본문 바로가기
정보보안

unix 서버 취약점 > 패스워드 최소 길이 설정

by PUPPLESHARK 2023. 1. 11.
반응형

1.1. 패스워드 최소 길이 설정

U-46 (중) 1. 계정관리 > 패스워드 최소 길이 설정
취약점 개요
점검내용 Ÿ 시스템 정책에 패스워드 최소(8이상) 길이 설정이 적용되어 있는 점검
점검목적 Ÿ 패스워드 최소 길이 설정이 적용되어 있는지 점검하여 짧은(8자 미만) 패스워드 길이로 발생하는 취약점을 이용한 공격(무작위 대입 공격, 사전 대입 공격 )대한 대비(사용자 패스워드 유출)되어 있는지 확인하기 위함
보안위협 Ÿ 패스워드 최소 길이 설정이 적용되어 있지 않을 경우 비인가자의 각종 공격 (무작위 대입 공격, 사전 대입 공격 등)에 취약하여 사용자 계정 패스워드 유출 우려가 있음
참고 공공기관인 경우 국가정보보안기본지침에 의해 패스워드를 9자리 이상의 길이로 설정 해야함
패스워드 최소길이를 8자리 이상으로 설정하여도 특수문자, 대소문자, 숫자를 혼합하여 사용하여야 함
점검대상 및 판단기준
대상 Ÿ SOLARIS, LINUX, AIX, HP-UX
판단기준 양호 : 패스워드 최소 길이가 8자 이상으로 설정되어 있는 경우 (공공기관의 경우 9자리 이상)
취약 : 패스워드 최소 길이가 8자 미만으로 설정되어 있는 경우 (공공기관의 경우 9자리 미만)
조치방법 패스워드 정책 설정파일을 수정하여 패스워드 최소 길이를 8자 이상으로 설정 (공공기관의 경우 9자리 이상으로 설정)
점검 및 조치 사례
SOLARIS 
#cat /etc/default/passwd
PASSLENGTH=8

UNIX
#cat /etc/login.defs
PASS_MIN_LEN 8

AIX
#cat /etc/default/security
minlen=8

HP-UX
#cat /etc/default/security
MIN_PASSWORD_LENGTH=8

 

 

 

 

U-46 (중) 1. 계정관리 > 패스워드 최소 길이 설정
SOLARIS
Step 1) vi 편집기를 이용하여 "/etc/default/passwd" 파일 열기 Step 2) 아래와 같이 수정 또는, 신규 삽입
(수정 전) PASSLENGTH=6
(수정 후) PASSLENGTH=8(or 9)
LINUX
Step 1) vi 편집기를 이용하여 "/etc/login.defs" 파일 열기 Step 2) 아래와 같이 수정 또는, 신규 삽입
(수정 전) PASS_MIN_LEN 6
(수정 후) PASS_MIN_LEN 8(or 9)
AIX
Step 1.) vi 편집기를 이용하여 "/etc/security/user" 파일 열기 Step 2) default: 부분을 아래와 같이 수정 또는, 신규 삽입
(수정 전) minlen=4
(수정 후) minlen=8(or 9)
HP-UX
Step 1) vi 편집기를 이용하여 "/etc/default/security" 파일 열기 Step 2) 아래와 같이 수정 또는, 신규 삽입
(수정 전) MIN_PASSWORD_LENGTH=
(수정 후) MIN_PASSWORD_LENGTH=8(or 9)
조치 시 영향 일반적인 경우 영향 없음

 

 

 

반응형

댓글