Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
4장. 툴 및 서비스로 시스템 강화
4.1. 데스크탑 보안
Red Hat Enterprise Linux 7은 공격에 대해 데스크탑을 강화하고 무단 액세스를 방지할 수 있는 몇 가지 방법을 제공합니다. 이 섹션에서는 이동식 미디어의 사용자 암호, 세션 및 계정 잠금 및 안전한 처리 방법에 대해 설명합니다.
4.1.1. 암호 보안
암호는 Red Hat Enterprise Linux 7에서 사용자의 ID를 확인하는 데 사용하는 기본 방법입니다. 따라서 사용자, 워크스테이션 및 네트워크를 보호하는 데 암호 보안이 매우 중요합니다.
보안상의 이유로 설치 프로그램은 보안 해시 알고리즘 512(SHA512 ) 및 섀도우 암호를 사용하도록 시스템을 구성합니다. 이러한 설정을 변경하지 않는 것이 좋습니다.
설치 중에 섀도우 암호를 선택 해제하는 경우 모든 암호가 읽기 쉬운
/etc/passwd 파일에서 단방향 해시로 저장되므로 시스템은 오프라인 암호 크래핑 공격에 취약해집니다. 침입자가 일반 사용자로 시스템에 액세스할 수 있는 경우 /etc/passwd 파일을 자체 시스템에 복사하고 여러 암호 크래킹 프로그램을 실행할 수 있습니다. 파일에 안전하지 않은 암호가 있는 경우 암호 크래커가 이를 발견하기 전에 시간 문제 일뿐입니다.
shadow 암호는 root 사용자만 읽을 수 있는
/etc/shadow 파일에 암호 해시를 저장하여 이러한 유형의 공격을 제거합니다.
이로 인해 잠재적인 공격자는 SSH 또는 FTP와 같은 시스템의 네트워크 서비스에 로그인하여 원격으로 암호 크래킹을 시도하게 됩니다. 이러한 종류의 무차별 공격은 훨씬 느리고 시스템 파일에 실패한 로그인 시도가 수백 개이므로 명확한 추적이 유지됩니다. 물론, 크래커가 약한 암호가 있는 시스템에서 야간간 공격을 시작하면, 크래커는 dawn 전에 액세스할 수 있고 로그 파일을 편집하여 트랙들을 커버할 수 있습니다.
형식 및 스토리지 고려 사항 외에 콘텐츠 문제이기도 합니다. 사용자가 비밀번호 크래킹 공격으로부터 계정을 보호하기 위해 할 수있는 가장 중요한 일은 강력한 비밀번호를 만드는 것입니다.
참고
Red Hat IdM(Identity Management)과 같은 중앙 인증 솔루션을 사용하는 것이 좋습니다. 중앙 솔루션을 사용하는 것이 로컬 암호를 사용하는 것보다 선호됩니다. 자세한 내용은 다음을 참조하십시오.
4.1.1.1. 강력한 암호 만들기
보안 암호를 만들 때 사용자는 긴 암호가 짧고 복잡한 암호보다 더 강함을 알아야 합니다. 숫자, 특수 문자 및 대문자가 포함 된 경우에도 8자의 암호를 만드는 것은 좋지 않습니다. 존 The Ripper와 같은 암호 크래킹 도구는 사람이 기억하기 어려운 이러한 암호를 손상시키는 데 최적화되어 있습니다.
정보 이론에서 엔트로피는 임의의 변수와 관련된 불확실한 수준이며 비트로 표시됩니다. 엔트로피 값이 높을수록 암호가 더 안전합니다. NIST SP 800-63-1에 따르면 일반적으로 선택한 암호로 구성된 사전에 암호에 10비트 이상의 엔트로피가 있어야 합니다. 따라서 4개의 임의 단어로 구성된 암호에는 약 40비트의 엔트로피가 포함됩니다. 보안을 위해 여러 단어로 구성된 긴 암호는 암호라고도 합니다. 예를 들면 다음과 같습니다.
randomword1 randomword2 randomword3 randomword4
시스템이 대문자, 숫자 또는 특수 문자를 사용하도록 강제하는 경우 위 권장 사항 뒤에 있는 암호를 간단하게 수정할 수 있습니다. 예를 들어 첫 번째 문자를 대문자로 변경하고 "
1!"를 추가합니다. 이러한 수정으로 인해 암호의 보안이 크게 증가 되지 않습니다.
암호를 직접 생성하는 또 다른 방법은 암호 생성기를 사용하는 것입니다. pwmake 는 대문자, 소문자, 숫자, 특수 문자 모두 네 개의 문자 그룹으로 구성된 임의의 암호를 생성하는 명령줄 도구입니다. 유틸리티를 사용하면 암호를 생성하는 데 사용되는 엔트로피 비트 수를 지정할 수 있습니다. 엔트로피는
/dev/urandom 에서 가져옵니다. 지정할 수 있는 최소 비트 수는 56이며 무차별력 공격이 거의 없는 시스템 및 서비스에서 암호하기에 충분합니다. 64비트는 공격자가 암호 해시 파일에 직접 액세스할 수 없는 애플리케이션에 적합합니다. 공격자가 암호 해시에 대한 직접 액세스 권한을 얻거나 암호가 암호화 키로 사용될 수 있는 경우 80~ 128비트를 사용해야 합니다. 잘못된 수의 엔트로피 비트를 지정하면 pwmake 가 기본값을 사용합니다. 128비트 암호를 만들려면 다음 명령을 입력합니다.
pwmake 128
보안 암호를 만드는 방법에는 여러 가지가 있지만 항상 다음 잘못된 사례를 방지합니다.
- 단일 사전 단어, 외부 언어로 된 단어, 반전된 단어 또는 숫자만 사용합니다.
- 암호 또는 암호에 10자 미만을 사용합니다.
- 키보드 레이아웃의 키 시퀀스 사용.
- 암호 쓰기.
- 생년월일, 가족 구성원 이름 또는 반려동물 이름과 같은 암호에 개인 정보를 사용합니다.
- 여러 시스템에서 동일한 암호 또는 암호를 사용합니다.
보안 암호를 생성하는 것이 필수 사항이지만, 특히 대규모 조직 내의 시스템 관리자에게도 적절하게 관리해야 합니다. 다음 섹션에서는 조직 내에서 사용자 암호를 만들고 관리하는 모범 사례를 자세히 설명합니다.
4.1.1.2. 강제 Strong 암호
조직에 많은 사용자가 있는 경우 시스템 관리자에게 강력한 암호 사용을 강제 적용하는 데 사용할 수 있는 두 가지 기본 옵션을 사용할 수 있습니다. 사용자를 위한 암호를 만들거나 암호를 확인하는 동안 사용자가 자신의 암호를 만들 수 있도록 할 수 있습니다.
사용자의 암호를 생성하면 암호가 양호하게 되지만 조직이 확장됨에 따라 어려운 작업이 됩니다. 또한 사용자가 암호를 아래로 쓰는 위험을 증가시켜 노출할 수 있습니다.
이러한 이유로 대부분의 시스템 관리자는 사용자가 고유 암호를 생성하는 것을 선호하지만 이러한 암호가 충분히 강하는지 적극적으로 확인합니다. 경우에 따라 관리자는 암호 사용 기간을 통해 사용자가 암호를 정기적으로 변경하도록 강제 적용할 수 있습니다.
사용자가 암호를 만들거나 변경하라는 메시지가 표시되면 PAM을 인식하는 passwd 명령줄 유틸리티(플러그 가능 인증 모듈)를 사용할 수 있으며 암호가 너무 짧거나 그렇지 않으면 쉽게 끊을 수 있는지 확인합니다. 이 검사는
pam_datasources.so PAM 모듈에서 수행합니다.
참고
Red Hat Enterprise Linux 7에서
pam_ manage PAM 모듈은 Red Hat Enterprise Linux 6에서 암호 품질 검사를 위한 기본 모듈로 사용된 pam_cracklib 를 대체했습니다. pam_cracklib와 동일한 백엔드를 사용합니다.
pam_framework 모듈은 일련의 규칙에 대해 암호의 강도를 확인하는 데 사용됩니다. 절차는 두 단계로 구성됩니다. 먼저 제공된 암호가 사전에 있는지 확인합니다. 그렇지 않은 경우, 계속 많은 추가 검사로 계속됩니다. pam_ ResourceOverride는 /etc/pam.d/passwd 파일의 암호 구성 요소에 있는 다른 PAM 모듈과 함께 스택화되며 사용자 지정 규칙 세트가 /etc/security/ingressgateway.conf 설정 파일에 지정됩니다. 이러한 검사의 전체 목록은 pwquality.conf (8) 매뉴얼 페이지를 참조하십시오.
예 4.1. pwquality.conf에서 암호 강도 검사 구성
pam_quality를 사용하여 활성화하려면 /etc/pam.d/passwd 파일의 password 스택에 다음 행을 추가하십시오.
password required pam_pwquality.so retry=3
검사 옵션은 한 줄에 하나씩 지정됩니다. 예를 들어 4개의 문자 클래스를 모두 포함하여 최소 8자 길이의 암호가 필요한 경우
/etc/security/dockerfile.conf 파일에 다음 행을 추가합니다.
minlen = 8 minclass = 4
문자 순서와 동일한 연속 문자에 대한 암호 강도를 설정하려면
/etc/security/ResourceOverride.conf에 다음 행을 추가합니다.
maxsequence = 3 maxrepeat = 3
이 예에서 입력한 암호는
abcd와 같은 단조 시퀀스에 3자 이상 포함할 수 없으며 1111 과 같은 3개 이상의 연속된 문자도 포함할 수 없습니다.
참고
root 사용자는 암호 생성에 대한 규칙을 적용하는 사용자이므로 경고 메시지가 있어도 암호를 자체 또는 일반 사용자에 대해 설정할 수 있습니다.
4.1.1.3. 암호 기간 구성
암호 변경은 시스템 관리자가 조직 내에서 잘못된 암호를 보호하는 데 사용하는 또 다른 기술입니다. 암호 기간 연장이란 지정된 기간(일반적으로 90일) 후에 새 암호를 입력하라는 메시지가 표시됩니다. 이것의 배경은 사용자가 암호를 정기적으로 변경하도록 강제하는 경우, 크래킹된 비밀번호는 제한된 시간 동안 침입자에게만 유용하기 때문입니다. 그러나 암호 기간 외에도 사용자가 암호를 아래로 작성할 가능성이 큽니다.
Red Hat Enterprise Linux 7에서 암호 사용 기간을 지정하려면 chage 명령을 사용하십시오.
중요
Red Hat Enterprise Linux 7에서는 기본적으로 shadow 암호가 활성화됩니다. 자세한 내용은 Red Hat Enterprise Linux 7 시스템 관리자 가이드를 참조하십시오.
chage 명령의
-M 옵션은 암호가 유효한 최대 일 수를 지정합니다. 예를 들어 90일 후에 만료되도록 사용자 암호를 설정하려면 다음 명령을 사용합니다.
chage -M 90 username
위 명령에서 username을 사용자 이름으로 교체합니다. 암호 만료를 비활성화하려면
-M 옵션 뒤에 -1 값을 사용합니다.
chage 명령으로 사용 가능한 옵션에 대한 자세한 내용은 아래 표를 참조하십시오.
표 4.1. chage 명령줄 옵션
| 옵션 | 설명 |
|---|---|
-d days | 1970년 1월 1일 이후 암호가 변경된 일 수를 지정합니다. |
-E date | 계정이 유휴 상태인 날짜를 YYYY-MM-DD 형식으로 지정합니다. 191970년 1월 1일 이후의 날짜 대신 사용할 수도 있습니다. |
-I days | 계정을 잠그기 전에 암호 만료 후 비활성 일 수를 지정합니다. 값이 0 이면 암호가 만료된 후 계정이 잠겼습니다. |
-l | 현재 계정 변경 설정을 나열합니다. |
-m days | 사용자가 암호를 변경해야 하는 최소 일 수를 지정합니다. 값이 0 이면 암호가 만료되지 않습니다. |
- mdays | 암호가 유효한 최대 일 수를 지정합니다. 이 옵션에 지정된 일 수와 -d 옵션으로 지정된 일 수가 현재 날짜보다 작으면 계정을 사용하기 전에 암호를 변경해야 합니다. |
-W days | 사용자에게 경고할 암호 만료일 전의 일 수를 지정합니다. |
대화형 모드에서 chage 명령을 사용하여 여러 암호 사용 기간 및 계정 세부 정보를 수정할 수도 있습니다. 다음 명령을 사용하여 대화형 모드를 시작합니다.
chage <username>
다음은 이 명령을 사용하는 샘플 대화식 세션입니다.
~]# chage juan Changing the aging information for juan Enter the new value, or press ENTER for the default Minimum Password Age [0]:10Maximum Password Age [99999]:90Last Password Change (YYYY-MM-DD) [2006-08-18]: Password Expiration Warning [7]: Password Inactive [-1]: Account Expiration Date (YYYY-MM-DD) [1969-12-31]:
사용자가 처음 로그인할 때 암호가 만료되도록 구성할 수 있습니다. 이렇게 하면 사용자가 즉시 암호를 변경해야 합니다.
- 초기 암호를 설정합니다. 기본 암호를 할당하려면 쉘 프롬프트에
root로 다음 명령을 입력합니다.passwd username주의passwd 유틸리티에는 null 암호를 설정하는 옵션이 있습니다. null 암호를 사용하는 것은 편리하지만, 타사가 안전하지 않은 사용자 이름을 사용하여 시스템에 로그인하고 액세스할 수 있으므로 매우 안전하지 않은 방법입니다. 가능한 경우 null 암호를 사용하지 마십시오. 사용할 수 없는 경우 항상 null 암호로 계정을 잠금 해제하기 전에 사용자가 로그인할 준비가 되었는지 확인하십시오. root로 다음 명령을 실행하여 즉각적인 암호 만료를 강제 적용합니다.chage
-d0username이 명령은 암호가 마지막으로 변경된 날짜(1970년 1월 1일) 값을 설정합니다. 이 값은 암호 사용 기간 정책이 있는 경우 즉시 암호 만료를 강제 적용합니다.
처음 로그인하면 사용자에게 새 암호를 입력하라는 메시지가 표시됩니다.
4.1.2. 계정 잠금
Red Hat Enterprise Linux 7에서
pam_faillock PAM 모듈을 사용하면 시스템 관리자가 지정된 횟수의 실패한 시도 후 사용자 계정을 잠글 수 있습니다. 사용자 로그인 시도 제한은 주로 사용자의 계정 암호를 얻기 위해 가능한 무차별 강제 공격을 방지하는 보안 조치로 사용됩니다.
pam_faillock 모듈을 사용하면 실패한 로그인 시도가 /var/run/faillock 디렉터리의 각 사용자에 대해 별도의 파일에 저장됩니다.
참고
실패한 시도 로그 파일의 행 순서가 중요합니다. 이 순서의 변경 사항은
even_deny_ root 옵션이 사용되는 경우 루트 사용자 계정을 포함하여 모든 사용자 계정을 잠글 수 있습니다.
다음 단계에 따라 계정 잠금을 구성합니다.
- 3번 시도에 실패하는 후 root가 아닌 사용자를 잠그고 10분 후에 잠금을 해제하려면
/etc/pam.d/system-및auth/etc/pam.d/password-auth파일의 auth 섹션에 두 줄을 추가합니다. 편집 후 두 파일의 전체auth섹션은 다음과 같아야 합니다.auth required pam_env.so auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 unlock_time=600 auth requisite pam_succeed_if.so uid >= 1000 quiet_success auth required pam_deny.so
라인 번호 2 및 4가 추가되었습니다. - 이전 단계에서 지정된 두 파일의
account섹션에 다음 줄을 추가합니다.account required pam_faillock.so
- root 사용자에 대한 계정 잠금을 적용하려면
even_deny_root옵션을/etc/RuntimeConfig 항목에 추가합니다.pam.d/system-auth및/etc/pam.d/password-auth파일의 pam_auth required pam_faillock.so preauth silent audit deny=3 even_deny_root unlock_time=600 auth sufficient pam_unix.so nullok try_first_pass auth [default=die] pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=600 account required pam_faillock.so
이전에 세 번 로그인하지 못한 후 사용자
john 이 네 번째 시간 동안 로그인을 시도하면 네 번째 시도 시 계정이 잠깁니다.
~]$ su - john
Account locked due to 3 failed logins
su: incorrect password
여러 로그인 실패 후에도 시스템이 사용자를 잠그지 못하도록 하려면
/etc/pam.d/system-auth 및 /etc/pam.d/password-auth 에서 pam_faillock 가 처음 호출되는 행 바로 위에 다음 행을 추가하십시오. 또한 user1,user2, user3 을 실제 사용자 이름으로 바꿉니다.
auth [success=1 default=ignore] pam_succeed_if.so user in user1:user2:user3
사용자당 실패한 시도 수를 보려면
root로 다음 명령을 실행합니다.
~]$ faillock
john:
When Type Source Valid
2013-03-05 11:44:14 TTY pts/0 V
사용자 계정의 잠금을 해제하려면
root로 다음 명령을 실행합니다.
faillock --user <username> --reset
중요
cron 작업을 실행하면 cron 작업을 실행 중인 해당 사용자의 load counter가 해당 사용자의 실패 카운터가 재설정되므로, cron 에 대해 should not be configured for cron. authconfig로 사용자 정의 설정 유지
authconfig 유틸리티를 사용하여 인증 구성을 수정할 때
system-auth 및 password-auth 파일을 authconfig 유틸리티의 설정으로 덮어씁니다. 이 문제는 authconfig가 인식하고 덮어쓰지 않는 구성 파일 대신 심볼릭 링크를 생성하여 방지할 수 있습니다. 구성 파일 및 authconfig에서 사용자 지정 설정을 동시에 사용하려면 다음 단계를 사용하여 계정 잠금을 구성합니다.
system-auth및password-auth파일이 이미system-auth-ac및password-auth-ac을 가리키는 심볼릭 링크인지 확인합니다(시스템 기본값임).~]# ls -l /etc/pam.d/{password,system}-auth출력이 다음과 유사한 경우 심볼릭 링크가 제 위치에 있고 단계 번호 3으로 건너뛸 수 있습니다.lrwxrwxrwx. 1 root root 16 24. Feb 09.29 /etc/pam.d/password-auth -> password-auth-ac lrwxrwxrwx. 1 root root 28 24. Feb 09.29 /etc/pam.d/system-auth -> system-auth-ac
system-auth및password-auth파일이 심볼릭 링크가 아닌 경우 다음 단계를 계속합니다.- 구성 파일의 이름을 변경합니다.
~]# mv /etc/pam.d/system-auth /etc/pam.d/system-auth-ac ~]# mv /etc/pam.d/password-auth /etc/pam.d/password-auth-ac
- 사용자 지정 설정으로 구성 파일을 생성합니다.
~]# vi /etc/pam.d/system-auth-local/etc/pam.d/system-auth-local파일에는 다음 행이 포함되어야 합니다.auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth include system-auth-ac auth [default=die] pam_faillock.so authfail silent audit deny=3 unlock_time=600 account required pam_faillock.so account include system-auth-ac password include system-auth-ac session include system-auth-ac
~]# vi /etc/pam.d/password-auth-local/etc/pam.d/password-auth-local파일에는 다음 행이 포함되어야 합니다.auth required pam_faillock.so preauth silent audit deny=3 unlock_time=600 auth include password-auth-ac auth [default=die] pam_faillock.so authfail silent audit deny=3 unlock_time=600 account required pam_faillock.so account include password-auth-ac password include password-auth-ac session include password-auth-ac
- 다음 심볼릭 링크를 만듭니다.
~]# ln -sf /etc/pam.d/system-auth-local /etc/pam.d/system-auth ~]# ln -sf /etc/pam.d/password-auth-local /etc/pam.d/password-auth
다양한
pam_faillock 구성 옵션에 대한 자세한 내용은 pam_faillock(8) 매뉴얼 페이지를 참조하십시오.
nullok 옵션 제거
nullok 옵션을 사용하면 기본적으로 /etc/shadow 파일의 password 필드가 비어 있는 경우 빈 암호로 로그인할 수 있습니다. nullok 옵션을 비활성화하려면 /etc/pam.d/system-auth 또는 /etc/pam.d/ password-auth 와 같은 /etc/pam.d/ 디렉토리의 구성 파일에서 nullok 문자열을 제거합니다.
Will
nullok 옵션을 사용하여 사용자가 암호를 입력하지 않고 로그인할 수 있도록 허용합니까? 더 많은 정보를 위한 KCS 솔루션
4.1.3. 세션 잠금
사용자는 일상적인 작업 중에 여러 가지 이유로 워크스테이션을 무력화해야 할 수도 있습니다. 이로 인해 공격자는 특히 물리적 보안 조치가 부족한 환경에서 물리적으로 머신에 액세스할 수 있는 기회를 제공할 수 있습니다( 1.2.1절. “물리적 제어”참조). 노트북은 특히 이동성이 물리적 보안을 방해하기 때문에 노출됩니다. 올바른 암호가 입력될 때까지 시스템 액세스를 방지하는 세션 잠금 기능을 사용하여 이러한 위험을 줄일 수 있습니다.
참고
로그아웃하는 대신 화면을 잠그는 주요 이점은 잠금을 통해 사용자의 프로세스(예: 파일 전송)를 계속 실행할 수 있다는 것입니다. 로그아웃하면 이러한 프로세스가 중지됩니다.
4.1.3.1. vlock을 사용하여 가상 콘솔 잠금
사용자는 가상 콘솔을 잠금 해제해야 할 수도 있습니다. 이 작업은 vlock 이라는 유틸리티를 사용하여 수행할 수 있습니다. 이 유틸리티를 설치하려면 root로 다음 명령을 실행합니다.
~]# yum install vlock
설치 후 추가 매개변수 없이 vlock 명령을 사용하여 모든 콘솔 세션을 잠글 수 있습니다. 다른 사용자에게 계속 액세스할 수 있도록 허용하면서 현재 활성화된 가상 콘솔 세션이 잠깁니다. 워크스테이션의 모든 가상 콘솔에 액세스하지 못하도록 하려면 다음을 실행합니다.
vlock -a
이 경우 vlock 현재 활성화된 콘솔을 잠금 해제하고
-a 옵션을 사용하면 다른 가상 콘솔로 전환하지 않습니다.
자세한 내용은
vlock(1) 매뉴얼 페이지를 참조하십시오.
4.1.4. Removable Media의 읽기 전용 마운트 적용
이동식 미디어(예: USB 플래시 디스크)의 읽기 전용 마운트를 적용하기 위해 관리자는
udev 규칙을 사용하여 이동식 미디어를 감지하고 blockdev 유틸리티를 사용하여 읽기 전용으로 마운트하도록 구성할 수 있습니다. 이 경우 물리적 미디어의 읽기 전용 마운트를 강제 적용하는 데 충분합니다.
blockdev를 사용하여 Removable 미디어의 읽기 전용 마운트를 강제 사용
모든 이동식 미디어를 읽기 전용으로 마운트하려면 라는 새
udev 구성 파일(예: /etc/udev/rules.d/ 디렉터리의 80-readonly-removables.rules )을 만듭니다.
SUBSYSTEM=="block",ATTRS{removable}=="1",RUN{program}="/sbin/blockdev --setro %N"
위의
udev 규칙을 사용하면 새로 연결된 이동식 블록(storage) 장치가 blockdev 유틸리티를 사용하여 자동으로 읽기 전용으로 구성됩니다.
새 udev 설정 적용
이러한 설정을 적용하려면 새
udev 규칙을 적용해야 합니다. udev 서비스는 구성 파일의 변경 사항을 자동으로 감지하지만 새 설정은 기존 장치에 적용되지 않습니다. 새로 연결된 장치만 새 설정의 영향을 받습니다. 따라서 다음에 연결할 때 새 설정이 적용되는지 확인하기 위해 연결된 모든 이동식 미디어를 마운트 해제하고 분리해야 합니다.
udev 가 이미 존재하는 장치에 모든 규칙을 다시 적용하도록 하려면 root 로 다음 명령을 입력합니다.
~# udevadm trigger
위 명령을 사용하여 모든 규칙을 다시 적용하도록
udev 를 강제 적용하면 이미 마운트된 스토리지 장치에는 영향을 미치지 않습니다.
udev 에서 모든 규칙을 다시 로드하도록 하려면(새 규칙이 자동으로 탐지되지 않는 경우) 다음 명령을 사용합니다.
~# udevadm control --reload