서버 접근제어 솔루션이 적용되어 있는 경우 BaroPAM을 적용 했는데, 로그인 되지 않는 현상

현상 : 서버 접근제어 솔루션이 적용되어 있는 경우 BaroPAM을 적용 했는데, 로그인 되지 않는 현상 원인 : 서버 접근제어 솔루션에서 /etc/pam.d/sshd 설정한 것 보다 BaroPAM 설정이 앞에 설정하여 발생함 조치 : 다음과 같이 /etc/pam.d/sshd 설정의 순서를 변경하면 됨. 변경 전) auth required /usr/baropam/pam_baro_auth.so nullok secret=/usr/baropam/.baro_auth encrypt=no auth required pam_sepermit.so auth include password-auth account required pam_nologin.so account include password-auth password ..

Mattermost는 파일 공유, 검색, 통합 기능을 제공하는 오픈 소스로 셀프 호스팅이 가능한 온라인 채팅 서비스이다. 단체와 기업을 위한 내부 채팅으로 설계되어 있으며 대부분 그 자체를 슬랙과 마이크로소프트 팀즈의 오픈 소스 대안이다. Mattermost의 보안을 강화하기 위하여 로그인 시 비밀번호를 BaroPAM의 일회용 인증키로 대체하는 것이다. 이와 같이 말도 많고 딸도 많고, 보안에 취약한 정적인 비밀번호를 BaroPAM 같은 동적보안 솔루션의 일회용 인증키로 대체 했을 때 이점은 다음과 같다. ▶비밀번호 단방향 암호화 불필요. ▶비밀번호 관리지침 적용 불필요. ▶비밀번호를 기억할 필요 없음. ▶비밀번호 / 리셋 증후군에서 해방. ▶사용자 정보 유출 되어도 로그인 불가능. ▶비밀번호 도용 및 ..

현상 : Linux 서버에 BaroPAM 적용 후 일회용 인증키를 입력하는 항목(Verification code: 또는 Password & Verification code:)을 스킵(Skip)하여 로그인이 안되는 현상 발생 원인 : 접근제어 솔루션 등 보안 솔루션이 작동 되고 있는지 확인하고 "Keyboard interactive mode"를 지원하지 않아서 발생. 조치 : 접근제어 솔루션 등 보안 솔루션이 작동 되고 있는지 확인하고, 솔루션사에 "Keyboard interactive mode"를 지원하도록 요청

현상 : No supported authentication methods available (server sent publickey,gssapt-keyex,gssapt-with-mic) 원인 : Interactive mode를 지원하지 않음.(/etc/pam.d/sshd 설정 시 nullok를 설정하지 말고 forward_pass로 설정해야 함) 조치 : "/etc/ssh/sshd_config" 파일에서 "AuthorizedKeysFile .ssh/authorized" 주석처 및 "PasswordAuthentication yes" 변경 후 sshd restart

전통적인 IT 보안 시스템은 일반적으로 경계 보안 모델을 바탕으로 하며 허용된 사용자, 디바이스, 네트워크만 IT 시스템에 접근할 수 있도록 하였다. 경계 보안 모델은 네트워크 경계 외부는 신뢰하지 않는 영역, 네트워크 경계 내부는 신뢰하는 영역으로 간주한 모델이다. 이러한 경계 보안 모델은 기업망에서만 근무하던 환경에서는 적합할 수 있지만 재택근무 확대, 업무환경의 다변화(스마트 워크 플레이스 등)로 인해 경계 보안 모델의 한계성과 취약성 이슈가 대두되고 있다. 이제 근본적으로 정보보호 패러다임이 바뀌어야 할 때입니다. 이를 위해 등장한 개념이 바로 제로 트러스트(Zero trust) 보안이다. 제로 트러스트 보안은 기업망 내외부에 언제나 공격자가 존재할 수 있고 침해가 발생할 수 있음을 인정하는 새로..

"간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것" 요즘 들어, 하루가 멀다 하고 해커들의 사이버 공격이 때를 가르지 않고 밤낮없이 발생하고 있다. 방심한 사이를 틈타 눈 깜짝할 사이에 시스템을 마비시키거나 소중한 개인정보를 탈취해 간다. 더욱이 사이버 범죄자들은 날이 갈수록 체계적이고 지능화되어 조직화되는 양상으로 진화하고 있다. 처음부터 완전한 보안 시스템은 없으며, 느슨한 구성에서 시작해서 더 견고한 보안 시스템으로 진화하는 것이 매우 중요하다. 날로 지능화되는 사이버 공격에 대응하기 위하여 무엇 보다도 정보자산에 대한 보안 인식의 대전환이 필요한 시기다. 한국인터넷진흥원(KISA, 원장 이상중)은 과학기술정보통신부(장관 이종호)와 함께 최근 자동 로그인 기능을..

"간편성과 편리성만 내세우면 보안은 그만큼 허술하며, 이로 인한 댓가는 매우 혹독할 것!" 웹 사이트에 로그인하는 경우 아이디(ID)와 비밀 번호(PW)를 최초에 입력해 놓으면 차후 이를 다시 입력하지 않아도 곧바로 로그인이 되도록 한 것이다. 이 방식은 자주 방문하는 사이트를 이용할 때는 편리하지만, 최초 접속자와 다음 접속자가 동일하지 않을 경우 주민 등록 번호 등 개인 정보가 누출될 수도 있어 보안에 취약한 단점이 있다. 특히, 편리하다는 이유로 아이디·비밀번호 자동 저장기능을 자주 사용하는 이용자들은 더욱 주의가 요망된다. 해당 기능 사용자가 ‘인포스틸러’에 감염되면, 웹 브라우저에 저장된 아이디·비밀번호 등 로그인 정보가 탈취될 수 있다. 해커는 아이디·비밀번호 등 개인정보 탈취를 위해, 악의적..

최근 침해사고 키워드로 △크리덴셜 스터핑 △공급망 공격 △백업 솔루션 취약점 △무단 문자 발송 △공유기 디도스 △국내 웹사이트 대상 웹변조/정보유출을 들을 수 있다. 공격자들은 유명 포털 사이트로 위장한 피싱 사이트를 만들어 사용자 계정을 탈취하고 확보한 아이디, 패스워드를 활용해 다양한 불법적인 행위로 사용자들에게 피해를 발생시킨다. 크리덴셜 스터핑 공격을 막기란 쉽지 않다. 국내외 IP를 활용해 지속적으로 피싱 사이트 공격이 발생하고 있다. 이를 통해 개인정보 유출이나 상품권 무단 사용 등 피해가 발생하게 되는데 이러한 2차 피해를 예방하기 위해서는 각 사이트에서 2차 인증(추가 인증)이 적용이 반드시 필요하다. 그리고 평소와 다른 IP에서 로그인이 발생할 때 이를 감지, 차단하는 방법도 적극 활용해..

일반적으로 RADIUS 인증은 라우터, L3스위치, L4스위치 등 네트워크 장비의 관리자 계정 또는 무선 네트워크 접속 시 사용자 인증을 위해 사용하는 경우가 많지만 리눅스 서버의 사용자 접속 시 인증을 위해서도 사용할 수 있다. 이는 리눅스나 유닉스가 PAM (Pluggable Authentication Module)이라는 방식을 지원하기 때문에 가능하다. 이 가이드를 사용하여 SSH 클라이언트에 대한 다중 인증(MFA)을 Linux 또는 Unix에 허용하도록 BaroPAM 플랫폼 어플라이언스를 RADIUS 서버로 구성한다. BaroPAM 플랫폼 어플라이언스 RADIUS 서버는 모든 RADIUS 클라이언트의 요청을 인증하여 가상 사설망(VPN), Linux 또는 Unix 서버 또는 모든 호환 RADIU..

"비밀번호가 도난되지 않은 상황에서 빈번하게 비밀번호를 바꾸면 비밀번호가 패턴화되고 추측하기 쉬워지거나 비밀번호를 어딘가에 적어야 하는 등 오히려 보안 위험이 될 수 있다" 하루가 멀다하고 떠지는 계정정보 유출 및 도용 사고가 끊이질 않고 있다. 그래서, 기기마다, 플랫폼마다, 계정마다 각기 다른 비밀번호를 설정하고 주기적으로 변경할 것을 권장한다. 하지만 여러 개의 비밀번호를, 그것도 특수문자와 대문자를 포함하고 생년월일과 무관하며 연속성이 없는 최소 8자 이상의 글자 조합을 외우는 것은 좀체 만만한 일이 아니다. 그렇다고 컴퓨터 앞에 적어 둘 수도 없는 노릇이다. 그러니 기존에 사용한 적이 없으면서도 잊어버리지 않을 만한 비밀번호의 조합을 만들어내는 것은 이제 창의성의 영역에 있는지도 모르겠다. 해외..