AIX 보안 정책 (root 관련)

AIX 보안 정책 (root 관련)

------------- 로그인 정책

목적 : 로그인 화면에 시스템 정보(OS버전)을 보여주지 않고, 로그인 실패가 반복될 경우 로그인을 제한하여 시스템을 보호함
관련파일 : /etc/security/login.cfg
    lssec -f /etc/security/login.cfg -s default -a [항목]
점검방법 : 예) lssec -f /etc/security/login.cfg -s default -a herald
  * 단, 특정 계정에만 적용하기를 원하면 -s default 대신 -s [사용자 계정]을 사용
설정방법 : chsec -f /etc/security/login.cfg -s default -a [항목] = [값]

항목!!    설명!!        기본 설정!!
herald  로그인 화면에 보여줄 내용을 지정함       Authorized Access Only\nlogin:
sak_enable Secure attention key를 이용한 ..      False False
logintimes 해당 포트를 통해서 로그인 가능한 시간대를 지정함    NONE NONE
logindisable 몇번 로그인 실패할 경우, 해당 포트를 Lock할 것인지를 정함   0 4
logininterval 포트를 잠그기 위해서 몇초 동안에 logindisable 시도가 있어야 하는지 정함  0 60
loginreenable 해당 포트가 잠긴 후 몇분 후 자동으로 잠김이 해제될 것인지 정함   0 30
logindelay 로그인이 실패할 경우, 몇 초씩 지연을 할 것인지를 지정함    0 5

------------- 로그인 후, 일정시간동안 사용하지 않은 경우 자동 로그 아웃

목적 : 로그인한 사용자가 일정시간동안 사용하지 않을 경우 자동으로 로그아웃 시킴
관련파일 : /etc/security/.profile
점검방법 : /etc/security/.profile 내에 TMOUT, TIMEOUT이 정의 되어 있는지 확인
    /etc/security/.profile 아래 내용 추가 (예, 10분 = 600)
설정방법 : TMOUT=600; TIMEOUT=600; export readonly TMOUT TIMEOUT

 

------------ 패스워드 정책

목적 : 추측하기 쉬운 패스워드를 사용할 경우, 패스워드 추측 또는 전수조사 공격으로 인하여 비인가자의 시스템 접근이 가능하기 때문에,
       패스워드가 추측하기 어렵고 반복되어 사용되지 않게 함
관련파일 : /etc/security/user
    lssec -f /etc/security/user -s default -a minlen
점검방법 : 예) lssec -f /etc/security/user -s default -a minlen
  * 단, 특정 계정에만 적용하기를 원하면 -s default 대신 -s [사용자 계정]을 사용
설정방법 : chsec -f /etc/security/user -s default -a [항목]=[값]
    예) chsec -f /etc/security/user -s default -a minlen=6

 
항목!!    설명!!!      기본 설정 권장설정
dictionlist 패스워드에 unix 명령어가 포함되지 않게 함   미적용  /usr/share/dict/words
histexpire 몇 주 후에 동일한 패스워드가 재사용될 수 있는지 설정  0  26
histsize 최근 사용된 패스워드를 몇 개까지 재사용할 수 없게 할지를 설정 0  20
maxage  패스워드가 몇 주동안 유효할 수 있는지 정의   0  4
maxexpired maxage가 지난 다음에 expire 된 패스워드를 변경할 있는 최대 주 -1  2
maxrepeats 패스워드에 반복 가능한 동일 문자의 최대 수   8  2
minage  최소 몇주전에 패스워드가 변경되어야 하는지 설정   0  1
minalpha 최소 몇개의 알파벳 문자를 포함해야 하는지 설정   0  2
mindiff  최소한 포함되어야 하는 반복되지 않는 문자 개수   0  4
minlen  패스워드 최소 길이      0  6(root는 8)
minother 최소 포함해야 할 알파벳 문자 이외의 문자 개수   0  2
pwdwarntime 패스워드 변경이 필요함을 몇 일전부터 알릴지를 설정  0  5

 

 

------------- root의 직접적인 로그인 금지

목적 : root 권한으로 직접 로그인을 못하게 하고, 일반 계정으로 로그인 후 su 명령을 통해서 root 권한을 얻을 수 있게 함
관련파일 : /etc/security/user
점검방법: lssec -f /etc/security/user -s root -a rlogin
  결과가 false 인지 점검
설정방법 : 1. root 계정 로그인 금지
  # chsec -f /etc/security/user -s root -a rlogin=false
    2. root 계정으로 su 가능한 그룹 지정
  # chsec -f /etc/security/user -s root -a su=true
  # chsec -f /etc/security/user -a root -a sugroups=[그룹이름]