주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Unix 점검 항목
■ 취약점 개요
○ 점검개요 : 홈 디렉터리 내의 환경변수 파일에 대한 소유자 및 접근권한이 관리자 또는 해당 계정으로 설정되어 있는지 점검
○ 점검목적 : 비인가자의 환경변수 조작으로 인한 보안 위험을 방지
○ 보안위협 : 홈 디렉터리 내의 사용자 파일 및 사용자별 시스템 시작파일 등과 같은 환경 변수 파일의 접근권한 설정이 적절하지 않을 경우 비인가자가 환경변수 파일을 변조하여 정상 사용 중인 사용자의 서비스가 제한
○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등
○ 판단기준
- 양호 : 홈 디렉터리 환경변수 파일 소유자가 root 또는, 해당 계정으로 지정되어 있고, 홈 디렉터리 환경변수 파일에 root와 소유자만 쓰기 권한이 부여된 경우
- 취약 : 홈 디렉터리 환경변수 파일 소유자가 root 또는, 해당 계정으로 지정되지 않고, 홈 디렉터리 환경변수 파일에 root와 소유자 외에 쓰기 권한이 부여된 경우
■ 점검방법
○ SOLARIS, LINUX, AIX, HP-UX
홈 디렉터리 환경변수 파일의 소유자 및 권한 확인
#ls -l <홈 디렉터리 환경변수 파일>
※ 홈 디렉터리 환경변수 파일의 소유자가 root 또는, 해당 계정으로 설정되어 있는지 확인 후 소유자 이외의 사용자에게 쓰기 권한이 부여되어 있을 경우 조치방안에 따라 설정을 변경한다.
■ 조치방안
○ SOLARIS, LINUX, AIX, HP-UX
1. 소유자 변경 방법
#chown <user name> <file name>
2. 일반 사용자 쓰기 권한 제거 방법
#chmod o-w <file name>
■ 조치 시 영향
일반적인 경우 무관
■ 환경변수 파일 종류
○ “.profile”, “.kshrc”, “.cshrc”, “.bashrc”, “.bash_profile”, “.login”, “.exrc”, “.netrc” 등
'취약점 진단 가이드 > UNIX 서버 진단 가이드' 카테고리의 다른 글
| U-27(상) /dev에 존재하지 않는 device 파일 점검 (0) | 2021.01.13 |
|---|---|
| U-26(상) world writable 파일 점검 (0) | 2021.01.13 |
| U-24(상) SUID, SGID, Sticky bit 설정 및 권한 설정 (0) | 2021.01.12 |
| U-23(상) /etc/seivces 파일 소유자 및 권한 설정 (0) | 2021.01.11 |
| U-22(상) /etc/syslog.conf 파일 소유자 및 권한 설정 (2) | 2021.01.11 |