[보안취약점][U-47]패스워드 최대 사용기간 설정

점검내용

• 시스템 정책에 패스워드 최대(90일 이하) 사용기간 설정이 적용되어 있는지 점검

점검목적

• 패스워드 최대 사용 기간 설정이 적용되어 있는지 점검하여 시스템 정책에서 사용자 계정의 장기간 패스워드 사용을 방지하고 있는지 확인하기 위함

보안위협

• 패스워드 최대 사용기간을 설정하지 않은 경우 비인가자의 각종 공격(무작 위 대입 공격, 사전 대입 공격 등)을 시도할 수 있는 기간 제한이 없으므로 공격자 입장에서는 장기적인 공격을 시행할 수 있어 시행한 기간에 비례하여 사용자 패스워드가 유출될 수 있는 확률이 증가함

판단기준

• 양호 : 패스워드 최대 사용기간이 90일(12주) 이하로 설정되어 있는 경우
• 취약 : 패스워드 최대 사용기간이 90일(12주) 이하로 설정되어 있지 않는 경우

[darksharavim.tistory.com]cat /etc/login.defs  | grep -v '#' | grep 'PASS_MAX'
PASS_MAX_DAYS	99999

조치방법

• 패스워드 정책 설정파일을 수정하여 패스워드 최대 사용기간을 90일(12주)로 설정

[darksharavim.tistory.com]sed -i 's/PASS_MAX_DAYS\t99999/PASS_MAX_DAYS\t90/g' /etc/login.defs
[darksharavim.tistory.com]cat /etc/login.defs  | grep -v '#' | grep 'PASS_MAX'
PASS_MAX_DAYS	90

하지만 설정 이후 생성된 계정에 대해서만 적용되기때문에 기존 생성 계정들은 아래와 같이 진행

[darksharavim.tistory.com]chage -l root
마지막으로 암호를 바꾼 날					:11월 25, 2021
암호 만료					:안함
암호가 비활성화 기간					:안함
계정 만료						:안함
암호를 바꿀 수 있는 최소 날 수		: 0
암호를 바꿔야 하는 최대 날 수		: 99999
암호 만료 예고를 하는 날 수		: 7

[darksharavim.tistory.com]chage -M 90 root
[darksharavim.tistory.com]chage -l root
마지막으로 암호를 바꾼 날					:11월 25, 2021
암호 만료					: 2월 23, 2022
암호가 비활성화 기간					:안함
계정 만료						:안함
암호를 바꿀 수 있는 최소 날 수		: 0
암호를 바꿔야 하는 최대 날 수		: 90
암호 만료 예고를 하는 날 수		: 7