주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Unix 점검 항목
■ 취약점 개요
○ 점검개요 : 불필요한 world writable 파일 존재 여부 점검
○ 점검목적 : world writable 파일을 이용한 시스템 접근 및 악의적인 코드 실행을 방지
○ 보안위협 : 시스템 파일과 같은 중요 파일에 world writable 설정이 될 경우, 악의적인 사용자가 해당 파일을 마음대로 파일을 덧붙이거나 지울 수 있게 되어 시스템의 무단 접근 및 시스템 장애를 유발
○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등
○ 판단기준
- 양호 : world writable 파일이 존재하지 않거나, 존재 시 설정 이유를 확인하고 있는 경우
- 취약 : world writable 파일이 존재하나 해당 설정 이유를 확인하고 있지 않는 경우
■ 점검방법
○ SOLARIS, LINUX, AIX, HP-UX
world writable 파일 존재 여부 확인
#find / -type f -perm -2 -exec Is -1 { } \;
※ “world writable” 파일 존재 시 사용 목적을 확실히 알고 불필요 시 삭제, 필요 시 조치방안에 따라 설정을 변경한다.
■ 조치방안
○ SOLARIS, LINUX, AIX, HP-UX
1. 일반 사용자 쓰기 권한 제거 방법
#chmod o-w <file name>
2. 파일 삭제 방법
#chmod o-w <file name> #rm –rf <world-writable 파일명>
■ 조치 시 영향
일반적인 경우 무관
■ world writable 파일
○ 파일의 내용을 소유자나 그룹 외 모든 사용자에 대해 쓰기가 허용된 파일
'취약점 진단 가이드 > UNIX 서버 진단 가이드' 카테고리의 다른 글
| U-28(상) $HOME/.rhosts, hosts.equiv 사용 금지 (0) | 2021.01.14 |
|---|---|
| U-27(상) /dev에 존재하지 않는 device 파일 점검 (0) | 2021.01.13 |
| U-25(상) 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 (0) | 2021.01.12 |
| U-24(상) SUID, SGID, Sticky bit 설정 및 권한 설정 (0) | 2021.01.12 |
| U-23(상) /etc/seivces 파일 소유자 및 권한 설정 (0) | 2021.01.11 |