취약점 진단 가이드/UNIX 서버 진단 가이드

U-01(상) root 계정 원격 접속 제한

H.J.World 2020. 8. 24. 13:01
728x90
반응형

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 Unix 점검 항목

■ 취약점 개요

○ 점검개요 : 시스템 정책에 root 계정의 원격 터미널 접속 차단 설정이 적용 되어 있는지 점검

○ 점검목적 : root 계정 원격 접속 차단 설정 여부를 점검하여 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하는지 확인

○ 보안위협 : 각종 공격(무작위 대입 공격, 사전 대입 공격 등)을 통해 root 원격 접속 차단이 적용되지 않은 시스템의 root 계정 정보를 비인가자가 획득할 경우 시스템 계정 정보 유출, 파일 및 디렉터리 변조 등의 행위 침해사고가 발생

○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등

○ 판단기준

 - 양호 : 원격 터미널 서비스를 사용하지 않거나, 사용 시 root 직접 접속을 차단한 경우
 - 취약 : 원격 터미널 서비스 사용 시 root 직접 접속을 허용한 경우

■ 점검 방법

SOLARIS #cat /etc/default/login
CONSOLE=/dev/console
LINUX

#cat /etc/pam.d/login
auth required /lib/security/pam_securetty.so

#cat /etc/securetty
pts/0 ~ pts/x 관련 설정 미존재

AIX #cat /etc/security/user
rlogin = false
HP-UX #cat /etc/securetty
console

 

■ 조치방안

○ SOLARIS

Step 1 vi 편집기를 이용하여 “/etc/default/login” 파일 열기
Step 2

아래와 같이 주석 제거 또는, 신규 삽입

(수정 전)#CONSOLE=/dev/console
(수정 후)CONSOLE=/dev/console

○ LINUX

Step 1 “/etc/securetty” 파일에서 pts/0 ~ pts/x 설정 제거 또는, 주석 처리
Step 2

“/etc/pam.d/login” 파일 수정 또는, 신규 삽입

(수정 전)#auth required /lib/security/pam_securetty.so
(수정 후)auth required /lib/security/pam_securetty. so

※ etc/securetty : Telnet 접속 시 root 접근 제한 설정 파일“/etc/securetty” 파일 내 pts/x 관련 설정이 존재하는 경우 PAM 모듈 설정과 관계없이 root 계정 접속을 허용하므로 반드시 “securetty“ 파일에서 pts/x 관련 설정을 제거해야 한다.

=====================

실제 진단 시 스크립트 결과 내용

-취약-

'Telnet 프로세스 데몬 동작 확인

☞ Telnet Service Disable

SSH 프로세스 데몬 동작 확인

root 1219 1 0 Jun06 ? 00:00:00 /usr/sbin/sshd -D
root 6495 1219 0 15:41 ? 00:00:00 sshd: yxxxx [priv]
yxxx+ 6497 6495 0 15:42 ? 00:00:00 sshd: yxxxx@pts/1

☞ SSH Service Enable

★ root 계정 원격 접속이 제한되지 않음
#PermitRootLogin yes

-양호-

'Telnet 프로세스 데몬 동작 확인

☞ Telnet Service Disable

SSH 프로세스 데몬 동작 확인

root 2974 1 0 2019 ? 00:00:00 /usr/sbin/sshd
root 26282 2974 0 01:15 ? 00:00:00 sshd: sxxxx [priv]
sxxxx 26285 26282 0 01:16 ? 00:00:00 sshd: sxxxx@pts/2
root 26336 2974 0 01:16 ? 00:00:00 sshd: sxxxx [priv]
sxxxx 26339 26336 0 01:16 ? 00:00:00 sshd: sxxxx@notty

☞ SSH Service Enable

★ root 계정 원격 접속이 제한됨
PermitRootLogin no

728x90
반응형