[내부회계관리제도] OS-Linux 서버 비밀번호 정책

ITGC RCM 작성 시 서버 비밀번호 정책 현황에 대한 증빙이 필요하다.

 

테스트 기준은 패스워드 복잡성, 최소 길이, 변경주기 등 포함되어 있는데 이를 적용 및 확인에 대한 부분이 필요하다.

 

sudo charge -l root	# 비밀번호 최소 변경일 확인
sudo cat /etc/login.defs	# 비밀번호 최소 변경일, 비밀번호 최소 길이 확인
sudo cat /etc/security/pwquality.conf	# 비밀번호 복잡도 확인
> minclass = 1	# 대소문자, 숫자, 특수문자 복잡도
> minlen = 13		# 새로운 비밀번호 설정 시 허용 가능한 최소 길이
sudo authconfig --passminlen=13 --update	# 비밀번호 최소길이 수정

 

유의깊게 봐야할 파일은 다음과 같다.

1. /etc/login.defs : 로그인 관련 정책

2. /etc/security/pwquality.conf : 복잡도 및 신규 생성 시 관련 정책

 

보완해야할 설정이 있다면 수정 후 증빙자료로 캡쳐하여 준비하도록 하자.