[리눅스 보안]root 계정 원격접속 제한

root 계정 원격 접속 제한 방법

#cat /etc/pam.d/login
auth required /lib/security/pam.security.so 

#cat /etc/security 
 *pts/0 ~ pts/x 관련 설정이 존재하지 않음

Step 1) "/etc/securetty" 파일에서 pts/0 ~ pts/x 설정 제거 또는, 주석 저리 

Step 2) "/etc/pam.d/login" 파일 수정 또는, 신규 삽입

(수정 전) # auth required /lib/security/pam—securetty.so

(수정 후)    auth required /lib/security/pam—securetty.so

※ /etc/securetty : Telnet 접속 시 root 접근 제한 설정 파일

"/etc/securetty"  파일  내  *pts/x  관련  설정이  존재하는  경우  PAM  모듈  설정과  관계없이  root 계정 접속을 허용하므로 반드시 "security" 파일에서 pts/x 관련 설정 제거 필요

*pts/0 ~ pts/x 설정 : tty(terminal-teletype)  : 서버와  연결된  모니터, 키보드  등을  통해  사용자가  콘솔로  직접  로그인함 pts(pseudo-terminal,  가상터미널)  :  Telnet, SSH, 터미널  등을  이용하여  접속함

쥐약점 개요

점검내용

Ÿ   시스템 정책에 root 계정의 원격 터미널 접속 자단 설정이 적용 되어 있는지 점검

점검목적

Ÿ   root 계정 원격 접속 자단 설정 여부를 점검하여 외부 비인가자의 root 계정 접근 시도를 원전적으로 자단하는지 확인하기 위함

보안위협

Ÿ   각종 공격(무작위 대입 공격, 사전 대입 공격 등)을 통해 root 원격 접속 자단이 적용되지 않은 시스템의 root 계정 정보를 비인가자가 획득할 경우 시스템 계정 정보 유출, 파일 및 디렉터리 변조 등의 행위 침해사고가 발생할 수 있음

참고

※ root 계정: 여러 사용자가 사용하는 컴퓨터에서 전제적으로 관리할 수 있는 총괄 권한을 가진 유일한 특별 계정. 유닉스 시스템의 루트(root)는 시스템 관리자인 운용 관리자(Super User)로서 윈도우의 관리자(Administrator)에 해당하며, 사용자 계정을 생성하거나 소프트 웨어를 설지하고, 환경 및  설정을  변경하거나  시스템의 동작을 감시 및  제어할 수  있음 ※ 무작위 대입 공격(Brute Force Attack): 특정한 암호를 풀기 위해 가능한 모든 값을 대입하는 공격  방법 ※ 사전 대입 공격(Dictionary Attack): 사전에 있는 단어를 입력하여 암호를 알아내거나 암호 를  해독하는  데  사용되는  컴퓨터  공격  방법