진단항목
XE-05. 패스워드 사용규칙 적용
취약도
중
항목설명
패스워드 추측공격을 피하기 위하여 패스워드 최소길이가 설정되어 있는지 점검한다. 패스워드 최소길이가 설정되어 있지 않거나 짧게 설정되어 있을 경우 취약한 패스워드를 사용함으로 인해 악의적인 사용자가 패스워드를 쉽게 유추할 수 있다.
진단기준
양호
패스워드 정책에 따른 설정이 적용되어 있는 경우
취약
패스워드 정책에 따라 설정이 적용되어 있지 않은 경우
진단방법
<XenServer>
▪ 패스워드 최대 사용기간, 최소 사용기간, 최소길이 설정 확인 (단위: 일)
# cat /etc/login.defs | grep –i “PASS_MAX_DAYS”
# cat /etc/login.defs | grep –i “PASS_MIN_DAYS”
# cat /etc/login.defs | grep –i “PASS_MIN_LEN”
** /etc/login.defs 파일은 리눅스 시스템에서 사용자 계정의 기본 설정을 정의하는 파일**
**grep -i => 대소문자를 구분하지 않고 패턴을 찾는 옵션**
조치방법
<XenServer>
▪ /etc/login.defs에서 패스워드 최대 사용기간은 90일, 최소 사용기간은 1일 설정으로 변경 (단위: 일)
# vi /etc/login.defs
PASS_MIN_LEN 8
PASS_MAX_DAYS 90
PASS_MIN_DAYS 1
비고
▪ 패스워드 최소길이 : 패스워드 추측공격을 피하기 위하여 패스워드 최소길이가 설정되어 있는지 점검. 패스워드 최소길이가 설정되어 있지 않거나 짧게 설정되어 있을 경우 취약한 패스워드를 사용함으로 인해 악의적인 사용자가 패스워드를 쉽게 유추 가능
▪ 패스워드 최대 사용기간 : 패스워드가 임의의 경로를 통해 유출되었을 때, 임의로 접속한 사용자가 언제든 다시 접속할 수 있는 환경을 방지하기 위해 패스워드 날짜 제한을 점검
▪ 패스워드 최소 사용기간 : 패스워드를 변경하고 난 이후에 최소 사용기간 안에 패스워드를 변경할 수 없도록 설정
'클라우드' 카테고리의 다른 글
| ESXi ? 알아볼게요 (0) | 2023.10.13 |
|---|---|
| [ 클라우드 ] CSAP -CCE 취약점 가이드--( XE-06. 로그인이 불필요한 계정 shell 제한 ) (0) | 2023.10.13 |
| [ 클라우드 ] CSAP -CCE 취약점 가이드--( XE-04. group 파일 권한 설정 ) (0) | 2023.10.11 |
| [ 클라우드 ] CSAP -CCE 취약점 가이드--( XE-03. passwd 파일 권한 설정 ) (1) | 2023.10.10 |
| 하이퍼바이저 ? 알아볼게요 (0) | 2023.10.10 |
