[U-03] 계정 잠금 임계값 설정

★ 주요정보통신기반시설 가이드 [U-03] 리눅스 보안 설정

• 1. 항목 개요 및 보안 위협 (KISA 가이드)
• 2. 리눅스 기술적 조치 방법 (A/B 설정 가이드)
• 3. 관련 법령 및 지침 근거
• 4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 한국인터넷진흥원 (KISA) 기술적 취약점 분석·평가 가이드

[ 점검 내용 ] : 사용자 계정 로그인 실패 시, 일정 횟수 초과 시 계정 잠금 설정 여부 점검

[ 보안 위협 ] : 계정 잠금 정책이 없을 경우 무차별 대입 공격(Brute Force)을 통해 계정 권한이 탈취될 수 있습니다.

 

2. 리눅스 기술적 조치 방법

A. CentOS 7 이하 (pam_tally2 사용)

파일 경로 : /etc/pam.d/system-auth

auth      required      pam_tally2.so deny=10 unlock_time=120 no_magic_root
account   required      pam_tally2.so

B. CentOS 8 이상 (pam_faillock 사용)

파일 경로 : /etc/security/faillock.conf

deny = 10           # 10회 실패 시 잠금
unlock_time = 120   # 잠금 시간 120초 (2분)
silent              # 인증 실패 시 상세 메시지 제한
audit               # 로그 기록

★ 설정 파라미터 상세 분석

• deny=10 : 로그인 시도 10회 실패 시 계정 잠금 처리
• unlock_time=120 : 마지막 실패 후 자동 잠금 해제까지 걸리는 시간(초)
• no_magic_root : root 계정에는 잠금 정책을 적용하지 않음
• reset : 로그인 성공 시 기존의 실패 횟수 카운트를 초기화

 

3. 관련 법령 및 지침 근거

• 개인정보의 안전성 확보조치 기준(제5조) : 비밀번호 입력 오류 시 접근 제한 등 탈취 방지를 위한 기술적 조치 의무화
• KISA 가이드 권고값 : 무차별 대입 공격 차단을 위해 임계값을 5~10회 이내로 설정할 것을 권고함

 

4. 오늘 공부하며 정리한 핵심 포인트

• 운영체제 버전 확인 필수 : CentOS 버전에 따라 사용하는 PAM 모듈이 다르므로 반드시 사전 확인 필요
• 보안사고 예방 : root 계정 잠김 방지를 위해 no_magic_root 옵션을 적절히 활용
• 실무 팁 (수동 해제) :
  - RHEL 7 이하 : # pam_tally2 --user [아이디] --reset
  - RHEL 8 이상 : # faillock --user [아이디] --reset

다음 공부 기록 예고 : [U-04] 패스워드 파일 보호