[UNIX] U-46 패스워드 최소 길이 설정

U-46 패스워드 최소 길이 설정

항목중요도 : 중

1. 취약점 개요

▶ 점검내용 : 시스템 정책에 패스워드 최소(8자 이상) 길이 설정이 적용되어 있는 점검

▶ 점검목적 : 패스워드 최소 길이 설정이 적용되어 있는지 점검하여 짧은(8자 미만) 패스워드 길이로 발생하는 취약점을 이용한 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비(사용자 패스워드 유출)가 되어 있는지 확인하기 위함

▶ 보안위협

 · 패스워드 문자열이 짧은 경우 유추가 가능 할 수 있으며 암호화된 패스워드 해시값을 무작위 대입공격, 사전대입 공격 등으로 단시간에 패스워드 크렉이 가능함

▶ 참고

※ 패스워드 최소길이를 8자리 이상으로 설정하여도 특수문자, 대소문자, 숫자를 혼합하여 사용하여함

 

2. 점검대상 및 판단 기준

▶  대상 : SOLARIS, LINUX, AIX, HP-UX 등

▶  판단기준

 · 양호 : 패스워드 최소 길이가 8자 이상으로 설정되어 있는 경우 

 · 취약 : 패스워드 최소 길이가 8자 미만으로 설정되어 있는 경우

▶  조치방법 : 패스워드 정책 설정파일을 수정하여 패스워드 최소 길이를 8자 이상으로 설정

 

3. LINUX 초기 설정값

※ 테스트한 LINUX의 버전은 AWS로 구성된 CentOS 9 입니다.

 

확인방법

$ cat /etc/login.defs

# 최소 8자 이상으로 설정되어있는지 확인합니다.
PASS_MIN_LEN 8

 

설정이 되어있지 않습니다.

# Password aging controls:
#
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
#
PASS_MAX_DAYS   99999
PASS_MIN_DAYS   0
PASS_WARN_AGE   7

 

취약입니다.

 

4. 조치

조치를 해보겠습니다.

 

1) 시작> 실행> SECPOL.MSC> 로컬 정책> 보안 옵션
2)

[ec2-user@ip-172-31-8-135 ~]$ sudo vi /etc/login.defs
# 아래 문구 추가
PASS_MIN_LEN    8

 

 

 

5. 결과

패스워드로 변경시 에러가 뜹니다 

[it-mskim@ip-172-31-8-135 ~]$ passwd
Changing password for user it-mskim.
Current password:
New password:
BAD PASSWORD: The password is shorter than 8 characters
passwd: Authentication token manipulation error

 

 

Linux를 마스터하는 그날까지

화이팅!