본문 바로가기
정보보안

unix 서버 취약점 > 패스워드 파일 보호

by PUPPLESHARK 2023. 1. 3.
반응형

 

1. 계정관리 > 패스워드 파일 보호
취약점 개요
Ÿ 시스템의 사용자 계정(root, 일반계정) 정보가 저장된 파일( /etc/passwd,
/etc/shadow)에 사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검

Ÿ 일부 오래된 시스템의 경우 패스워드 정책이 적용되지 않아 /etc/passwd 일에 평문으로 저장되므로 사용자 계정 패스워드가 암호화되어 저장되어 는지 점검하여 비인가자의 패스워드 파일 접근 시에도 사용자 계정 패스워드가 안전하게 관리되고 있는지 확인하기 위함
Ÿ 비인가자에 의해 사용자 계정 패스워드가 평문으로 저장된 파일이 유출될 경우 시스템 사용자 계정 패스워드가 노출될 수 있음
관련 점검 항목 : U-07(), U-08()
점검대상 및 판단기준
Ÿ SOLARIS, LINUX, AIX, HP-UX
양호 : 쉐도우 패스워드를 사용하거나, 패스워드를 암호화하여 저장하는 경우
취약 : 쉐도우 패스워드를 사용하지 않고, 패스워드를 암호화하여 저장하지 않 는 경우
패스워드 암호화 저장·관리 설정 적용
점검 및 조치 사례
 

U-04 (상) 1. 계정관리 > 패스워드 파일 보호
SOLARIS
암호화된 패스워드를 특별한 권한이 있는 사용자들만 읽을 수 있도록 /etc/shadow 파일에 저장
Step 1) 관리 명령어를 통한 쉐도우 비밀번호 활성화
#pwconv
Step 2) 관리 명령어를 통한 쉐도우 비밀번호 활성화
#vipw
     /etc/passwd 파일의 편집화면이 나오고 저장 e 누름
Step 3) /etc/shadow 파일의 편집화면이 나오고 사용자 shadow 파일을 편집 후 저장
LINUX
Step 1) #pwconv ---> 쉐도우 패스워드 정책 적용 방법 Step 2) #pwunconv ---> 일반 패스워드 정책 적용 방법
AIX
AIX 서버는 기본적으로 "/etc/security/passwd" 파일에 패스워드를 암호화하여 저장·관리
HP-UX
HP-UX 서버는 Trusted Mode전환할 경우 패스워드를 암호화하여 "/tcb/files/auth" 디렉토리에 계정 이니셜과 계정 이름에 따라 파일로 저장·관리할 있으므로 Trusted Mode인지 확인 후 UnTrusted Mode경우 모드를 전환함
Step 1) Trusted Mode 전환 방법: root계정으로 인한   수행
#/etc/tsconvert
Step 2) UnTrusted Mode 전환 방법: root 계정으로 로그인한 후 아래 명령 수행
#/etc/tsconvert -r2
 
※ 암호화된 패스워드를 특별한 권한이 있는 사용자들만 읽을 수 있도록 /etc/shadow 파일에 저장
    1. 관리 도구(SAM)를 통한 쉐도우 비밀번호(HP-UX의 경우 Trusted System) 사용
             # sam
      1) Auditing and Security 선택
      2) 쉐도우 패스워드 미사용(HP-UX의 경우 Trusted System) 시에는 다음과 같은 항목을 선택
                Audited Events, Audited System Calls
                Audited Users, System Security Policies
      3) Trusted System 으로 변환하겠냐고 묻는 대화상자 출력
   4) 이 대화상자에서 Yes 선택"
조치 시 영향 HP-UX 경우 Trusted Mode전환 시 파일시스템 구조가 변경되어 운영 중인 서비스에 문제가 발생할 수 있으므로 충분한 테스트를 거친 Trusted Mode 로의 전환 필요
반응형

댓글