주요정보통신기반시설 유닉스/리눅스 서버 U-14 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정

■ 개념

주요정보통신기반시설 취약점 분석 및 평가 중 점검대상 유닉스(Unix) 서버의 U-14 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 점검항목에 대해 알아보겠습니다. 해당 포스팅은 리눅스(CentOS 7)를 기준으로 진단 및 실습합니다.

 

 

항목명		사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정
항목코드		U-14
위험도		상
점검내용		홈 디렉터리 내의 환경변수 파일에 대한 소유자 및 접근권한이 관리자 또는 해당 계정으로 설정되어 있는지 점검
점검목적		비인가자의 환경변수 조작으로 인한 보안 위험을 방지하기 위함

 

 

보안위협		홈 디렉터리 내의 사용자 파일 및 사용자별 시스템 시작파일 등과 같은 환 경변수 파일의 접근권한 설정이 적절하지 않을 경우 비인가자가 환경변수 파일을 변조하여 정상 사용중인 사용자의 서비스가 제한 될 수 있음 ※ 환경변수 파일 종류: “.profile”, “.kshrc”, “.cshrc”, “.bashrc”, “.bash_profile”, “.login", “.exrc”, “.netrc” 등
판단기준	양호	홈 디렉터리 환경변수 파일 소유자가 root 또는, 해당 계정으로 지정되 어 있고, 홈 디렉터리 환경변수 파일에 root와 소유자만 쓰기 권한이 부여 된 경우
	취약	홈 디렉터리 환경변수 파일 소유자가 root 또는, 해당 계정으로 지정되 지 않고, 홈 디렉터리 환경변수 파일에 root와 소유자 외에 쓰기 권한이 부여된 경우
조치방법		환경변수 파일의 권한 중 타 사용자 쓰기 권한 제거

 

■ 실습

해당 점검항목은 유닉스 서버의 환경변수 파일의 소유자 및 일반 사용자의 쓰기 권한을 확인하여 양호/취약을 판단합니다. 아래 표는 환경변수 파일 종류 및 설명입니다.

환경변수	내용
.profile	각각의 로그인 계정에 필요한 내용들의 환경설정을 저장함
.bashrc	특정 계정을 사용하는 설정은 해당 계정의 홈 디렉토리의 .bashrc 파일에 기록함
.bash_profile	각각의 계정에 적용되는 쉘 환경 설정 파일

 

 

홈 디렉터리 환경변수 파일의 소유자 및 권한 확인 명령어(#ls –l <홈 디렉터리 환경변수 파일>)를 입력하여 홈 디렉터리 환경변수 파일의 소유자가 root 또는, 해당 계정으로 설정되어 있는지 확인합니다. 만약 소유자 이외의 사용자에게 쓰기 권한이 부여되어 있을 경우 아래의 보안 설정 방법에 따라 설정을 변경합니다. 소유자 변경 방법은 #chown 이고, 일반 사용자 쓰기 권한 제거 방법은 #chmod o-w 입니다. 보안수칙 중에서 권한은 중요한 내용이니 숙지하여 점검하시길 바랍니다.

 

본 포스팅 내용은 한국인터넷진흥원(KISA)에서 발행한 주요정보통신기반시설 평가기준을 바탕으로 작성했습니다.

수고하셨습니다.

궁금한 사항은 댓글로 남겨주세요.