728x90
반응형
1. 계정관리
06. 로그인이 불필요한 계정 shell 제한
가. 상세 설명
접근이 거의 필요하지 않은 사용자들에게는 쉘을 제한함으로써 비인가적인 시스템 사용을 방지하여 침해의 가능성을 줄일 수 있다.
나. 진단기준
양호 : 시스템 계정 중 로그인이 불필요한 계정에 대해 shell이 제한되어 있는 경우
취약 : 시스템 계정 중 로그인이 불필요한 계정에 대해 shell이 제한되어 있지 않은 경우
다. 진단방법
<XenServer>
■ /etc/passwd 파일의 계정 별 shell 확인
# cat /etc/passwd
(예시) nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
※ 실행 쉘이 불필요한 계정 및 로그인이 필요하지 않은 계정에 nologin shell 부여 (daemon, bin, sys, listen, adm, nobody, nobody4, noaccess, diag, operator, games, gopher 등 일반적으로 UID100 이하 60000 이상의 시스템 계정들)
라. 조치방안
<XenServer>
■ 로그인이 필요 없는 계정의 shell 설정 변경
1) # vi /etc/passwd를 실행하여 아래와 같은 설정으로 변경 (단위:주)
예) deamon 계정이 로그인하지 못하도록 설정
# vi /etc/passwd
deamon:x:1:1::/:/sbin/ksh (수정 전)
deamon:x:1:1::/:/sbin/false (수정 후)
728x90
반응형
'보안 공부 > 클라우드 보안' 카테고리의 다른 글
| [클라우드 취약점 진단-XenServer] 08. 사용자 UMASK(User Mask) 설정 (0) | 2022.03.24 |
|---|---|
| [클라우드 취약점 진단-XenServer] 07. SU(select user)사용 제한제한 (0) | 2022.03.23 |
| [클라우드 취약점 진단-XenServer] 05. 패스워드 사용규칙 적용 (0) | 2022.03.21 |
| [클라우드 취약점 진단-XenServer] 04. group 파일 권한 설정 (0) | 2022.03.18 |
| [클라우드 취약점 진단-XenServer] 03. passwd 파일 권한 설정 (0) | 2022.03.17 |