[정보보안 정리] 시스템 - UNIX/Linux 서버 취약점

*root 이외의 UID가 0 금지

- #cat /etc/passwd 를 통해 root의 UID를 가진 계정 존재 확인

SOLARIS, Linux, HP-UX	usermod 명령. UID가 0인 일반 계정 UID 변경 (SOLARIS, HP-UX는 100 이상/Linux는 500이상) ex) usermod -u 1234 test
AIX	chuser 명령. UID가 0인 일반 계정 UID 100 이상으로 설정 ex) chuser id=1234 test

 

---

 

*패스워드 복잡성

: 사용자 계정 암호를 유추하기 쉽게 설정할 경우, 비인가자의 시스템 접근 허용

 

-부적절한 패스워드

(1) 사전에 나오는 단어 or 이 조합

(2) 길이가 너무 짧거나 공백

(3) 키보드 자판의 일련순

(4) 사용자 계정 정보에서 유추 가능한 단어 (ex. 이름, 지역 등)

 

-패스워드 관리

(1) 영문, 숫자, 특수문자 조합, 계정명과 상이한 8자 이상 패스워드 설정

(2) 문자 2종류 이상 조합하여 최소 10자리 이상 / 3종류 이상 조합하여 최소 8자리 이상

• 영문 대문자
• 영문 소문자
• 숫자
• 특수문자

(3) 시스템마다 상이한 패스워드 사용, 패스워드 기록시 변형하여 기록

(4) 자주 패스워드 변경

 

---

 

*패스워드 최소 길이 설정

: Brute Force Attack 이나 패스워드 추측 공격 피하기 위해 패스워드 최소 길이 설정

SOLARIS	#cat /etc/default/passwd PASSLENGTH=8
Linux	#cat /etc/login.defs PASS_MIN_LEN 8
AIX	#cat /etc/security/user minlen=8
HP-UX	#cat /etc/default/security MIN_PASSWORD_LENGTH=8

 

---

 

*패스워드 최대 사용기간 설정

: 일정 기간 경과 후에도 유출된 패스워드로 접속이 가능하므로 주기적으로 변경

SOLARIS	#cat /etc/default/passwd MAXWEEKS=12
Linux	#cat /etc/login.defs PASS_MAX_DAYS 90
AIX	#cat /etc/security/user maxage=12
HP-UX	#cat /etc/default/security PASSWORD_MAXDAYS=90

 

---

 

*패스워드 최소 사용기간

: 사용자에게 익숙한 패스워드로 변경하여, 패스워드의 정기적인 변경이 무의미

SOLARIS	#cat /etc/default/passwd MINWEEKS=1
Linux	#cat /etc/login.defs PASS_MIN_DAYS 1
AIX	#cat /etc/security/user minage=1
HP-UX	#cat /etc/default/security PASSWORD_MINDAYS=1

 

---

 

*패스워드 파일 보호

: 패스워드 평문 저장시 정보 유출 발생할 수 있으므로 암호화하여 보호

SOLARIS, Liunx	1. /etc/shadow 파일 존재 확인 2. /etc/passwd 두번째 필드가 "x" 표시인지 확인 #cat /etc/passwd root:x:0:0:root:/root:/bin/bash
AIX	기본적으로 "/etc/security/passwd" 파일에 패스워드 암호화 저장
HP-UX	1. /tcb 디렉터리 존재 확인 2. /etc/passwd 두번째 필드가 "x" 표시인지 확인

 

---

 

*Session Timeout 설정

: 일정 시간 이후 어떠한 이벤트가 발생하지 않으면 연결을 종료

 

SOLARIS, Linux, AIX, HP-UX

<sh, ksh, bash 사용> #cat /etc/profile(.profile) TMOUT=600 export TMOUT <csh 사용> #cat /etc/csh.login 또는 cat /etc/csh.cshrc set autologout=10

 

---

 

*root 홈, 패스 디렉터리 권한 및 패스 설정

: root 계정의 PATH 환경변수에 "." (현재 디렉터리) 포함시, root 계정으로 접속한 관리자가

의도하지 않은 현재 디렉터리에 위치하고 있는 명령어가 실행될 수 있음.

 

-"." 이 /usr/bin, /bin, /sbin 등의 명령어들이 위치하고있는 디렉터리보다 우선시하여 위치시, root 계정

접속 관리자가 특정 명령어를 실행하면, 불법적으로 현재 디렉터리에 위치한 파일을 실행가능

 

-PATH 환경변수에 "."이 맨 앞 또는 중간 위치시 마지막으로 이동 or 불필요시 삭제

 

/bin/sh	/etc/profile, $HOME/.profile
/bin/bash	/etc/profile, $HOME/.bash_profile
/bin/ksh	/etc/profile, $HOME/.profile, $HOME/kshrc
/bin/csh	/etc/.login, $HOME/.cshrc, $HOME/.login

 

---

 

*파일 및 디렉터리 소유자/소유그룹 설정

: 시스템 자원 낭비가 될 수 있고, 중요 파일 및 디렉터리 일 경우 관리 되지 않는 문제 발생

-chown, chgrp 명령을 통해 소유자/소유그룹을 변경

 

---

 

*world writable 파일 점검

: 모든 사용자에게 쓰기 권한이 부여되어 있는 파일을 뜻하는데, 이 파일은 악의적으로 주요 파일 정보를 변경 가능

-모든 사용자에게 쓰기 권한을 제거하거나 불필요한 파일/디렉터리일 경우 삭제

 

---

 

*주요 파일 소유자 및 권한

- /etc/passwd : 사용자 정보. root 소유 644 이하 권한

- /etc/shadow : 사용자의 암호화된 패스워드 정보. root 소유 400 이하 권한

- /etc/hosts : IP와 호스트 이름 맵핑에 사용. root 소유 600 이하 권한

- /etc/(x)inetd.conf : inetd 데몬 설정파일. root 소유 600 이하 권한

- /etc/syslog.conf : syslogd 데몬 설정파일. root 소유 644 이하 권한

- /etc/services : 서비스 관리 정보. root 소유 644 이하 권한