[U-02] 비밀번호 관리정책 설정

★ 주요정보통신기반시설 가이드 [U-02] 리눅스 보안 설정

• 1. 항목 개요 및 보안 위협 (KISA 가이드)
• 2. 리눅스 기술적 조치 방법 (A/B 설정 가이드)
• 3. 관련 법령 및 지침 근거
• 4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 한국인터넷진흥원 (KISA) 기술적 취약점 분석·평가 가이드

[ 점검 내용 ] : 암호 복잡성(3종류 조합 8자 등) 설정 및 유효기간 준수 여부 점검

[ 보안 위협 ] : 취약한 암호 설정 시 무차별 대입 공격(Brute Force)을 통해 계정 권한이 탈취될 위험 존재

 

2. 리눅스 기술적 조치 방법

A. 패스워드 복잡성 설정 (PAM 모듈)

파일 경로 : /etc/security/pwquality.conf 수정

minlen = 8          # 최소 8자 이상
dcredit = -1        # 숫자 최소 1자 포함
ucredit = -1        # 대문자 최소 1자 포함
lcredit = -1        # 소문자 최소 1자 포함
ocredit = -1        # 특수문자 최소 1자 포함
enforce_for_root    # root 계정에도 정책 강제 적용

★ 설정 파라미터 상세 분석

• minlen=8 : 패스워드 최소 길이를 8자로 제한
• dcredit=-1 : 숫자(Digit) 최소 1개 이상 포함 필수
• ucredit=-1 : 영문 대문자(Upper) 최소 1개 이상 포함 필수
• lcredit=-1 : 영문 소문자(Lower) 최소 1개 이상 포함 필수
• ocredit=-1 : 특수문자(Other) 최소 1개 이상 포함 필수

B. 패스워드 유효기간 설정

파일 경로 : /etc/login.defs 수정

PASS_MAX_DAYS   90  # 최대 사용 기간 : 90일
PASS_MIN_DAYS   1   # 최소 사용 기간 : 1일
PASS_WARN_AGE   7   # 만료 전 경고 알림 : 7일

 

3. 관련 법령 및 지침 근거

• 개인정보의 안전성 확보조치 기준(제5조) : 정보통신서비스 제공자 등은 안전한 비밀번호 작성 규칙을 수립하고 적용해야 함
• KISA 암호 설정 가이드 :
  • 2종류 조합 시 10자리 이상 권고
  • 3종류 조합 시 8자리 이상 권고

 

4. 오늘 공부하며 정리한 핵심 포인트

• 암호 조합 기준 : 3종류 이상 조합 시 8자 이상, 2종류 조합 시 10자 이상 권고
• 금지 유형 : 계정명 포함, 연속 문자, 사전에 나오는 단어 등 유연한 암호 설정 지양
• 실무 팁 : 설정 후 반드시 passwd 명령어로 정책이 정상 작동하는지(root/일반계정 각각) 테스트 필수

다음 공부 기록 예고 : [U-03] 계정 잠금 임계값 설정