U-64(중) at 파일 소유자 및 권한 설정

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 Unix 점검 항목

■ 취약점 개요

○ 점검개요 : 관리자(root)만 at.allow파일과 at.deny파일을 제어할 수 있는지 점검

○ 점검목적 : at 명령어 사용자 제한은 atallow 파일과 at.deny 파일에서 할 수 있으므로 보안상 해당 파일에 대한 접근제한이 필요

○ 보안위협 : 해당 파일에 대한 권한 관리가 이루어지지 않을 시 공격자가 권한을 획득한 사용자 계정을 등록하여 불법적인 예약 파일 실행으로 시스템 피해가 발생 가능

○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등

○ 판단기준

- 양호 : at 접근제어 파일의 소유자가 root이고, 권한이 640 이하인 경우

- 취약 : at 접근제어 파일의 소유자가 root가 아니거나, 권한이 640 이하가 아닌 경우

 

■ 점검방법

○ OS별 점검 파일 위치 및 점검 방법

SOLARIS	“/etc/cron.d/at.allow”, “/etc/cron.d/at.deny” 파일의 소유자 및 권한 확인 #ls -l /etc/cron.d/at.allow #ls -l /etc/cron.d/at.deny rw-r----- root <파일명>
LINUX	“/etc/at.allow”, “/etc/at.deny” 파일의 소유자 및 권한 확인 #ls -l /etc/at.allow #ls -l /etc/at.deny rw-r----- root <파일명>
AIX, HP-UX	“/var/adm/cron/at.allow”, “/var/adm/cron/at.deny” 파일의 소유자 및 권한 확인 #ls -l /var/adm/cron/at.allow #ls -l /var/adm/cron/at.deny rw-r----- root <파일명>

※ 위에 제시한 파일의 소유자가 root가 아니거나 파일의 권한이 640 이하가 아닌 경우 조치방안에 따라 설정을 변경한다.

 

■ 조치방안

○ SOLARIS

Step 1

“/etc/cron.d/at.allow” 및 “/etc/cron.d/at.deny” 파일의 소유자 및 권한 변경 #chown root /etc/cron.d/at.allow #chmod 640 /etc/cron.d/at.allow #chown root /etc/cron.d/at.deny #chmod 640 /etc/cron.d/at.deny

○ LINUX

Step 1

“/etc/at.allow” 및 “/etc/at.deny” 파일의 소유자 및 권한 변경 #chown root /etc/at.allow #chmod 640 /etc/at.allow #chown root /etc/at.deny #chmod 640 /etc/at.deny

○ AIX, HP-UX

Step 1

“/var/adm/cron/at.allow” 및 “/var/adm/cron/at.deny” 파일의 소유자 및 권한 변경 #chown root /var/adm/cron/at.allow #chmod 640 /var/adm/cron/at.allow #chown root /var/adm/cron/at.deny #chmod 640 /var/adm/cron/at.deny

 

■ 조치 시 영향

일반적으로 무관

 

■ at 데몬(일회성 작업 예약)

○ 지정한 시간에 어떠한 작업이 실행될 수 있도록 작업 스케줄을 예약 처리해 주는 기능을 제공

○ /etc/atallow 파일에 등록된 사용자만이 at 명령을 사용 가능

 

■ 기반시설 시스템에서 at 데몬의 이용

○ 기반시설 시스템에서 at 데몬의 이용은 원칙적으로 금지하나, 부득이 해당 기능을 활용해야 하는 경우 소유자 및 권한 설정 등의 보안 조치를 반드시 적용