SRV-022 계정의 비밀번호 미설정, 빈 암호 사용 관리 미흡

SRV-022 계정의 비밀번호 미설정, 빈 암호 사용 관리 미흡

【 상세설명 】
시스템 접속 계정에 대한 비밀번호가 설정되어 있지 않은 경우 비인가자가 계정을 도용하여 인가되지 않은 파일 및 서비스에 접근할 수 있는 위협이 존재하므로, 계정에 비밀번호가 설정되어 있지 않거나 빈 비밀번호를 설정하였는지를 점검

【 판단기준 】
- 양호 : 계정들의 비밀번호가 모두 설정되어 있을 경우
- 취약 : 비밀번호가 설정되지 않은 계정이 존재할 경우

【 판단방법 】
1. 시스템 접속 계정들의 패스워드 필드가 공란인지 확인(공란인 경우 : 비밀번호 미설정 상태)

  ■ Linux, HP-UX, SOLARIS
    # cat /etc/passwd
        root:x:0:0:root:/root:/bin/bash
        bin:x:1:1:bin:/bin:/sbin/nologin
        ...

    # cat /etc/shadow
        root:$6$/Mh4lTqHxacH0J…
        bin:*:19577:0:99999:7:::
        ...

  ■ AIX
    # cat /etc/passwd
        root:!:0:0::/:/usr/bin/ksh
        daemon:!:1:1::/etc:
        ...

    # cat /etc/security/passwd
        ...
        nobody: 
          password = * 
                                         
        account_name:
          password = MGURSj.F056Dj
          lastupdate = 623078865
          flags = ADMIN
        ... 

【 조치방법 】
1. 비밀번호가 설정되어 있지 않은 시스템 접속 계정 비밀번호 설정

2024-01-13 : (조치과정 삭제)