일정 횟수의 로그인 실패 시 이에 대한 잠금정책 적용
취약점 개요
■ 위험도
- 중
■ 점검 목적
- 일정 횟수의 로그인 실패 시 계정 잠금 정책을 설정하여 비인가자의 자동화된 무작위 대입공격, 사전 대입 공격 등을 통한 사용자 계정 패스워드 유출을 방지하기 위함
■ 보안 위협
- 일정한 횟수의 로그인 실패 횟수를 설정하여 제한하지 않으면 자동화된 방법으로 계정 및 패스워드를 획득하여 데이터베이스에 접근하여 정보를 유출할 수 있음
점검 및 조치 방법
■ 판단 기준
- 양호 : 로그인 시도 횟수를 제한하는 값을 설정하는 경우
- 취약 : 로그인 시도 횟수를 제한하는 값을 설정하지 않은 경우
■ 조치 방법
로그인 시도 횟수 제한 값 설정
Oracle
Step 1) 접근 횟수 제한을 위해 파라미터 설정
Failed_login_attempts 프로파일 파라미터 수정
SQL > ALTER PROFILE LIMIT FAILED_LOGIN_ATTEMPTS XXX;
XXX회 이하로 설정
Step 2) 프로파일 적용
SQL > connect / as sysdba
SQL > @$Ora_Home / rdbms / admin / utlpwdmg.sql
또는, default profile에 unlimited로 설정하고 이 default 값을 적용하고자 하는 profile에 적용
SQL > Alter profile default limit password_lock_time unlimited;
SQL > Alter profile [profile name] limit password_lock_time default;
Altibase
조치방법 1. 사용자별 패스워드 정책 변경
Step 1) 다음 명령어를 통해 패스워드 정책 설정 여부 확인
Select * from system_.sys_users_;
Step 2) 아래 프로퍼티에 대해 패스워드 정책 설정
CASE_SENSITIVE_PASSWORD
FAILED_LOGIN
PASSWORD_LOCK_TIME
PASSWORD_LIFE_TIME
PASSWORD_GRACE_TIME
PASSWORD_REUSE_TIME
PASSWORD_REUSE_MAX
PASSWORD_VERIFY_FUNCTION
⌘ 정책 적용 시 다음 명령어를 사용
ALTER USER 유저명 LIMIT (프로퍼티 숫자);
적용 예) ALTER USER TESTUSER LIMIT (FAILED_LOGIN_ATTEMPTS 7) ;
조치방법 2. ALTIBASE HDB 프로퍼티 파일
$ ALTIBASE_HOME/conf/altibase.properties를 변경
⌘ ALTIBASE HDB 서버가 실행되지 않은 상태에서 할 수 있는 정적인 환경 설정 방법
⌘ 프로퍼티 파일에서 해당 구성 요소를 특정 값으로 설정한 후 ALTIBASE HDB 서버를 재구동해야 수정된 값이 ALTIBASE HDB 서버에 반영
Tibero
Step 1) 사용자별 패스워드 프로파일 적용 여부 확인
select * from dba_users;
Step 2) 설정되어 있을 경우 프로파일 설정 내용 확인
select * rom dba_profiles;
Step 3) 설정되어 있지 않을 경우 프로파일 생성 시(또는 수정 시 alter profile) 패스워드 정책 설정
⌘ 정책 적용 시 다음 명령어를 사용
CREATE PROFILE prof LIMIT
적용 예) CREATE PROFILE prof LIMIT
failed_login_attempts 3
password_lock_time 1/1440
password_life_time 90
password_reuse_time unlimited
password_reuse_max 10
password_grace_time 10
password_verify_function verify_function;