반응형
| U-65 (중) | 3. 서비스관리 > at 파일 소유자 및 권한 설정 |
| 취약점 개요 | |
| 점검내용 | 관리자(root)만 at.allow파일과 at.deny 파일을 제어할 수 있는지 점검 |
| 점검목적 | at 명령어 사용자 제한은 at.allow 파일과 at.deny 파일에서 할 수 있으므로 보안 상 해당 파일에 대한 접근제한이 필요함 |
| 보안위협 | 해당 파일에 대한 권한 관리가 이루어지지 않을 시 공격자가 권한을 획득한 사용 자 계정을 등록하여 불법적인 예약 파일 실행으로 시스템 피해가 발생할 수 있음 |
| 참고 | ※ at 데몬 (일회성 작업 예약): 지정한 시간에 어떠한 작업이 실행될 수 있도록 작업 스케줄을 예약 처리해 주는 기능을 제공함. /etc/at.allow 파일에 등록된 사용자만이 at 명령을 사용할 수 있음 ※ 기반시설 시스템에서 at 데몬의 이용은 원칙적으로 금지하나, 부득이 해당 기능을 활용해야 하는 경우 소유자 및 권한 설정 등의 보안 조치를 반드시 적용하여야 함 |
| 점검대상 및 판단기준 | |
| 대상 | SOLARIS, LINUX, AIX, HP-UX 등 |
| 판단기준 | 양호 : at 명령어 일반사용자 금지 및 at 관련 파일 권한이 640 이하인 경우 |
| 취약 : at 명령어 일반사용자 사용 가능하거나, at 관련 파일 권한이 640 이하가 아닌 경우 | |
| 조치방법 | "at.allow", "at.deny" 파일 소유자 및 권한 변경 (소유자 root, 권한 640 이하) |
| 점검 및 조치 사례 | |
 • 공통설정 Step 1) at 명령어 일반사용자 권한 삭제 (at 명령어 위치는 OS별 다를 수 있음) ※ at 명령어는 SUID가 설정되어 있으므로 SUID 설정 제거 # ls –l /usr/bin/at # chmod 4750 /usr/bin/at Step 2) cron 관련 설정파일 소유자 및 권한 설정 # chown root <at 관련 파일> # chmod 640 <at 관련 파일>  |
|
| U-65 (중) | 3. 서비스관리 > at 파일 소유자 및 권한 설정 |
|
• at 명령어를 일반사용자에게 허용하는 경우 Step 1) "/etc/cron.d/at.allow" 및 "/etc/cron.d/at.deny" 파일의 소유자 및 권한 변경 #chown root /etc/cron.d/at.allow #chmod 640 /etc/cron.d/at.allow #chown root /etc/cron.d/at.deny #chmod 640 /etc/cron.d/at.deny Step 2) "/etc/cron.d/at.allow" 및 "/etc/cron.d/at.deny" 파일에 사용자 등록 #cat /etc/at.allow (at 명령어 사용을 허용하는 사용자 등록) #cat /etc/at.deny (at 명령어 사용을 차단하는 사용자 등록) |
|
| 조치 시 영향 | 일반적인 경우 영향 없음 |
반응형
'정보보안' 카테고리의 다른 글
| U-67) unix 서버취약점 > 서비스 관리 > SNMP 서비스 커뮤니티스트링의 복잡성 설정 (0) | 2023.02.24 |
|---|---|
| U-66) unix 서버취약점 > 서비스 관리 > SNMP 서비스 구동 점검 (0) | 2023.02.23 |
| U-64) unix 서버취약점 > 서비스 관리 > ftpusers 파일 설정(FTP 서비스 root 계정 접근제한) (0) | 2023.02.22 |
| puppleshark의 정보보안기사 실기 요약, 요점 정리 (0) | 2023.02.21 |
| U-63) unix 서버취약점 > 서비스 관리 > ftp 파일 소유자 및 권한 설정 (0) | 2023.02.21 |
댓글