2022. 7. 5. 09:15ㆍ리눅스
▶ Root 계정 원격 접속 제한
#vi /etc/ssh/sshd_config에서 "PermitRootLogin no" 설정
→ root로 일차적인 접속이 불가능하여 다른 아이디로 먼저 접속한 후 su 로 root 사용계정 전환해야한다.
▶패스워드 복잡성 설정
/etc/security/pwquality.conf 파일을 수정한다.
* 각 항목의 –1 값은 반드시 포함해야하는 것을 나타냄
lcredit = -1 (최소 소문자 요구)
dcredit= -1 (최소 숫자 요구)
ocredit = -1 (최소 특수문자 요구)
minlen = 9 (최소 패스워드 길이)
retry = 5 (패스워드 입력 재시도 횟수)
▶ 계정 잠금 임계값 설정
# vi etc/pam.d/system-auth 편집
auth required pam_tally.so deny=5 unlock_time=120 no_magic_root
account required pam_tally.so no_magic_root reset
sed -i '5 i\auth required pam_tally.so deny=5 unlock_time=120 no_magic_root' /etc/pam.d/system-auth
sed -i '11 i\account required pam_tally.so no_magic_root reset' /etc/pam.d/system-auth
▶ 불필요한 계정 제거
1. cat /etc/passwf | egrep "lp|uucp|nuucp"
2. userdel <user_name>을 통해 불필요한 계정을 삭제해준다.
"주요정보통신기반시설 기술적 취약점 분석평가 가이드"에서 제시하는 기본적으로 차단하는 Default 계정은 다음과 같다.
adm(시스템 관리자를 위한 별도계정), lp(로컬 프린트), sync(원격 동기화), shutdown(시스템 종료), halt(시스템 강제종료), news(news그룹 서버용, nntp를 사용하는 경우 필요), uucp(유닉스 시스템과 파일복사를 위한 프로토콜), operator(백업등 특수목적용, 여러 사용자에 의한 공통관리를 위해 사용), games(x-window 화면에서 게임을 위한 계정), gopher(과거 웹 서비스 이전에 사용하던 서비스), nfsnobody(network file system을 위한 계정), squid(프록시서버)등
다만, 위 사진에서는 adm계정 삭제를 시도했으나 거부당했는데, 이는 amazon Linux 2에서는 ec2-user계정을 adm 그룹에 기본적으로 소속시키기 때문이다. 고로 AWS 시스템에서는 adm은 기본적으로 삭제를 권장하는 그룹이 아니다.
▶ SUID, SGID, Sticky bit 설정 파일 점검
# find / -user root -type f \( -perm -4000 -o -perm -2000 \) -exec ls -lg {} \;