JW's Tech Blog

2. 패스워드 복잡도 OS 8부터는 pam_cracklib 대신에 pam_pwquality 모듈이 적용됩니다. 아래 정책을 꼭 따를 필요는 없으며 필요한 정책만 적용할 것 설정 파일[수정 후 저장] [root@localhost ~]# vi /etc/security/pwquality.conf minlen = 8 [주석(#) 제거] - 최소 패스워드 길이 설정 [6자 이하는 설정 안 됨, 최소 8 이상 권장] dcredit = 1 [주석(#) 제거, 0 → 1] - 최소 필요한 숫자 수 [최소 1 이상 권장] ucredit = 1 [주석(#) 제거, 0 → 1] - 최소 필요한 대문자 수 [최소 1 이상 권장] lcredit = 1 [주석(#) 제거, 0 → 1] - 최소 필요한 소문자 수 [최소 1 이상 ..

1. PAM(Pluggable Authentication Module: 착탈형 인증 모듈)이란? 사용자를 인증하고 그 사용자의 서비스에 대한 액세스를 제어하는 모듈화된 방법을 일컫는다. PAM은관리자가 응용프로그램들의 사용자인증방법을 선택할 수 있도록 해준다. 즉 필요한 공유라이브러리의 묶음을 제공하여 PAM을 사용하는 응용프로그램을 재컴파일없이 인증 방법을 변경할 수 있다. 2. PAM의 목적과 동작 리눅스에서 PAM프로젝트의 목적은 권한을 부여하는 소프트웨어의 개발과 안전하고 적정한 인증의 개발을 분리하려는 데에 있다. 이것은 응용프로그램이 사용자 인증을 처리하기 위해 사용될 함수의 라이브러리를 제공함으로써 가능하다. PAM라이브러리는 /etc/pam.d(또는 /etc/pam.conf)에서 각 시스 ..

1. PAM(Pluggable Authentication Module: 착탈형 인증 모듈)이란? 사용자를 인증하고 그 사용자의 서비스에 대한 액세스를 제어하는 모듈화된 방법을 일컫는다. PAM은 관리자가 응용프로그램들의 사용자인증방법을 선택할 수 있도록 해준다. 즉 필요한 공유라이브러리의 묶음을 제공하여 PAM을 사용하는 응용프로그램을 재컴파일없이 인증 방법을 변경할 수 있다. 2. PAM의 목적과 동작 리눅스에서 PAM프로젝트의 목적은 권한을 부여하는 소프트웨어의 개발과 안전하고 적정한 인증의 개발을 분리하려는 데에 있다. 이것은 응용프로그램이 사용자 인증을 처리하기 위해 사용될 함수의 라이브러리를 제공함으로써 가능하다. PAM라이브러리는 /etc/pam.d(또는 /etc/pam.conf)에서 각 시스..

계정의 ID와 Password가 맞았음에도 Login Incorrect가 반복되는 현상이 발생했다면 Linux 7버전 기준으로 다음 3가지 상황을 의심할 수 있습니다. 1. Login Incorrect 1번 출력 후 다시 로그인을 묻는 현상 → 이 경우는 /etc/securetty 파일에 문제가 생겼다고 볼수 있습니다. 간혹 원격 접속을 차단하기 위한 가이드 조치로 pts0~ptsX를 삭제해야하는데, tty를 삭제한 경우 tty1~11, ttyS0이 삭제됐을 경우에 터미널 접속이 불가하게 됩니다. 이 경우에는 GUI 모드로 변경해서 접속이 되며, 조치를 취하기 위해 2번, 3번 메뉴얼에 있는 edit mode로 접근하여, tty1~tty10을 추가해주면 됩니다. 2. Login Incorrect가 무한 ..

LINUX PAM 사용자를 인증하고 그 사용자의 서비스에 대한 액세스를 제어하는 모듈화된 방법. PAM은 관리자가 응용포로그램들의 사용자인증방법을 선택할 수 있도록 해준다. 즉, Linux System에 대한 권한, 설정등을 하는데 있어서 유연성, 보안성을 제공하기 위한 소프트 웨어라고 생가하면 된다. 관련 디렉토리 /etc/pam.d – 서비스+시스템의 인증 설정 파일 /lib/x86_64-linux-gnu/security - PAM인증 모듈(리눅스 버전에 따라 다를 수 있음) PAM인증 설정 파일의 구조 [Auth Type] [Control Flag] [Module_Path] [Module_Argument] Auth Type auth : 이 모듈타입은 사용자 인증의 두가지 면을 제공한다. 첫째는, 응..

openssh8.1.tar.gz 필요 rpm -qa | grep openssh rpm -e openssh-* --nodeps yum install -y gcc pam-devel zlib-devel openssl-devel ./configure -prefix=/usr/local/openssh -with-md5-passwords make make install cp ./contrib/sshd.pam.generic /etc/pamd.sshd /usr/local/openssh/sbin/sshd -> ssh 실행 명령어 yum, rpm 설치가 아니라 컴파일 기반이라 systemctl 사용 불가로 /etc/rc.local에 등록 chmod u+x /etc/rc.d/rc.local systemctl start rc-..

US no. 점검항목 점검 방법 위험도 점검결과 조치사항 ① 계정 관리 /etc/passwd, /etc/group 중 조치 필요 sync, halt, shutdown 계정 nologin 처리 ② 비밀번호 관리 /etc/passwd, /etc/shadow, /etc/login.defs 상 조치 필요 login.defs 수정 조치 ③ 로그인 통제 /etc/pam.d/password-auth /etc/pam.d/system-auth 중 조치 필요 system-auth 조치 ④ 관리자 계정(root) 원격 접속 통제 /etc/ssh/sshd_config /etc/securetty /etc/pam.d/login 상 조치 필요 sshd 포트 변경 및 PermitRootLogin 옵션, /etc/pam.d/login..

Linux 7 버전에 들어서는 pam_tally2.so의 no_magic_root는 default로 설정되며, reset이라는 옵션이 삭제되었습니다. 따라서 /etc/pam.d/password-auth 와 /etc/pam.d/system-auth에 취해야할 조치는 다음과 같습니다. 각 문단의 첫째 줄에 적용하여야 다음 모듈 검증 이전에 작동하므로 꼭 최상단(각 문단의 첫째줄)에 작성해야 합니다. authrequired/usr/lib64/security/pam_tally2.sodeny=5unlock_time=120 .. .. accountrequired/usr/lib64/security/pam_tally2.sodeny=5unlock_time=120 .. ..