2026 주정통 취약점 분석•평가 가이드라인/01_Unix서버
[2026년 주요정보통신기반시설] U-03 계정 잠금 임계값 설정
레부긔
2026. 1. 21. 09:21
U-03 계정 잠금 임계값 설정
가이드라인 원문
| 항목 | 내용 |
|---|---|
| 항목코드 | U-03 |
| 점검내용 | 사용자 계정 로그인 실패 시 계정 잠금 임계값이 설정 여부 점검 |
| 점검대상 | SOLARIS, LINUX, AIX, HP-UX 등 |
| 양호기준 | 계정 잠금 임계값이 10회 이하의 값으로 설정된 경우 |
| 취약기준 | 계정 잠금 임계값이 설정되어 있지 않거나, 10회 이하의 값으로 설정되지 않은 경우 |
| 조치방법 | 계정 잠금 임계값을 10회 이하로 설정 |
상세 설명
1. 판단 기준
기본 판단 기준
- 양호: 계정 잠금 임계값이 10회 이하의 값으로 설정된 경우
- 취약: 계정 잠금 임계값이 설정되어 있지 않거나, 10회 이하의 값으로 설정되지 않은 경우
경계 케이스 (Edge Case) 처리 방법
| 상황 | 판단 기준 | 설명 |
|---|---|---|
| 임계값이 0으로 설정 | 취약 | 0회 실패 시 잠금은 정상 운영 불가 |
| 잠금 시간 무제한 | 양호 | unlock_time=0, 관리자 수동 해제 필요 |
| root 계정 제외 설정 | 주의 | no_magic_root 사용 시 root 계정 잠금 제외 |
| 일부 계정만 적용 | 취약 | 전체 계정에 정책 일관되게 적용 필요 |
| 임계값 음수 | 취약 | 시스템 오류, 즉시 수정 필요 |
권장 설정값
| 환경 | 항목 | 권장 설정 | 비고 |
|---|---|---|---|
| 일반 서버 | deny | 5~10회 | 일반적인 사무실 환경 |
| 공개 서버(DMZ) | deny | 3~5회 | 높은 보안 요구사항 |
| 내부 개발 서버 | deny | 10회 | 개발 편의성 고려 |
| 클라우드 서버 | deny | 3~5회 | 인터넷 노출 환경 |
| unlock_time | unlock_time | 600초(10분) | 자동 잠금 해제 시간 |
2. 점검 방법
Linux (pam_tally2) 점검
cat /etc/pam.d/system-auth | grep "pam_tally2"양호 출력 예시:
auth required /lib/security/pam_tally2.so deny=10 unlock_time=120 no_magic_root취약 출력 예시:
(출력 없음)Linux (faillock) 점검
# authselect 사용 환경
authselect current
cat /etc/security/faillock.conf | grep deny양호 출력 예시:
Profile ID: sssd
Enabled features:
- with-faillock
deny = 10
unlock_time = 120Solaris 점검
# Solaris 5.9 미만
cat /etc/default/login | grep RETRIES
# Solaris 5.9 이상
cat /etc/security/policy.conf | grep LOCK_AFTER_RETRIES양호 출력 예시:
RETRIES=10
LOCK_AFTER_RETRIES=YESAIX 점검
cat /etc/security/user | grep loginretries양호 출력 예시:
default:
loginretries = 3HP-UX 점검
# 11.v2 이하
cat /tcb/files/auth/system/default | grep u_maxtries
# 11.v3 이상
cat /etc/default/security | grep AUTH_MAXTRIES양호 출력 예시:
u_maxtries#3
AUTH_MAXTRIES=33. 조치 방법
Linux (pam_tally2) 설정
- /etc/pam.d/system-auth 파일 수정
auth required /lib/security/pam_tally2.so deny=10 unlock_time=120 no_magic_root account required /lib/security/pam_tally2.so no_magic_root reset vi /etc/pam.d/system-auth
Linux (authselect/faillock) 설정 (RHEL 8 이상 권장)
- faillock 기능 활성화
authselect enable-feature with-faillock authselect current- /etc/security/faillock.conf 파일 수정
silent deny = 10 unlock_time = 120 vi /etc/security/faillock.conf
Linux (pam_faillock) 설정
- /etc/pam.d/system-auth 파일 수정
auth required pam_faillock.so preauth silent audit deny=10 unlock_time=120 auth sufficient pam_unix.so auth required pam_faillock.so authfail audit deny=10 unlock_time=120 vi /etc/pam.d/system-auth- /etc/pam.d/password-auth 파일 수정
auth required pam_faillock.so preauth silent audit deny=10 unlock_time=120 vi /etc/pam.d/password-auth
Solaris 설정
- 5.9 미만 버전
vi /etc/default/login RETRIES=10- 5.9 이상 버전
vi /etc/security/policy.conf LOCK_AFTER_RETRIES=YES UNLOCK_AFTER=2m
AIX 설정
vi /etc/security/userdefault:
loginretries = 3HP-UX 설정
- 11.v2 이하 버전
vi /tcb/files/auth/system/default u_maxtries#3- 11.v3 이상 버전
vi /etc/default/security AUTH_MAXTRIES=3
4. 계정 잠금 해제 방법
Linux (pam_tally2)
# 특정 사용자 계정 잠금 해제
pam_tally2 --user=username --reset
# 전체 사용자 계정 잠금 해제
pam_tally2 --resetLinux (faillock)
# 특정 사용자 계정 잠금 해제
faillock --user username --reset
# 전체 사용자 계정 잠금 해제
faillock --resetAIX
# 실패 횟수 초기화
chsec -f /etc/security/lastlog -a "unsuccessful_login_count=0" -s username5. 참고 자료
- Red Hat: Account Locking - https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/
- Ubuntu: PAM Configuration - https://ubuntu.com/server/docs/security-pam
- CIS Controls: 16.9 Account Lockout Failed Logon Attempts
- NIST 800-53: IA-5, AC-7
6. 스크립트
- 취약점 점검 스크립트
- 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
728x90
반응형