U-03
계정 잠금 임계값 설정
위험도: 상
📌 아래 내용이 표준 보고서에 포함되어야 합니다. 자신이 작성한 보고서와 대조하세요.
📋 현황 (점검 명령어 및 결과)
📄 표준 내용
# 점검 명령어 $ cat /etc/pam.d/common-auth | grep pam_tally (없음) ← 취약 # pam_tally2 또는 pam_faillock 미설정 시 브루트포스 공격 가능 # 실증: hydra -l root -P /wordlist.txt ssh://[IP] 로 무제한 시도 가능
🔧 조치 방안 및 이행 확인
📄 표준 내용
# /etc/pam.d/common-auth 상단에 추가 auth required pam_tally2.so deny=5 unlock_time=120 even_deny_root # 또는 pam_faillock (Ubuntu 22.04+) # /etc/security/faillock.conf deny = 5 unlock_time = 120 # 잠금 계정 확인 pam_tally2 --user [계정명]