Security/KISA 주요정보통신기반시설 기술적 취약점 진단 가이드

[주요정보통신기반시설 취약점 진단] U-04(상) 패스워드 파일 보호

학슈퍼맨 2024. 6. 5. 19:23

Unix 서버 취약 분석·평가 항목

1. 계정 관리(U-01 ~ U-04, U-44 ~ U-54 -> 15개)
2. 파일 및 디렉터리 관리(U-05 ~ U-18, U-55 ~ U-59 -> 19개)
3. 서비스 관리(U-19 ~ U-41, U-60 ~ U-71 -> 35개)
4. 패치 관리(U-42 -> 1개)
5. 로그 관리(U-43, U-72 -> 2개)


1. 취약점 개요

1) 점검 내용

  • 시스템의 사용자 계정(root, 일반계정) 정보가 저장된 파일(ex. /etc/passwd, /etc/shadow)에 사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검

2) 점검 목적

  • 일부 오래된 시스템의 경우 /etc/passwd 파일에 패스워드가 평문으로 저장되므로 사용자 계정 패스워드가 암호화 되어 저장되어 있는지 점검하여 비인가자의 패스워드 파일 접근 시에도 사용자 계정 패스워드가 안전하게 관리되고 있는지 확인하기 위함

3) 보안 위협

  • 사용자 계정 패스워드가 저장된 파일이 유출 또는 탈취 시 평문으로 저장된 패스워드 정보가 노출될 수 있음

4) 참고

  • 관련 점검 항목 : U-07(상), U-08(상)

 

2. 점검 대상 및 판단 기준

1) 대상

  • Solaris, Linux, AIX, HP-UX 등

2) 판단 기준

  • 양호 : 쉐도우 패스워드를 사용하거나, 패스워드를 암호화하여 저장하는 경우
  • 취약 : 쉐도우 패스워드를 사용하지 않고, 패스워드를 암호화하여 저장하지 않는 경우

3) 조치 방법

  • 패스워드 암호화 저장·관리 설정 적용

 

3. 점검 및 조치 사례

1) OS 별 점검 파일 위치

Solaris, Linux Step 1) /shadow 파일의 패스워드 암호화 존재 확인
(일반적으로 /etc 디렉터리 내 존재)
#ls /etc/

Step 2) /etc/passwd 파일 내 두 번째 필드가 "x" 표시되는지 확인
#cat /etc/passwd
root:x:0:0:root:/root:/bin/bash
HP-UX /etc/security/passwd 파일 내 설정된 패스워드 점검

-> 위의 제시한 설정이 적용되지 않은 경우 아래의 보안 설정 방법에 따라 설정을 변경함

 

2) Solaris, Linux

Step 1) #pwconv (-> 쉐도우 패스워드 정책 적용 방법)

Step 2) #pwunconv (-> 일반 패스워드 정책 적용 방법)

 

3) AIX

Step 1) #cat /etc/security/passwd

Step 2) 패스워드 암호화 여부 확인

※ AIX 서버는 기본적으로 "/etc/security/passwd" 파일에 패스워드를 암호화하여 저장·관리

 

4) HP-UX

HP-UX 서버는 Trusted Mode로 전환할 경우 패스워드를 암호화하여 "/tcb/files/auth" 디렉터리에 계정 이니셜과 계정 이름에 따라 파일로 저장·관리할 수 있으므로 Trusted Mode인지 확인 후 UnTrusted Mode인 경우 모드를 전환함

Step 1) Trusted Mode 전환 방법: root 계정으로 로그인한 후 아래 명령 수행

#/etc/tsconvert

 

Step 2) UnTrusted Mode 전환 방법 : root 계정으로 로그인한 후 아래 명령 수행

#/etc/tsconvert -r2

 

4. 조치 시 영향

  • HP-UX의 경우 Trusted Mode로 전환 시 파일시스템 구조가 변경되어 운영 중인 서비스에 문제가 발생할 수 있으므로 충분한 테스트를 거친 후 Trusted Mode로의 전환 필요