728x90
반응형
2. 파일시스템
09. 사용자 UMASK(User Mask) 설정
가. 상세 설명
SUID(Set User-ID)와 SGID(Set Group-ID)가 설정된 파일의 경우, 특히 root 소유의 파일인 경우, Bufferoverflow 공격과 Local 공격에 많이 사용되는 매우 보안상 관리가 필요한 파일들로 이들 파일들의 주기적인 관리가 필요하다. 보안에 취약한 root 소유의 setuid 파일들의 경우에는 꼭 필요한 파일을 제외하고는 그 외 setuid, setgid 파일에 대하여 setuid, setgid 속성을 제거해주고, 잘못 설정되어 보안 위협이 되고 있는지 주기적인 점검 및 관리가 요구된다.
나. 진단기준
양호 : 불필요한 SUID, SGID가 설정되어 있지 않은 경우
취약 : 불필요한 SUID, SGID가 설정되어 있는 경우
다. 진단방법
<XenServer>
■ SUID, SGID
# find / -user root -type f \(-perm -400 -o -perm –2000 \) -exec Is -Ig {} \;
불필요한 Setuid, Setgid 목록
| XenServer | ||
| /sbin/dump | /usr/bin/lpd-lpd | /usr/bin/newgrp |
| /sbin/restore | /usr/bin/lpr | /usr/sbin/lpc |
| /sbin/Linux_chkpwd | /usr/bin/lpr-lpd | /usr/sbin/lpc-lpd |
| /usr/bin/at | /usr/bin/lprm | /usr/sbin/traceroute |
| /usr/bin/lpd | /usr/bin/lpm-lpd | - |
라. 조치방안
<XenServer>
■ 불필요한 SUID, SGID 제거
# chmod –s [파일명]
728x90
반응형
'보안 공부 > 클라우드 보안' 카테고리의 다른 글
| [클라우드 취약점 진단-XenServer] 11. Crontab 파일 권한 설정 및 관리 (0) | 2022.03.27 |
|---|---|
| [클라우드 취약점 진단-XenServer] 10. xsconsole 파일 권한 설정 (0) | 2022.03.26 |
| [클라우드 취약점 진단-XenServer] 08. 사용자 UMASK(User Mask) 설정 (0) | 2022.03.24 |
| [클라우드 취약점 진단-XenServer] 07. SU(select user)사용 제한제한 (0) | 2022.03.23 |
| [클라우드 취약점 진단-XenServer] 06. 로그인이 불필요한 계정 shell 제한 (0) | 2022.03.22 |