HV-07: 계정 잠금 임계값 설정
분류: Virtualization
중요도: 상
개요
점검 내용
로그인 계정에 대한 비밀번호 관리 정책 설정 여부 점검
점검 목적
잘못된 비밀번호 입력을 제한하지 않으면 무차별 대입 공격을 통한 계정 탈취 위협이 발생할 수 있어 실패 횟수 설정을 통해 가상화 장비 내부 침입을 방지하기 위함
보안 위협
잘못된 비밀번호 입력을 제한하지 않으면 무차별 대입 공격을 통한 계정 탈취로 공격자에게 가상화 시스템 침입 경로 제공 위험이 존재함
참고
-
점검 대상 및 판단 기준
대상
VMware ESXi, vCenter, KVM
판단 기준
✅ 양호: 로그인 시도 실패 횟수에 따른 계정 잠금 설정이 적용된 경우
❌ 취약: 로그인 시도 실패 횟수에 따른 계정 잠금 설정이 적용되지 않은 경우
조치 방법
로그인 시도 실패 횟수 제한 설정
조치 시 영향
일반적 경우 영향 없음
점검 및 조치 사례
VMware ESXi
Step 1) Web 콘솔 페이지 접속
https://<VMware ESXi IP>
Step 2) 관리 > 설정 > 시스템 > 고급 설정으로 이동
Step 3) Security.AccountLockFailures 설정이 5 이하로 설정되어 있는지 확인
[ 계정 잠금 실패 값 확인 ]
Step 4) 5 이하로 설정되어 있지 않은 경우 [옵션 편집]을 클릭하여 아래와 같이 수정
[ 계정 잠금 실패 값 설정 ]
Step 5) Security.AccountUnlockTime 설정이 600초(10분) 이상으로 설정되어 있는지 확인
[ 계정 잠금 해제 시간 확인 ]
Step 6) 600초(10분) 이상으로 설정되어 있지 않은 경우 [옵션 편집]을 클릭하여 아래와 같이 수정
[ 계정 잠금 해제 시간 설정 ]
시스템이 관련 기능을 지원하지 않을 경우, 내부 정책 확인
VMware vCenter
Step 1) vSphere Client 접속 후, 다음 메뉴에 접근하여 확인(vSphere Client 버전에 따라, 메뉴 명칭은 달라질 수 있음)
(vCenter6.5)"관리" > "Single Sign On" > "구성" > "Policies" > "잠금정책(Lockout Policy)" > 접속제한 관련 설정(실패한 최대 로그인 시도 횟수, 실패 시간 간격, 잠금 해제 시간)을 확인(vCenter8)"관리" > "Single Sign On" > "구성" > "로컬 계정" > "잠금정책(Lockout Policy)" > 접속제한 관련 설정(실패한 최대 로그인 시도 횟수, 실패 시간 간격, 잠금 해제 시간)을 확인
KVM
Step 1) 예시) RHEL 8 이후 버전 기반 리눅스
아래 경로 설정 파일 확인
* /etc/security/faillock.conf
* /etc/security/pwquality.conf
Step 2) 비밀번호 정책 설정이 되어있지 않으면 적용 설정
비밀번호 정책 설정 예시