[Secure]_System-Linux_#05_[PAM, PAM의 동작 원리, PAM의 구조, Module type, Control Flag, Module Name, Module Arguments, auth, account, password, session, requisite, required, sufficient, optional, include, /etc/pam.d, credit, root 계정 원격 ..

 
[시스템 보안] - 사용자 인증

backdoor --> root 권한을 노림. 

인증 = Authentication

-----

PAM (Pluggable Authentication Modules) :

- 사용자의 사용 권한을 제어하는 모듈
- 리눅스에서 사용하는 인증 모듈

사용자 정보가 담신 주요 시스템 파일 : /etc/passwd , /etc/shadow
--> 문제점 : 
- 통일된 정책이 없다.
- 사용자 인증 방식이 상이하여 관리가 어려움이 존재. (계정마다 다른 shell을 사용할 수도 있음.)

<PAM의 동작 원리>
1. 인증이 필요한 응용프로그램은 더 이상 /etc/~ 를 참조하지 않고 'PAM'모듈에 사용자 인증을 요청한다.

 

ㅡㅡㅡㅡㅡ

 

<PAM의 기본 구조> 

(1열) Module type
- auth : 사용자에게 비밀번호를 요청하고 입력 받은 정보가 맞는지 검사하는 모듈.
- account : 계정에 대한 접근 통제 및 계정 정책을 관리하는 모듈.
- password : 사용자가 패스워드를 변경가능하도록 비밀번호를 갱신하는 모듈.
- session : 사용자가 인증을 받기 전/후 수행해야 할 일을 정의하는 모듈.

(2열) Control Flag - 어떤 동작을 해야하는지 결정
- requisite : 인증 결과가 실패인 경우 --> 인증 종료.
                   인증 결과가 성공인 경우 --> 다음 인증 모듈 실행.
- required : 인증 결과와 관계없이 다음 인증 실행.
- sufficient : 인증 결과가 성공일 경우 인증 종료.
- optional : 일반적으로 최종 인증 결과에 반영하지 않음.
- include : 다른 PAM 호출.
    
(3열 / 4열) Module Name / Module Arguments

 

---

<root 계정 원격 접속 제한>

외부에서 root 계정으로 원격접속을 허용하면 발생 가능한 공격 방법 :

# 무작위 대입 공격(Brute Force Attack)

   - 특정한 암호를 풀기위해 가능한 모든 값을 대입하는 공격.
   - ex) pw를 8자리 설정한 경우 --> 3개월 소요
            13자리 --> 6개월 소요
            
# 사전 대입 공격(Dictionary Attack)

   - 유출된 정보로 공격자가 미리 사전을 만들어 공격.(이미 얻은 정보를 이용)
   - ex) 해당 계정의 주인이 주로 자신의 생일을 이용하여 계정이름을 만든다면, 사용자의 생일을 알아내어 값을 만들어낸다.

 

해결 정책 ㅡㅡㅡㅡㅡ
vi /etc/pam.d/login

auth    required    /lib/security/pam_securetty.so --> 원격접속시 root로 접속 불가.
ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

---

<패스워드 복잡성 설정>

- 패스워드 복잡성 설정 : 사용자가 패스워드 설정시 대소문자, 숫자, 특수기호가 혼합된 일정 길이 이상으로 설정하는 방법.
- 일반적인 패스워드 권고 : 8자리 이상, 영문.숫자.특수문자

lcredit=-1 : 소문자 최소 1자 이상.
ucredit=-1 : 대문자 최소 1자 이상.
dcredit=-1 : 숫자 최소 1자 이상.
ocredit=-1 : 특수문자 최소 1자 이상.
minlen=8 : 패스워드 최소길이 8자 이상.
difok=N : 기존 패스워드와 비교를 하지 않는다. 

--> difok 가 Yes로 설정된 경우 : [ Ex) kkkk을 ukkk으로 변경을 시도하면 기존 패스워드와 비슷하기 때문에 자동으로 패스워드 변경을 거부한다.]

ex)
패스워드 정책 인 경우 : 최소길이 6자 이상, 소문자 2자, 대문자 1자, 특수기호 3자, 숫자 2자.

-->

        minlen=8
        lcredit=-2
        ucredit=-1
        ocredit=-3
        dcredit=-2
-->     

해결 정책 ㅡㅡㅡㅡㅡ
vi /etc/security/pwquality.conf  에 붙여넣으면 정책이 설정된다. (--> 처음에는 다 주석 처리 되어 있음.)

 

password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 lcredit=-2 ucredit=-1 ocredit=-3 dcredit=-2

ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

---

<계정 잠금 임계값 설정>

    - 로그인 연속 실패 시 몇번째 로그인 실패에 차단할 것인지 설정.
    - 무작위 대입 공격을 방지

 

deny=5 : 5회 입력 실패 시 계정 잠금.
unlock_time=120 : 계정 잠김 후 일정시간(120초)이 지나면  자동으로 계정 잠김 해제.(단위는 초)
no_magic_root : root 에게는 계정 잠금 설정을 하지 않는다.
reset : 접속 성공 시 실패한 횟수 초기화.

해결 정책 ㅡㅡㅡㅡㅡ
vi /etc/pam.d/system-auth

auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root reset
account required /lib/security/pam_tally.so no_magic_root reset
ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ

두 줄을 쓰는 이유는 첫째줄에 required가 있기 때문이다.