안녕하세요
이번에는 Ubuntu 22.04 계정 보안 점검에 대해서 1가지만 구성하고 가려고 합니다.
Ubuntu 22.04에서는 기존에 /etc/pam.d 가 확인이 되지 않습니다 그래서 신규로 설치 하고 이후에 설정을 해줘야 하는데
왜 빠졌는지에 대해서는 아직 확인해 보지는 못했습니다.
하지만 시스템 점검 항목중에서 계정에 관한 것들이 나올때는 꼭 확인해서 수정해 줘야 하는 상황이니 참고하셔서 사용해 보시길 바랍니다.
아래와 같이 libpam-pwquality를 설치해줍니다.
apt-get -y install libpam-pwquality
위와 같이 해 주시면 아래와 같이 /etc/pam.d 가 생성되고
하위에 아래와 같은 파일들 우리가 이전 20.04에서 봐왔던 파일들을 확인 하실 수 있습니다.
.
├── atd
├── chfn
├── chpasswd
├── chsh
├── common-account
├── common-auth
├── common-password
├── common-session
├── common-session-noninteractive
├── cron
├── login
├── newusers
├── other
├── passwd
├── polkit-1
├── runuser
├── runuser-l
├── sshd
├── su
├── su-l
├── sudo
├── systemd-user
└── vmtoolsd여기서 한가지 더 변경된 사항은 pam_tally2 를 사용할수 없습니다.
centos 8에서도 그랬던거 같은데, pam_faillock을 선호 하는것 같습니다
1. 패스워드 최대 사용기간 및 최소사용기간
vi /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 72. 패스워드 복잡도 설정
vi /etc/pam.d/common-password
password requisite pam_pwquality.so retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1lcredit=-1 (최소 소문자 요구)
dcredit = -1 (최소 숫자 요구)
ocredit = -1 (최소 특수문자 요구)
3. 계정잠금 임계값
순서가 중요함 순서를 지키지 못하면 세션 만료시 서버 접근 불가할 수 있음
vi /etc/pam.d/common-auth
auth required pam_faillock.so preauth silent audit deny=4 unlock_time=1800
auth [success=1 default=ignore] pam_unix.so nulloka 줄 아래추가
auth [default=die] pam_faillock.so authfail audit deny=4 unlock_time=1800
auth sufficient pam_faillock.so authsucc audit deny=4 unlock_time=1800vi /etc/pam.d/common-account
# 마지막 줄 추가
account required pam_faillock.so- faillock ( 로그인 실패 전체 사용자 확인 )
- faillock --user username ( 특정 사용자만 확인 )
- faillock --user username --reset ( 사용자 잠금 해제 )
'서버인프라 > 리눅스' 카테고리의 다른 글
| 리눅스 에서 압축과 압축 해제 (0) | 2023.08.06 |
|---|---|
| ppk -> pem 변경 (0) | 2023.05.08 |
| Linux sar 모니터링 (0) | 2023.02.03 |
| LINUX 장애 디스크 복구 (0) | 2023.01.31 |
| ssh key 접속 (0) | 2022.10.26 |
댓글