본문 바로가기
IT/리눅스

주요정보통신기반시설 유닉스/리눅스 서버 U-01 root 계정 원격접속 제한

by 쏠-티 2023. 1. 4.

■ 개념

2021 주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 유닉스(Unix) 서버의 U-01 root 계정 원격접속 제한 점검항목에 대해 알아보겠습니다. 해당 포스팅은 리눅스(CentOS 7)을 기준으로 진단 및 실습합니다.

항목명
root 계정 원격접속 제한
항목코드 U-01
위험도
점검내용
시스템 정책에 root 계정의 원격터미널 접속차단 설정이 적용되어 있는지 점검
점검목적
관리자계정 탈취로 인한 시스템 장악을 방지하기 위해 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하기 위함

보안위협
root 계정은 운영체제의 모든기능을 설정 및 변경이 가능하여(프로세스, 커널변경 등) root 계정을 탈취하여 외부에서 원격을 이용한 시스템 장악 및 각종 공격으로(무작위 대입 공격) 인한 root 계정 사용 불가 위협

※ root 계정: 여러 사용자가 사용하는 컴퓨터에서 모든 기능을 관리할 수 있는 총괄권한을 가진 유일한 특별 계정. 유닉스 시스템의 루트(root)는 시스템 관리자인 운용 관리자(Super User)로서 윈도우의 Administrator 보다 높은 System 계정에 해당하며, 사용자 계정을 생성하거나 소프트웨어를 설치하고, 환경 및 설정을 변경하거나 시스템의 동작을 감시 및 제어할 수 있음

※ 무작위 대입 공격(Brute Force Attack): 특정한 암호를 풀기 위해 가능한 모든 값을 대입하는 공격 방법

※ 사전 대입 공격(Dictionary Attack): 사전에 있는 단어를 입력하여 암호를 알아내거나 암호를 해독하는 데 사용되는 컴퓨터 공격 방법
판단기준
양호
원격 터미널 서비스를 사용하지 않거나, 사용 시 root 직접 접속을 차단한 경우
취약
원격 터미널 서비스 사용 시 root 직접 접속을 허용한 경우
조치방법
원격 접속 시 root 계정으로 바로 접속 할 수 없도록 설정파일 수정

 

■ 실습

U-01 점검항목은 유닉스 계열의 root 계정 원격접속 제한 여부를 확인하여 양호/취약을 판단합니다. 아래 표를 보셔서 진단업무에 참고하세요

번호 구분 내용
1 telnet 서비스
TCP 23 port 비활성화되어 있어야 양호함
SSH 통신
telnet 서비스 대신 암호화 통신을 하는 SSH 서비스를 사용하여야 함
2 /etc/securetty
pts 설정이 제거 또는 주석 처리되어 있어야 가상콘솔에서 접속할 수 없음

3 /etc/pam.d/login
login 파일 내 아래 내용이 기입되어 있어야 함
auth [user_unknown=ignore success=ok ignore=ignore default=bad]
pam_securetty.so
의미 : 등록되지 않은 유저일 경우 무시처리 함
4 /etc/ssh/sshd_config
PermitRootLogin no
의미 : root 계정의 직접 접속 허용 금지

 

본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.

반응형

댓글