SRV-074 불필요하거나 관리되지 않는 계정 존재
【 상세설명 】
시스템 설치 시 기본으로 생성되는 계정, 업무상 더 이상 사용되지 않는 계정 등 불필요한 계정이나 장기간 비밀번호가 변경되지 않은 계정이 존재할 경우 비인가자의 계정 탈취 위협이 증가하므로 불필요한 계정 삭제 및 내부 정책에 따른 주기적인 비밀번호 변경을 실시하고 있는지 여부를 점검
【 판단기준 】
- 양호 : 분기별 1회 이상 로그인 한 기록이 있고, 비밀번호를 변경하고 있는 경우
- 취약 : 분기별 1회 이상 로그인 한 기록이 없거나, 비밀번호를 변경하지 않은 경우
※ 업무상 사용 여부 확인 필요
【 판단방법 】
1. 계정별 패스워드 변경 일자 확인
2. 계정별 로그인 일자 확인
※ HP-UX : 90일 이내 로그인 성공한 계정 확인
■ Linux, SOLARIS
# cat /etc/shadow | awk -F":" '{print $1 "\t\t" $3}'
root 19692
daemon 18816
bin 18816
...
# lastlog
Username Port From Latest
root pts/0 192.168.123.1 Tue Sep 26 13:28:53 +0900 2023
daemon **Never logged in**
bin **Never logged in**
...
※ 로그인한 적이 없는 계정은 "**Never logged in**" 값 출력
■ AIX
# cat /etc/security/passwd | egrep ":|lastupdate"
root:
lastupdate = 1690900000
daemon:
bin:
...
※ 패스워드 변경한 적이 없는 계정은 "lastupdate" 값 미출력
# lsuser -a time_last_login <account_name>
root time_last_login=1690900000
※ 로그인한 적이 없는 계정은 "time_last_login" 값 미출력
■ HP-UX
("Shadow Password" Bundle 설치한 일반 Mode 인 경우)
# cat /etc/shadow | awk -F":" '{print $1 "\t\t" $3}'
root 19692
daemon 18816
...
# last -90 | awk '{ print $1 }' | sort | uniq | grep -v "reboot"
root
...
(Trusted Mode 인 경우)
# /usr/lbin/getprpw -m spwchg <account_name>
spwchg=Fri Sep 1 09:06:37 2023
# last -90 | awk '{ print $1 }' | sort | uniq | grep -v "reboot"
root
...
■ 참고 : 모든 UNIX 시스템의 일자 기준 1970년 1월 1일 이후부터 일 단위 또는 초 단위 계산
# date -I -d '1970-01-01 + 19723 days'
2024-01-01
또는
# date -d @1704034800
Mon Jan 1 12:00:00 AM KST 2024
【 조치방법 】
1. 장기간(90일 이상) 비밀번호 미변경, 비로그인 계정 확인 후 비밀번호 변경 또는 업무상 불필요한 계정 삭제 조치
2024-01-13 : (조치과정 삭제)
'인프라 진단 > 전자금융기반시설(서버) - Linux' 카테고리의 다른 글
| SRV-075 유추 가능한 계정 비밀번호 존재 (0) | 2024.01.03 |
|---|---|
| SRV-073 관리자 그룹에 불필요한 사용자 존재 (0) | 2024.01.03 |
| SRV-070 취약한 패스워드 저장 방식 사용 (0) | 2024.01.03 |