Security/KISA 주요정보통신기반시설 기술적 취약점 진단 가이드

[주요정보통신기반시설 취약점 진단] U-06(상) 파일 및 디렉터리 소유자 설정

학슈퍼맨 2024. 6. 6. 20:51

Unix 서버 취약 분석·평가 항목


1. 계정 관리(U-01 ~ U-04, U-44 ~ U-54 -> 15개)
2. 파일 및 디렉터리 관리(U-05 ~ U-18, U-55 ~ U-59 -> 19개)
3. 서비스 관리(U-19 ~ U-41, U-60 ~ U-71 -> 35개)
4. 패치 관리(U-42 -> 1개)
5. 로그 관리(U-43, U-72 -> 2개)

 


 

1. 취약점 개요

1) 점검 내용

  • 소유자 불분명한 파일이나 디렉터리가 존재하는지 여부를 점검

2) 점검 목적

  • 소유자가 존재하지 않는 파일 및 디렉터리를 삭제 및 관리하여 임의의 사용자가 해당 파일을 열람, 수정하는 행위를 사전에 차단하기 위함

3) 보안 위협

  • 소유자가 존재하지 않는 파일의 UID와 동일한 값으로 특정 계정의 UID 값을 변경하면 해당 파일의 소유자가 되어 모든 작업이 가능함

 

2. 점검 대상 및 판단 기준

1) 대상

  • Solaris, Linux, AIX, HP-UX 등

2) 판단 기준

  • 양호 : 소유자가 존재하지 않는 파일 및 디렉터리가 존재하지 않는 경우
  • 취약 : 소유자가 존재하지 않는 파일 및 디렉터리가 존재하는 경우

3) 조치 방법

  • 소유자가 존재하지 않는 파일 및 디렉터리 삭제 또는 소유자 변경

 

3. 점검 및 조치 사례

1) OS 별 점검 파일 위치

Solaris, AIX 소유자가 nouser, nogroup인 파일이나 디렉터리 검색
#find / -nouser -o nogroup -xdev -ls 2 > /dev/null
HP-UX #find / \( -nouser -o -nogroup \) -xdev -exec ls -al {} \; 2> /dev/null
Linux #find / -nouser -print
#find / -nogroup -print

-> 소유자 또는 그룹이 없는 파일은 파일 속성 해당 필드에 숫자로 표시됨 (ex. rwxr-xr-x 500 500 test.txt)

-> 소유자가 nouser, nogroup인 파일이나 디렉터리 존재하는 경우 아래의 보안 설정 방법에 따라 디렉터리 및 파일 삭제 또는 소유자 및 그룹을 변경함

 

2) Solaris, Linux, AIX, HP-UX

Step 1) 소유자가 존재하지 않는 파일이나 디렉터리가 불필요한 경우 rm 명령으로 삭제

#rm <file_name>

#rm <directory_name>

 

Step 2) 필요한 경우 chown 명령으로 소유자 및 그룹 변경

#chown <user_name> <file_name>

 

4. 조치 시 영향

  • 일반적인 경우 영향 없음