확인하여 지원하는 한 형식으로만 작성해야함.

# vi /etc/pam.d/system-auth (pwquality.conf 형식)

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=5 minlen=8 lcredit=-1 dcredit=-1 ocredit=-1 authtok_type=

# vi /etc/pam.d/system-auth (pam_cracklib.so 형식)

password    requisite     pam_cracklib.so retry=5 **minlen=8 lcredit=-1 dcredit=-1 ocredit=-1**

• root 계정으로 패스워드를 바꾸면 정책을 무시하고 다 바뀐다.
• *일반 계정이 자기 자신의 비밀번호를 변경하려 할 때만 복잡도 설정이 적용* 된다

 

 

참고 : https://docs.aws.amazon.com/ko_kr/inspector/latest/userguide/inspector_security-best-practices.html#support-ssh-v2-only

모듈(pam_unix) : https://linux.die.net/man/8/pam_unix

모듈(pam_cracklib) : https://linux.die.net/man/8/pam_cracklib

모듈(pwquality.conf) : https://linux.die.net/man/5/pwquality.conf

 

 

 

---

 

위 내용 테스트 시 필요한 명령어

계정 추가

useradd 계정명

비밀번호 변경

passwd 계정명

새비밀번호:
새비밀번호 확인:

계정 목록 + 비밀번호 저장 파일

cat /etc/shadow

계정 목록

cat /etc/passwd