unix 서버 취약점 > 패스워드 파일 보호

 

1. 계정관리 > 패스워드 파일 보호
취약점 개요
Ÿ 시스템의 사용자 계정(root, 일반계정) 정보가 저장된 파일(예 /etc/passwd, /etc/shadow)에 사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검
Ÿ 일부 오래된 시스템의 경우 패스워드 정책이 적용되지 않아 /etc/passwd 파 일에 평문으로 저장되므로 사용자 계정 패스워드가 암호화되어 저장되어 있 는지 점검하여 비인가자의 패스워드 파일 접근 시에도 사용자 계정 패스워드가 안전하게 관리되고 있는지 확인하기 위함
Ÿ 비인가자에 의해 사용자 계정 패스워드가 평문으로 저장된 파일이 유출될 경우 시스템 사용자 계정 패스워드가 노출될 수 있음
※ 관련 점검 항목 : U-07(상), U-08(상)
점검대상 및 판단기준
Ÿ SOLARIS, LINUX, AIX, HP-UX 등
양호 : 쉐도우 패스워드를 사용하거나, 패스워드를 암호화하여 저장하는 경우
취약 : 쉐도우 패스워드를 사용하지 않고, 패스워드를 암호화하여 저장하지 않 는 경우
패스워드 암호화 저장·관리 설정 적용
점검 및 조치 사례
U-04 (상)	1. 계정관리 > 패스워드 파일 보호
• SOLARIS 암호화된 패스워드를 특별한 권한이 있는 사용자들만 읽을 수 있도록 /etc/shadow 파일에 저장 Step 1) 관리 명령어를 통한 쉐도우 비밀번호 활성화 #pwconv Step 2) 관리 명령어를 통한 쉐도우 비밀번호 활성화 #vipw      /etc/passwd 파일의 편집화면이 나오고 저장 후 ‘e’를 누름 Step 3) /etc/shadow 파일의 편집화면이 나오고 사용자 shadow 파일을 편집 후 저장 • LINUX Step 1) #pwconv ---> 쉐도우 패스워드 정책 적용 방법 Step 2) #pwunconv ---> 일반 패스워드 정책 적용 방법 • AIX AIX 서버는 기본적으로 "/etc/security/passwd" 파일에 패스워드를 암호화하여 저장·관리 • HP-UX HP-UX 서버는 Trusted Mode로 전환할 경우 패스워드를 암호화하여 "/tcb/files/auth" 디렉토리에 계정 이니셜과 계정 이름에 따라 파일로 저장·관리할 수 있으므로 Trusted Mode인지 확인 후 UnTrusted Mode인 경우 모드를 전환함 Step 1) Trusted Mode 전환 방법: root계정으로 로그인한 후  아래 명령 수행 #/etc/tsconvert Step 2) UnTrusted Mode 전환 방법: root 계정으로 로그인한 후 아래 명령 수행 #/etc/tsconvert -r2   ※ 암호화된 패스워드를 특별한 권한이 있는 사용자들만 읽을 수 있도록 /etc/shadow 파일에 저장     1. 관리 도구(SAM)를 통한 쉐도우 비밀번호(HP-UX의 경우 Trusted System) 사용              # sam       1) Auditing and Security 선택       2) 쉐도우 패스워드 미사용(HP-UX의 경우 Trusted System) 시에는 다음과 같은 항목을 선택                 Audited Events, Audited System Calls                 Audited Users, System Security Policies       3) Trusted System 으로 변환하겠냐고 묻는 대화상자 출력    4) 이 대화상자에서 Yes 선택"
조치 시 영향	HP-UX 경우 Trusted Mode로 전환 시 파일시스템 구조가 변경되어 운영 중인 서비스에 문제가 발생할 수 있으므로 충분한 테스트를 거친 후 Trusted Mode 로의 전환 필요