반응형
U-53
1.1.
| U-53 (하) | 1. 계정관리 > 사용자 shell 점검 |
| 취약점 개요 | |
| 점검내용 | 로그인이 불필요한 계정(adm, sys, daemon 등)에 쉘 부여 여부 점검 |
| 점검목적 | 로그인이 불필요한 계정에 쉘 설정을 제거하여, 로그인이 필요하지 않은 계정을 통한 시스템 명령어를 실행하지 못하게 하기 위함 |
| 보안위협 | 로그인이 불필요한 계정은 일반적으로 OS 설치 시 기본적으로 생성되는 계 정으로 쉘이 설정되어 있을 경우, 공격자는 기본 계정들을 통하여 중요파일 유출이나 악성코드를 이용한 root 권한 획득 등의 공격을 할 수 있음 |
| 참고 | ※ 쉘(Shell): 대화형 사용자 인터페이스로써, 운영체제(OS) 가장 외곽계층에 존재하여 사 용자의 명령어를 이해하고 실행함 |
| 점검대상 및 판단기준 | |
| 대상 | SOLARIS, LINUX, AIX, HP-UX 등 |
| 판단기준 | 양호 : 로그인이 필요하지 않은 계정에 /bin/false(/sbin/nologin) 쉘이 부여되어 있는 경우 |
| 취약 : 로그인이 필요하지 않은 계정에 /bin/false(/sbin/nologin) 쉘이 부여되지 않은 경우 | |
| 조치방법 | 로그인이 필요하지 않은 계정에 대해 /bin/false(/sbin/nologin) 쉘 부여 |
| 점검 및 조치 사례 | |
 |
|
| U-53 (하) | 1. 계정관리 > 사용자 shell 점검 |
| • SOLARIS, LINUX, AIX, HP-UX Step 1) vi 편집기를 이용하여 "/etc/passwd" 파일 열기 Step 2) 로그인 쉘 부분인 계정 맨 마지막에 /bin/false(/sbin/nologin) 부여 및 변경 (수정 전) daemon:x:1:1::/:/sbin/ksh (수정 후) daemon:x:1:1::/:/bin/false 또는, daemon:x:1:1::/:/sbin/nologin *일반적으로 로그인이 불필요한 계정 (※ 계정 설명: 부록 참조) daemon, bin, sys, adm, listen, nobody, nobody4, noaccess, diag, listen, operator, games, gopher 등 일반적으로 UID 100 이하 60000 이상의 시스템 계정 해당 |
|
| 조치 시 영향 | 일반적인 경우 영향 없음 모호한 경우 "/etc/shadow" 파일에서 해당 계정에 패스워드 존재 여부로 확인 |
반응형
'정보보안' 카테고리의 다른 글
| 서버취약점 > 파일 및 디렉토리 관리 > root홈, 패스 디렉터리 권한 및 패스 설정 (0) | 2023.01.18 |
|---|---|
| 서버취약점 > 계정관리 > Session Timeout 설정 (0) | 2023.01.18 |
| UNIX서버취약점 > 계정관리 > 동일한 UID 금지 (0) | 2023.01.17 |
| unix 서버 취약점 > 계정관리 > 계정이 존재하지 않는 GID 금지 (0) | 2023.01.16 |
| unix 서버 취약점 > 계정관리 > 관리자 그룹에 최소한의 계정 포함 (0) | 2023.01.13 |
댓글