'보안설정'에 해당되는 글 13건

  1. 2014.07.30 패스워드 사용규칙 복잡성 설정 (2)
  2. 2014.04.28 MS Internet Explorer 원격코드 실행 신규 취약점
  3. 2013.03.28 무선랜 보안 설정, 10분이면 OK!
2014. 7. 30. 16:25

패스워드 사용규칙 복잡성 설정

[ 패스워드 보안설정] pam_cracklib.so

q> 로그인시 최소 패스워드를 12자 이상 설정


1) /etc/pam.d/system-auth-ac

password   requisite   pam_cracklib.so try_first_pass retry=3 minlen=12

패스워드에서 사용가능한 문자 : 숫자, 영어대/소, 특수

크레디트값 숫자 1 영어 1 특수기호 1


2) pam_cracklib.so 인수값

- debug : syslog 파일에 로그기록

- type=LINUX

   useradd 홍길동

   passwd  홍길동

   NEW UNIX password :  -> NEW LINUX password :

- retry=N : 패스워드 입력 실패 시 재시도횟수

- difok=N : 기존 패스워드와 비교. 기본값10 (50%)

- minlen=N :  크레디트를 더한 패스워드최소길이

- dcredit=N : 숫자에 주어지는 크레디트값. 기본 1

- udredit=N : 영어대문자에 주어지는 크레디트값

- lcredit=N : 영어 소문자에 주어지는 크레디트값

- ocredit=N : 숫자, 영어대/소문자를 제외한 기타문자

- use_authok : 기존 패스워드를 다시 사용

- MD5 값을 적용

password  required   pam_cracklib.so difok=3 minlen=15 dcredit=2 ocredit=2

password  required   pam_pwdb.so  use_authok nullok md5


o 증상

host login: root
configuration error - unknown item 'PASS_MIN_LEN' (notify administrator)
Password: 

o 참고 URL

http://kldp.org/files/______________________________520.dochttp://www.puschitz.com/SecuringLinux.shtml#EnablingPasswordAging 
http://www.puschitz.com/SecuringLinux.shtml#EnforcingStrongerPasswords

o 사용예 설명

다음 예제는 어떻게 다음의 패스워드 규칙을 적용시키는가를 보여준다.
- 패스워드의 최소길이 8자
    pam_cracklib.so minlen=8
- 소문자 최소 1자
    pam_cracklib.so lcredit=-1
- 대문자 최소 1자
    pam_cracklib.so ucredit=-1
- 숫자 최소 1자
    pam_cracklib.so dcredit=-1
- 문자와 숫자이외의 문자 최소 1자(특수문자를 말하는 듯..)
    pam_cracklib.so ocredit=-1

이 패스워드 제한을 설정하려면 /etc/pam.d/system-auth 파일을 열어 파란색으로 된 부분을 추가하거나
변경을 하라 

auth           required       /lib/security/$ISA/pam_env.so
auth           sufficient      /lib/security/$ISA/pam_unix.so likeauth nullok
auth           required       /lib/security/$ISA/pam_deny.so
account      required       /lib/security/$ISA/pam_unix.so
account      sufficient      /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account      required       /lib/security/$ISA/pam_permit.so
password   requisite       /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1
password   sufficient      /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password   required       /lib/security/$ISA/pam_deny.so
session      required       /lib/security/$ISA/pam_limits.so
session      required       /lib/security/$ISA/pam_unix.so

* pam(pluggable authentication module)을 사용하면 적용할 수 있을 것이라고 본다.



1. 패스워드 사용 기간 제한

$> vi /etc/login.defs

PASS_MAX_DAYS 90

PASS_MIN_DAYS 0

PASS_MIN_LEN   8

PASS_WARN_AGE  7

 

2. 계정 잠금 허용

$> vi /etc/default/useradd

INACTIVE=0

 

3. 기타 비밀번호 설정

$>vi /etc/pam.d/system-auth

auth        required      pam_env.so

auth        required      pam_tally.so per_user

auth        sufficient    pam_unix.so nullok try_first_pass

auth        requisite     pam_succeed_if.so uid >= 500 quiet

auth        required      pam_deny.so

 

account     required      pam_unix.so

account     sufficient    pam_succeed_if.so uid < 500 quiet

account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 minlen=8 ucredit=-1 dcredit=-1 ocredit=-1 lcredit=-1

password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok

password    required      pam_deny.so

 

session     optional      pam_keyinit.so revoke

session     required      pam_limits.so

session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid

session     required      pam_unix.so

 

(설명)

auth        required      pam_tally.so per_user

--> faillog 설정에 따름.

password    requisite     pam_cracklib.so try_first_pass retry=3 minlen=8 ucredit=-1 dcredit=-1 ocredit=-1 lcredit=-1

-->

retry=N : 패스워드 입력 실패 시 재시도횟수             

difok=N : 기존 패스워드와 비교. 기본값10 (50%)             

minlen=N :  크레디트를 더한 패스워드최소길이               

dcredit=N : 숫자에 주어지는 크레디트값. 기본 1             

udredit=N : 영어대문자에 주어지는 크레디트값               

lcredit=N : 영어 소문자에 주어지는 크레디트값              

ocredit=N : 숫자, 영어대/소문자를 제외한 기타문자

(각 항목에서 -1 값을 주면 반드시 해당하는 문자를 포함시켜야 함. 즉 dcredit=-1 이라면 패스워드에 숫자가 반드시 포함되어야 함.)

 

4. 계정 접속 제한 설정

*** faillog -m 3 시 /var/log/faillog 파일이 128G 로 되는 버그 fix 방법 ***

$> patch < shadow-4.0.17-setmax.path

    파일위치: /usr/bin/faillog

$> faillog -u userid -m 3  #계정을 3번까지 잘못입력하는 것 허용

$> faillog -u root -m 0   #root 계정은 max 값 0로 주어 제한 없이 사용가능

 

5. 잠긴 계정 활성화

$> faillog -u [userId] -r

 

6. root의 경우 해당 경우에서 제외

$> faillog -u root -m 0





출처 : http://cafe.daum.net/ccna-ccnp / pgclks.tistory.com / oktopbang.tistory.com


Trackback 0 Comment 2
  1. 2014.07.30 16:26 address edit & del reply

    비밀댓글입니다

  2. PAM 2014.07.30 16:27 address edit & del reply

    Enforce strong passwords
    password requisite pam_passwdqc.so min=12,10,10,8,6 retry=3

2014. 4. 28. 19:48

MS Internet Explorer 원격코드 실행 신규 취약점

개요

  • 마이크로소프트(이하 MS)의 Internet Explorer에서 원격코드 실행이 가능한 신규 취약점이 발견됨[1]
  • 해당 취약점에 대한 보안 업데이트는 아직 발표되지 않았으나, 취약점을 악용한 공격 시도가 해외에서 확인되어 사용자의 주의가 특히 요구됨[2]


설명

  • Use-After-Free를 이용한 원격코드 실행 취약점 (CVE-2014-1776)


해당 시스템

  • 영향을 받는 제품 (IE 6 ~ IE 11)

 


권장 방안

  • MS의 보안 업데이트 발표 전까지 다른 인터넷 브라우저 사용을 권고 (Mozilla Firefox, Safari, Google Chrome 등)
    • Windows XP 사용자는 향후에도 보안 업데이트가 제공되지 않으므로 보안 업데이트가 제공되는 다른 제품을 사용할 것을 강력히 권고함
  • 영향받는 제품 사용자는 아래 4가지 중 하나의 방법을 적용하여 취약점에 대한 위험을 경감시킬 수 있음
    • EMET 사용, Internet Explorer의 보안 설정 수정, VGX.DLL 비활성화, 향상된 보호모드(Enhanced Protected Mode) 설정(인터넷 익스플로어 11 버전에 해당)

 ① EMET(Enhanced Mitigation Experience Toolkit) 4.1 사용 [3]

22

12

13

12

 14

12

15

 ② Internet Explorer의 보안 설정 수정( 아래의 두가지 방법 중에 선택하여 적용)
  - Internet Explorer 메뉴 중 도구 > 인터넷 옵션 > 보안 탭에서 ‘인터넷’과 ‘로컬인트라넷’의 보안수준을 높음으로 수정

16 18

  - Internet Explorer 메뉴 중 도구 > 인터넷 옵션 > 보안 탭에서 ‘인터넷’과 ‘로컬인트라넷’을 선택한 후 ‘사용자 시정 수준’클릭 후 ‘보안 설정 – 인터넷 영역’에서 Active 스크립팅 ‘사용안함’으로 설정 후 확인

 19 44

12

88

 ③ VGX.DLL 비활성화
  - 해당 취약점과 연관된 모듈인 VGX.DLL을 비활성화 처리
  - 시작 > 실행 클릭 또는 윈도우+R 키를 눌러 나온 실행창에서  
"%SystemRoot%\System32\regsvr32.exe" -u "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"을 입력 후 확인(따옴표 포함)

 78 70

 

- 향후 윈도우 보안 업데이트 제공시 해당 모듈에 대한 활성화 처리가 필요함
( 시작 > 실행 클릭 또는 윈도우+R 키를  눌러 나온 실행창에서 
"%SystemRoot%\System32\regsvr32.exe" "%CommonProgramFiles%\Microsoft Shared\VGX\vgx.dll"을 입력 후 확인(따옴표 포함) )
 ④ 인터넷 익스플로어 11 버전에서 제공하는 향상된 보호모드 (Enhanced Protected Mode) 설정
     - 인터넷 옵션 > 고급 탭 > ‘향상된 보호 모드 사용’에 체크 후 확인

    49  

  • 취약점에 의한 피해를 줄이기 위하여 사용자는 다음과 같은 사항을 준수해야함
    • 신뢰되지 않는 웹 사이트의 방문 자제
    • 사용하고 있는 백신프로그램의 최신 업데이트를 유지하고, 실시간 감시기능을 활성화
    • 출처가 불분명한 이메일의 링크 클릭하거나 첨부파일 열어보기 자제  

용어 정리
  • Use-After-Free : 할당 해제한 메모리를 다시 참조하는 과정에서 발생하는 취약점
  • EMET(Enhanced Mitigation Experience Toolkit) : MS社에서 제공하는 유틸리티로 소프트웨어의 취약점이 악용되지 못하도록 하는 기능을 함


기타 문의사항

  • 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118


[참고사이트]

[1] https://technet.microsoft.com/en-us/library/security/2963983
[2] http://www.fireeye.com/blog/uncategorized/2014/04/new-zero-day-exploit-targeting-internet-explorer
-versions-9-through-11-identified-in-targeted-attacks.html
[3] https://support.microsoft.com/kb/2458544


Trackback 0 Comment 0
2013. 3. 28. 18:25

무선랜 보안 설정, 10분이면 OK!

스마트기기가 대중화되면서 커피숍이나 길거리에서 스마트폰이나 노트북으로 무선랜에 접속해 인터넷을 사용하는 모습은 이제 익숙한 풍경이 됐다. 하지만 무선랜을 사용하면서 보안에 신경 쓰지 않으면 개인정보 유출 등의 보안 위협이 발생할 수 있다.

 

무선랜은 선 연결 없이 인터넷을 이용할 수 있게 해주는 무선 인터넷 이용환경을 말하는데, 흔히 와이파이(Wi-Fi)라고도 부른다. 개인이 구매하거나 설치해 이용하기도 하고, 통신사업자가 제공하거나, 고객 편의를 위해 공공시설에서 운영하는 경우도 있다.


[그림 1] 무선랜 환경의 예 (출처 : KISA)


무선랜은 이용자가 자유롭게 인터넷에 접속할 수 있다는 점에서 나쁜 의도를 가진 사용자에게 악용될 위험이 있다. 자신의 무선 AP(공유기)가 해킹되거나 불법 다운로드에 이용될 수도 있고, 악성코드를 유포하는 경로가 될 수도 있다.


무선랜을 안전하게 사용할 수 있는 강력한 보안 설정 방법을 알아보자.

 

 

강력한 무선 공유기 보안 설정 방법


무선인터넷을 안전하게 사용하기 위해서는 강력한 보안 설정이 필수적이다. 무선 공유기에 설치된 초기 비밀번호는 타인이 쉽게 접속할 수 있으므로 반드시 변경해서 사용해야 한다. 무선랜 보안 설정을 위해서는 일단 무선 공유기의 고유 IP주소를 알아야 하는데, 이는 제품 매뉴얼을 참조하면 된다. 이 주소를 인터넷 창에 입력하면 무선 공유기의 설정을 바꿀 수 있는 관리 화면이 나온다.

 

[그림 2] 무선랜 보안 설정 방법 (출처 : KISA)

 

무선 보안 설정 > 보안 설정 : 암호를 통한 보안 설정 > 암호 설정 : WPA2 > 알고리즘 : AES > 비밀번호 설정 > 확인


비밀번호는 타인이 추측하기 어려운 8자리 이상으로 설정하고 주기적으로 변경해 주는 것이 좋다.

 

 

사용하지 않는 무선 공유기는 꺼두기


사용하지 않는 무선 공유기는 꺼둔다. 다른 사람이 불법 다운로드나 해킹 등에 악용할 위험이 있기 때문이다.

 

 

제공자 불분명한 무선랜 사용하지 않기


불순한 목적을 위해 무선 공유기를 설치한 경우가 있을 수 있다는 점에서 제공자가 명확하지 않거나 본인이 잘 모르는 무선랜은 접속하지 않는 것이 좋다. 부득이 보안 설정이 없는 무선랜을 이용할 경우에는 금융거래나 기업 업무 등의 민감한 서비스는 이용하지 않는 것이 좋다.

 

 

무선랜 자동 접속 기능 꺼두기


무선 단말기에는 한번 접속한 무선랜에 자동으로 접속하는 기능이 있다. 공격자는 이 기능을 악용해 잘 알려진 무선랜을 가장해 자동 접속으로 이용자의 접속을 유도하는 경우가 있다. 이 때문에 무선랜 자동 접속 기능은 끄고, 기존에 접속한 무선랜 리스트도 주기적으로 삭제해야 한다. 아래의 방법으로 무선랜 자동 접속을 해지할 수 있다.

 

 

[그림 3] 무선랜 자동 접속 기능 해지 방법 (출처 : KISA)

 

- Windows XP
1. 시작 > 설정 > 네트워크 연결 > 무선네트워크 연결 > 무선네트워크 > 속성 > 연결 > 자동연결 체크 해제
2. 시작 > 설정 > 네트워크 연결 > 무선네트워크 연결 > 무선 네트워크 > 해당 무선랜 선택  > 제거


- Windows 7 
1. 시작 > 제어판 > 네트워크 및 인터넷 > 네트워크 및 공유센터 > 무선 네트워크 관리 > 해당 무선랜 우클릭 > 속성 > 자동 연결 체크 해제
2. 시작 > 제어판 > 네트워크 및 인터넷 > 네트워크 및 공유센터 > 무선 네트워크 관리 > 해당 무선랜 선택 > 제거

 

 

무선 공유기 SSID 변경 및 숨김 기능 설정


SSID(Service Set Identification)란 무선랜을 구분하기 위한 이름인데, 이를 숨김으로 설정해두면 해킹 및 정보 유출 등의 피해를 예방할 수 있다. 무선 네트워크 이름의 숨김 기능 설정을 위해서는 무선 공유기 관리 화면에 접속한 뒤, 무선 네트워크 설정 화면에서 SSID를 변경하고 숨김 기능을 체크하면 된다. SSID가 숨겨져 있을 경우 직접 SSID를 입력해서 접속해야 한다.@

 

자세한 내용은 한국인터넷진흥원(KISA) 보호나라를 참조하면 된다.

 

무선랜 안전 이용 7대 수칙


1. 무선 공유기 사용시 보안 기능 설정하기
2. 무선 공유기 비밀번호 안전하게 관리하기
3. 사용하지 않는 무선 공유기는 꺼놓기
4. 제공자가 불분명한 무선랜은 이용하지 않기
5. 보안 설정 없는 무선랜으로 민감한 서비스 이용하지 않기
6. 무선랜 자동 접속 기능 사용하지 않기
7. 무선 공유기의 SSID를 변경하고 숨김 기능 설정하기

 


출처 : 안철수연구소


Trackback 0 Comment 0