[Linux] PAM faillock 계정 잠금 임계값 설정

리눅스 보안 취약점 조치 중 하나는 인증 실패 횟수를 초과한 사용자의 계정을 잠그는 것입니다. PAM 모듈 중 faillock을 활용하면 deny로 지정한 횟수를 초과할 경우 계정을 자동으로 잠글 수 있습니다. faillock은 기존의 pam_tally2와 유사한 기능을 제공하지만, 더 나은 유연성과 관리 편의성을 지원합니다.

계정 잠금은 무차별 대입(brute-force) 공격을 방지하는 효과적인 방법입니다. 이 문서에서는 RHEL 8 이상 환경에서 authselect 명령을 이용해 faillock을 설정하는 방법을 중심으로 설명합니다.

환경

RHEL7 버전까지는 faillock 설정할 때 직접 system-auth나 password-auth 파일을 수동으로 설정하였는데 RHEL8 이상에서는 authselect 명령을 사용하여 수정할 것을 권장하고 있습니다. 이 문서에서는 authselect명령을 사용하여 설정하는 방법을 설명합니다.

  • RHEL 8, RHEL 9

  • authselect-1.2.1-2.el8 이상

  • pam-1.3.1-8.el8 이상

※ RHEL 8.2 이하 버전은 해당 패키지를 업데이트해야 합니다.


백업

PAM 설정 파일을 잘못 수정하면 로그인 자체가 불가능해질 수 있으므로 사전 백업은 필수입니다.

[root@rhel8 ~]# cp /etc/pam.d/system-auth /etc/pam.d/system-auth_20231127
[root@rhel8 ~]# cp /etc/pam.d/password-auth /etc/pam.d/password-auth_20231127

방법1) authselect 명령어 사용하여 설정

 주의사항

authselect 명령은 PAM 설정 파일을 재생성하므로, 다른 솔루션 벤더에서 설정한 내용이 초기화될 수 있습니다. 설정 후 추가 설정이 필요한 경우 수동으로 보완해야 합니다.


1단계: 현재 authselect 상태 확인

[root@rhel8 ~]# authselect current
Profile ID: sssd
Enabled features:
- with-fingerprint
- with-silent-lastlog

## faillock 모듈 확인
[root@rhel8 ~]# cat /etc/pam.d/password-auth | grep faillock


2단계: faillock 기능 추가

# authselect enable-feature with-faillock 
Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.

위 명령어로 진행이 안되고 아래처럼 오류가 나는 경우에는 명시적으로 한 번 더 sssd로 지정하면서 faillock을 강제로 활성화해줄 수 있습니다.

[root@rhel8 ~]#  authselect enable-feature with-faillock 
[error] [/etc/authselect/password-auth] has unexpected content!
[error] Unexpected changes to the configuration were detected.
[error] Refusing to activate profile unless those changes are removed or overwrite is requested.
Unable to enable feature [17]: File exists

## faillock 모듈 강제 활성화
[root@rhel8 ~]# authselect select sssd with-faillock --force
[error] [/etc/authselect/password-auth] has unexpected content!
Backup stored at /var/lib/authselect/backups/2023-11-27-22-40-46.9OLjvd
Profile "sssd" was selected.
The following nsswitch maps are overwritten by the profile:
- passwd
- group
- netgroup
- automount
- services

Make sure that SSSD service is configured and enabled. See SSSD documentation for more information.

3단계: 설정 확인

  • authselect profile 확인
### 확인
# authselect current
Profile ID: sssd
Enabled features:
- with-fingerprint
- with-silent-lastlog
- with-faillock
  • faillock 모듈 확인

authselect 명령을 사용하고 나면 faillock 모듈이 추가된 부분을 볼 수 있습니다. diff 명령을 이용하여 기존 백업해둔 파일과 비교해 보면 faillock 모듈이 들어가는 3라인만 지정된 위치에 추가된 부분을 확인할 수 있습니다.

[root@rhel8 ~]# cat /etc/pam.d/password-auth | grep faillock
auth        required                                     pam_faillock.so preauth silent
auth        required                                     pam_faillock.so authfail
account     required                                     pam_faillock.so

[root@rhel8 ~]# diff /etc/pam.d/password-auth /etc/pam.d/password-auth_20231127 
1c1
< # Generated by authselect on Tue Nov 28 07:35:18 2023
---
> # Generated by authselect on Tue Nov 28 07:23:32 2023
6d5
< auth        required                                     pam_faillock.so preauth silent
12d10
< auth        required                                     pam_faillock.so authfail
15d12
< account     required                                     pam_faillock.so

faillock 모듈 설정 ( 잠금 횟수 설정 )

faillock 모듈 설정은 /etc/security/faillock.conf에서 설정할 수 있습니다.

  • 3번 패스워드 틀릴 경우 계정 잠금 설정
[root@rhel8 ~]# cat /etc/security/faillock.conf | grep -v ^#
deny = 3
unlock_time = 600
silent

deny=<N>: N 번 패스워드가 틀릴 경우 계정 잠금

unlock_time=<N>: N 초가 지나면 계정 잠금 해제

silent: 접속자에게 안내 메시지를 제공하지 않음


 faillock 테스트

  • 패스워드 강제로 실패

2번은 su 명령 한 번은 ssh를 통하여 패스워드를 총 3번 실패하였습니다.

[hjun@rhel8 ~]$ su - testuser
Password: 
su: Authentication failure
[hjun@rhel8 ~]$ su - testuser
Password: 
su: Authentication failure
[hjun@rhel8 ~]$ ssh testuser@localhost
testuser@localhost's password:
  • faillock 명령어를 이용하여 실패 횟수 확인

패스워드를 실패하면 계정이 잠긴 걸 확인할 수 있습니다. 이제 정상적인 패스워드로 접속해도 접속이 되지 않습니다.

[root@rhel8 ~]# faillock --user testuser
testuser:
When                Type  Source                                           Valid
2023-11-28 07:58:13 TTY   pts/1                                                V
2023-11-28 07:58:20 TTY   pts/1                                                V
2023-11-28 07:58:34 RHOST ::1                                                  V
  • faillock 명령어를 이용하여 실패 횟수 초기화
[root@rhel8 ~]# faillock --user testuser --reset

[user@rhel8 ~]$ su - testuser
Password: 
Last failed login: Tue Nov 28 08:01:07 KST 2023 on pts/1
There were 29 failed login attempts since the last successful login.
[testuser@rhel8 ~]$

실패 횟수 초기화 후에 정상 접근이 확인됩니다.


방법 2) authselect 명령을 이용하지 않은 방법

authselect 명령을 이용하지 않으면 아래 모듈 파일에 faillock 설정 3줄만 추가해 주면 끝입니다.

  • system-auth 예시

코드 보기: system-auth_with_faillock

[root@rhel8 ~]# cat /etc/pam.d/system-auth
# Generated by authselect on Tue Nov 28 08:24:36 2023
# Do not modify this file manually.

auth        required                                     pam_env.so
auth        required                                     pam_faildelay.so delay=2000000
auth        required                                     pam_faillock.so preauth silent audit deny=10 unlock_time=30      ## add line
auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular
auth        [default=1 ignore=ignore success=ok]         pam_localuser.so
auth        sufficient                                   pam_unix.so nullok
auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular
auth        sufficient                                   pam_sss.so forward_pass
auth        required                                     pam_faillock.so authfail audit deny=10 unlock_time=30           ## add line
auth        required                                     pam_deny.so

account     required                                     pam_faillock.so                                                 ## add line
account     required                                     pam_unix.so
account     sufficient                                   pam_localuser.so
account     sufficient                                   pam_usertype.so issystem
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required                                     pam_permit.so

password    requisite                                    pam_pwquality.so local_users_only
password    sufficient                                   pam_unix.so sha512 shadow nullok use_authtok
password    sufficient                                   pam_sss.so use_authtok
password    required                                     pam_deny.so

session     optional                                     pam_keyinit.so revoke
session     required                                     pam_limits.so
-session    optional                                     pam_systemd.so
session     [success=1 default=ignore]                   pam_succeed_if.so service in crond quiet use_uid
session     required                                     pam_unix.so
session     optional                                     pam_sss.so
  • password-auth 예시

코드 보기: password-auth_with_faillock

[root@rhel8 ~]# cat /etc/pam.d/password-auth
# Generated by authselect on Tue Nov 28 08:24:36 2023
# Do not modify this file manually.

auth        required                                     pam_env.so
auth        required                                     pam_faildelay.so delay=2000000
auth        required                                     pam_faillock.so preauth silent audit deny=10 unlock_time=30   ## add line
auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular
auth        [default=1 ignore=ignore success=ok]         pam_localuser.so
auth        sufficient                                   pam_unix.so nullok
auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular
auth        sufficient                                   pam_sss.so forward_pass
auth        required                                     pam_faillock.so authfail  audit deny=10 unlock_time=30        ## add line
auth        required                                     pam_deny.so

account     required                                     pam_faillock.so                                               ## add line
account     required                                     pam_unix.so
account     sufficient                                   pam_localuser.so
account     sufficient                                   pam_usertype.so issystem
account     [default=bad success=ok user_unknown=ignore] pam_sss.so
account     required                                     pam_permit.so

password    requisite                                    pam_pwquality.so local_users_only
password    sufficient                                   pam_unix.so sha512 shadow nullok use_authtok
password    sufficient                                   pam_sss.so use_authtok
password    required                                     pam_deny.so

session     optional                                     pam_keyinit.so revoke
session     required                                     pam_limits.so
-session    optional                                     pam_systemd.so
session     [success=1 default=ignore]                   pam_succeed_if.so service in crond quiet use_uid
session     required                                     pam_unix.so
session     optional                                     pam_sss.so

faillock.conf VS password-auth/system-auth 우선순위

이렇게 /etc/security/faillock.con f 파일에 잠금 설정을 하게 되면 /etc/pam.d/password-auth 와 /etc/pam.d/system-auth에는 해당 내용이 기록되지 않습니다. faillock.conf 파일을 참고해야만 설정 내용을 확인할 수 있습니다.

그럼 여기서 auth 파일을 수정하는 것과 faillock.conf 파일을 수정하는 것 중에서 어느 설정이 우선순위가 더 높은지 비교해 보도록 하겠습니다.

비교를 위하여 다음과 같이 서로 deny 숫자를 다르게 가져갑니다.

  • faillock.conf
[root@rhel8 ~]# cat /etc/security/faillock.conf  | grep -v ^#
audit
silent
deny = 3
unlock_time = 600
  • password-auth 및 system-auth (설정 동일)
[root@rhel8 ~]# cat /etc/pam.d/(system-auth/password-auth) | grep faillock
auth        required                                     pam_faillock.so preauth silent audit deny=10 unlock_time=30
auth        required                                     pam_faillock.so authfail  audit deny=10 unlock_time=30
account     required                                     pam_faillock.so
  • 접속 테스트 ( system-auth/password-auth 설정이 우선순위가 더 높습니다.)

6번 접속 실패하고 7번째 시도에 정상 패스워드를 기입했는데 로그인이 성공했습니다. faillock.conf 파일이 우선순위가 낮은 점을 확인할 수 있습니다.

### 접속 6번 실패
[root@rhel8 pam.d]# faillock --user testuser
testuser:
When                Type  Source                                           Valid
2023-11-28 08:16:11 TTY   pts/1                                                V
2023-11-28 08:16:16 TTY   pts/1                                                V
2023-11-28 08:16:22 TTY   pts/1                                                V
2023-11-28 08:16:27 TTY   pts/1                                                V
2023-11-28 08:16:34 TTY   pts/1                                                V
2023-11-28 08:16:40 TTY   pts/1                                                V

### 7번째 로그인 성공
[user@rhel8 ~]$ su - testuser
Password: 
Last login: Tue Nov 28 08:09:34 KST 2023 on pts/1
Last failed login: Tue Nov 28 08:16:43 KST 2023 on pts/1
There were 6 failed login attempts since the last successful login.
[testuser@rhel8 ~]$

마치며

패스워드 실패 시 계정 잠금을 제공하는 기능인 faillock에 대해 살펴봤습니다. RHEL8부터 권장되는 방법인 authselect 명령어 사용법부터 auth 파일을 직접 수정하는 2가지 방법에 대해 다뤘습니다. authselect이라는 새로운 방법이 권장되는 방법으로 나온 만큼 보안 취약점 스크립트도 두 가지 방식 모두 검사될 수 있도록 하는 방법이 필요할 것 같습니다.


참조

https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/7/html-single/security_guide/index#sect-Security_Guide-Workstation_Security-Account_Locking

https://access.redhat.com/solutions/62949

https://atl.kr/dokuwiki/doku.php/계정관리

댓글

댓글 쓰기

이 블로그의 인기 게시물

[Linux] RHEL Local YUM Repository 구성

이미지
RHEL(Redhat Enterprise Linux)에 Local YUM Repository 구성하는 방법에 대하여 설명합니다. 레드햇 리눅스 같은 경우 기업환경의 인터넷이 되지 않는 환경에서 사용되는 경우가 많은데 Local YUM Repository를 구성하여 패키지를 쉽게 설치할 수 있습니다.   테스트 환경 • Red Hat Enterprise Linux (RHEL)   Local YUM Repository 구성 목적 Local YUM Repository를 구성하는 방법에 여러 가지가 있지만 가장 간단한 방법인 설치 CD를 이용해 구성하는 방법에 대해 소개합니다. 주로 이 방법은 OS 엔지니어가 RHEL을 설치 후 사용하며, local repo를 서버에 구성한 뒤 철수합니다. 그러면 애플리케이션 측에서 추가 패키지를 요청하여도 서버 관리자분들이 yum 명령어를 사용하여 쉽게 서버에 설치할 수 있습니다.   Local YUM Repository 설정 레드햇 설치 CD에는 기본 RHEL 서브스크립션에서 제공하는 RPM 패키지들이 모두 포함되어 있습니다. 따라서 RHEL을 설치한 버전과 동일한 ISO 파일 이 준비되어 있어야 하며, 이를 통해 로컬 저장소를 구성할 수 있습니다.   VMware Workstation을 기준으로 설명하자면, RHEL ISO 파일을 가상 머신에 마운트 하면 됩니다. ISO 파일이 마운트되면 시스템은 자동으로 /dev/sr0 장치를 생성하게 되며, 이는 udev 에 의해 처리됩니다.   CD가 삽입되면 시스템에서는 /dev/sr0 장치를 자동으로 생성합니다. 이 장치는 **광학 디스크 장치(CD/DVD)**로 인식되며, 이를 확인하는 가장 쉬운 방법은 lsblk 명령어를 사용하는 것입니다. # lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINTS sda 8:0 0 2G 0 disk └─mpatha ...
자세한 내용 보기

[Linux Command] sudo command 설명

이미지
  이번 글에서는 Linux 명령어 중 sudo 명령어에 대해 알아보겠습니다. 일반 사용자에게 "root" 권한을 부여하려면 보통 root 계정의 비밀번호를 제공해야 합니다. 이후 사용자는 su 명령어를 통해 root 계정으로 로그인할 수 있습니다. root 계정은 시스템 내 모든 명령을 실행할 수 있는 강력한 권한을 가지고 있기 때문에, 신중한 관리가 필요합니다. 리눅스에 익숙하지 않은 사용자가 root 권한을 사용할 경우, 시스템 운영에 필요한 핵심 파일이 삭제되거나 권한 설정이 변경되는 등의 사고가 발생할 수 있습니다. sudo 기능을 사용하면 root 전체 권한이 아닌 특정 명령어만 일반 사용자에게 허용할 수 있어 이러한 위험을 줄일 수 있습니다. 또한, 사용 권한은 부여하되 root 비밀번호를 공개하지 않아도 된다는 점도 sudo 의 중요한 장점 중 하나입니다.   환경 : Red Hat Enterprise Linux (RHEL)   sudo command 개념 명령어 사용법을 보기 전에, sudo 명령어로 어떤 작업이 가능한지 먼저 알아보겠습니다. 일반 사용자가 /etc/shadow 파일을 열려고 하면 권한 부족으로 인해 파일을 열 수 없습니다. 아래는 실제 출력 예시입니다. 일반유저로 shadow파일 오픈 실패 [user1@localhost ~]$ cat /etc/shadow cat: /etc/shadow: Permission denied 또한 mount 명령어도 일반 사용자 권한으로는 실행할 수 없습니다. 일반 유저로 mount 명령 실패 [user1@localhost sbin]$ mount /dev/sr0 /media mount: only root can do that 이제 일반 사용자에게 mount 명령어만 sudo 를 통해 root 권한으로 실행할 수 있도록 설정해보겠습니다. [user1@localhost ~]$ sudo mount /dev/...
자세한 내용 보기

[Ansible Modules] Fetch module 설명 및 활용

이미지
  Ansible modules 중 하나인 Fetch module에 대해 알아보겠습니다. Fetch는 관리 대상 노드에서 제어 노드로 파일을 복사해 오는 데 사용되는 모듈입니다 Fetch module 이란 Fetch는 영어로 "가져오다"라는 의미입니다. Ansible의 copy 모듈과 반대로 동작하는 기능으로, copy 가 제어 노드에서 관리 노드로 파일을 전송하는 데 사용된다면, fetch 는 그 반대 방향으로, 관리 대상 노드의 파일을 제어 노드로 복사해 오는 데 사용됩니다. 여기서 제어 노드(control node)는 Ansible을 실행하는 노드를, 관리 노드(managed node)는 Ansible로 관리되는 대상 시스템을 의미합니다. Ansible modules(fetch_module) Fetch module 옵션   fetch 모듈에서 주로 사용되는 주요 옵션은 다음과 같습니다: src : 관리 대상 노드에서 복사해 올 파일의 경로입니다. dest : 제어 노드에 파일을 저장할 경로입니다. flat (기본값: false ) false : {{ inventory_hostname }}/path/to/file 형태의 디렉토리 구조로 파일이 저장됩니다. 호스트별로 디렉토리가 생성되므로 여러 노드에서 같은 파일 경로를 가져올 때 유용합니다. true : 파일 경로 구조 없이 파일만 단순 복사됩니다. 이름이 같은 파일은 덮어써지기 때문에, 관리 노드가 하나이거나 파일명이 충돌하지 않는 경우에 적합합니다. 또한 디렉토리를 지정할 경우 dest 경로 끝에 슬래시( / )를 반드시 붙여야 합니다. Fetch module 사용 방법 예제에서는 다음과 같은 인벤토리 파일을 사용합니다. [test] rocky86.lab.example.com rocky84.lab.example.com   예제 1. 기본값( flat: false )으로 파일 가져오기 fetch  모듈을 이용해 관리 노드의...
자세한 내용 보기