[AIX] 패스워드 정책

■ AIX의 패스워드 정책 적용

1.   /etc/security/user 파일에서 정의.

 : 기본은 default 탭에서 정의 하며 각각 계정은 별도로 설정 가능하며 개별 계정의 정책이 우선합니다.
   예를 들어 default:: 에서 maxage = 8(패스워드 미변경 유지 8주)에서 설정 하였더라도
root: 에서 maxage = 0(매스워드 미변경 유지 영구)로 설정시 패스워드 만료가 발생하지 않습니다.


default:
        admin = false
        login = true
        su = true
        daemon = true
        rlogin = true
        sugroups = ALL
        admgroups =
        ttys = ALL
        auth1 = SYSTEM
        auth2 = NONE
        tpath = nosak
        umask = 022
        expires = 0
        SYSTEM = "compat"
        logintimes =
        pwdwarntime = 7
        account_locked = false
        loginretries = 0
        histexpire = 0
        histsize = 0
        minage = 1
        maxage = 2
        maxexpired = -1
        minalpha = 0
        minother = 0
        minlen = 8
        mindiff = 0
        maxrepeats = 8
        dictionlist =
        pwdchecks =


root:
        admin = true
        SYSTEM = "compat"
        registry = files
        loginretries = 7
        account_locked = false
        admgroups =
        maxage = 0
        maxexpired = -1

2. AIX 보안 정책 (root 관련)

 2-1. 로그인 정책
  1) 목적 : 로그인 화면에 시스템 정보(OS버전)을 보여주지 않고, 로그인 실패가 반복될 경우 로그인을 제한하여 시스템을 보호함
  2) 관련파일 : /etc/security/login.cfg
      ]# lssec -f /etc/security/login.cfg -s default -a [항목]
  3) 점검방법 : 예) lssec -f /etc/security/login.cfg -s default -a herald
     * 단, 특정 계정에만 적용하기를 원하면 -s default 대신 -s [사용자 계정]을 사용
  4) 설정방법 : chsec -f /etc/security/login.cfg -s default -a [항목] = [값]

항  목	설  명
herald	로그인 화면에 보여줄 내용을 지정함
sak_enable	Secure attention key를 이용한 ..
logintimes	해당 포트를 통해서 로그인 가능한 시간대를 지정함
logindisable	몇번 로그인 실패할 경우, 해당 포트를 Lock할 것인지를 정함
logininterval	포트를 잠그기 위해서 몇초 동안에 logindisable 시도가 있어야 하는지 정함
loginreenable	해당 포트가 잠긴 후 몇분 후 자동으로 잠김이 해제될 것인지 정함
logindelay	로그인이 실패할 경우, 몇 초씩 지연을 할 것인지를 지정함

3. 로그인 후, 일정시간동안 사용하지 않은 경우 자동 로그 아웃

  1) 목적 : 로그인한 사용자가 일정시간동안 사용하지 않을 경우 자동으로 로그아웃 시킴
  2) 관련파일 : /etc/security/.profile
  3) 점검방법 : /etc/security/.profile 내에 TMOUT, TIMEOUT이 정의 되어 있는지 확인
                   /etc/security/.profile 아래 내용 추가 (예, 10분 = 600)
  4) 설정방법 : TMOUT=600; TIMEOUT=600; export readonly TMOUT TIMEOUT
 

4. 패스워드 정책

  1) 목적 : 추측하기 쉬운 패스워드를 사용할 경우, 패스워드 추측 또는 전수조사 공격으로 인하여 비인가자의 시스템 접근이 가능하기 때문에, 패스워드가 추측하기 어렵고 반복되어 사용되지 않게 함
  2) 관련파일 : /etc/security/user
                  ]# lssec -f /etc/security/user -s default -a minlen
  3) 점검방법 : 예) ]# lssec -f /etc/security/user -s default -a minlen
                   * 단, 특정 계정에만 적용하기를 원하면 -s default 대신 -s [사용자 계정]을 사용
  4) 설정방법 : chsec -f /etc/security/user -s default -a [항목]=[값]
                  예) chsec -f /etc/security/user -s default -a minlen=6

항  목	설  명	기본 설정
dictionlist	패스워드에 unix 명령어가 포함되지 않게 함	미적용
histexpire	몇 주 후에 동일한 패스워드가 재사용될 수 있는지 설정	0
histsize	최근 사용된 패스워드를 몇 개까지 재사용할 수 없게 할지를 설정	0
maxage	패스워드가 몇 주동안 유효할 수 있는지 정의	0
maxexpired	maxage가 지난 다음에 expire 된 패스워드를 변경할 있는 최대 주	-1
maxrepeats	패스워드에 반복 가능한 동일 문자의 최대 수	8
minage	최소 몇주전에 패스워드가 변경되어야 하는지 설정	0
minalpha	최소 몇개의 알파벳 문자를 포함해야 하는지 설정	0
mindiff	최소한 포함되어야 하는 반복되지 않는 문자 개수	0
minlen	패스워드 최소 길이	0
minother	최소 포함해야 할 알파벳 문자 이외의 문자 개수	0
pwdwarntime	패스워드 변경이 필요함을 몇 일전부터 알릴지를 설정	0