주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Unix 점검 항목
■ 취약점 개요
○ 점검개요 : 심볼릭 링크, aliases 사용 제한 여부 점검
○ 점검목적 : 무분별한 심볼릭 링크, aliases 사용제한으로 시스템 권한의 탈취 방지
○ 보안위협 : 시스템 자체의 root 디렉터리(/)에 링크를 걸게 되면 웹 서버 구동 사용자 권한(nobody)으로 모든 파일 시스템의 파일에 접근할 수 있게 되어 “/etc/passwd” 파일과 같은 민감한 파일을 누구나 열람 가능성 존재
○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등
○ 판단기준
- 양호 : 심볼릭 링크, aliases 사용을 제한한 경우
- 취약 : 심볼릭 링크, aliases 사용을 제한하지 않은 경우
■ 점검방법
○ LINUX, AIX, HP-UX, SOLARIS
Options 지시자 FollowSymLinks 옵션 제거 여부 확인
#vi /[Apache home]/conf/httpd.conf
Options Indexes FollowSymLinks
※ 위에 제시한 옵션이 적용되어 있는 경우 조치방안에 따라 옵션을 제거한다.
■ 조치방안
○ LINUX, AIX, HP-UX, SOLARIS
1. vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일 열기
#vi /[Apache home]/conf/httpd.conf
2. 설정된 모든 디렉터리의 Options 지시자에서 FollowSymLinks 옵션 제거
(수정 전)Options 지시자에 FollowSymLinks 옵션이 설정
<Directory />
Options Indexes FollowsymLinks
AllowOverride None
Order allow, deny
Allow from all
</Directory>
(수정 후)Options 지시자에 None 변경 후 저장
<Directory />
Options None
AllowOverride None
Order allow, deny
Allow from all
</Directory>
■ 조치 시 영향
일반적인 경우 무관
■ 심볼릭 링크(Symbolic link, 소프트 링크)
○ 윈도우 운영체제의 바로가기 아이콘과 유사하며 링크 생성 시 파일 내용은 존재하지 않으나 사용자가 파일을 요청하면 링크가 가리키고 있는 원본 데이터에서 데이터를 가져와서 전달
○ 직접 원본을 가리키지 않고 원본 데이터를 가리키는 포인터를 참조함으로써 원본데이터가 삭제, 이동, 수정이 되면 사용 불가
'취약점 진단 가이드 > UNIX 서버 진단 가이드' 카테고리의 다른 글
| U-58(상) Apache 웹 서비스 영역의 분리 (0) | 2021.02.01 |
|---|---|
| U-57(상) Apache 파일 업로드 및 다운로드 제한 (0) | 2021.02.01 |
| U-55(상) Apache 불필요한 파일 제거 (0) | 2021.01.30 |
| U-54(상) Apache 상위 디렉토리 접근 금지 (0) | 2021.01.29 |
| U-53(상) Apache 웹 프로세스 권한 제한 (0) | 2021.01.29 |