주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Unix 점검 항목
■ 취약점 개요
○ 점검개요 : 불필요하거나 악의적인 파일에 SUID, SGID 설정 여부 점검
○ 점검목적 : 불필요한 SUID, SGID 설정 제거로 악의적인 사용자의 권한상승을 방지
○ 보안위협 : SUID, SGID 파일의 접근권한이 적절하지 않을 경우 SUID, SGID 설정된 파일로 특정 명령어를 실행하여 root 권한 획득 및 정상서비스 장애를 발생시킬 가능성이 존재
○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등
○ 판단기준
- 양호 : 주요 실행파일의 권한에 SUID와 SGID에 대한 설정이 부여되어 있지 않은 경우
- 취약 : 주요 실행파일의 권한에 SUID와 SGID에 대한 설정이 부여되어 있는 경우
■ 점검방법
○ SOLARIS, LINUX, AIX, HP-UX
OS별 주요 실행파일에 대한 SUID/SGID 설정 여부 확인
#ls –alL [check_file] | awk '{ print $1}’ | grep –i ‘s’
※ 주요 파일에 불필요한 SUID/SGID가 설정된 경우 조치방안에 따라 SUID/SGID를 제거한다.
■ 조치방안
○ SOLARIS, LINUX, AIX, HP-UX
1. 제거방법
#chmod -s <file name>
2. 주기적인 감사 방법
#find / -user root -type f \ ( -perm -04000 -o -perm -02000 \) -xdev -exec Is -al {} \;
3. 반드시 사용이 필요한 경우 특정 그룹에서만 사용하도록 제한하는 방법
일반 사용자의 Setuid 사용을 제한(임의의 그룹만 가능)
#/usr/bin/chgrp <group_name> <setuid_file_name>
#/usr/bin/chmod 4750 <setuid_file_name>
■ 조치 시 영향
SUID 제거 시 OS 및 응용 프로그램 등 서비스 정상작동 유무 확인 필요
■ SUID
○ 설정된 파일 실행 시, 특정 작업 수행을 위하여 일시적으로 파일 소유자의 권한 획득 가능
■ SGID
○ 설정된 파일 실행 시, 특정 작업 수행을 위하여 일시적으로 파일 소유 그룹의 권한 획득 가능
'취약점 진단 가이드 > UNIX 서버 진단 가이드' 카테고리의 다른 글
| U-26(상) world writable 파일 점검 (0) | 2021.01.13 |
|---|---|
| U-25(상) 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 (0) | 2021.01.12 |
| U-23(상) /etc/seivces 파일 소유자 및 권한 설정 (0) | 2021.01.11 |
| U-22(상) /etc/syslog.conf 파일 소유자 및 권한 설정 (2) | 2021.01.11 |
| U-21(상) /etc/(x)inetd.conf 파일 소유자 및 권한 설정 (0) | 2021.01.10 |