■ 대상: 리눅스
■ 위험도: 상
■ Code: U-25
■ 취약점 개요: 환경변수 파일의 접근권한 설정이 잘못되어 있을 경우 비인가자가 다양한 방법으로 사용자 환경을 변경하여 침해사고를 일으킬 수 있으므로 홈 디렉터리 내의 환경변수 파일에 대한 접근 권한(읽기/쓰기/실행)의 적정성을 점검함
■ 판단기준
양호: 홈 디렉터리 환경변수 파일 소유자가 root 또는, 해당 계정으로 지정되어 있고, 홈 디렉터리 환경변수 파일에 root와 소유자만 쓰기 권한 부여된 경우
취약: 홈 디렉터리 환경변수 파일 소유자가 root 또는, 해당 계정으로 지정되지 않고, 홈 디렉터리 환경변수 파일에 root와 소유자
외에 쓰기 권한이 부여된 경우
조치방법: 환경변수 파일의 권한 중 타 사용즈 쓰기 권한 제거
(".profile", ".kshrc", ".cshrc", ".bashrc", ".bash_profile", ".login", ".exrc", ".netrc" 등)
취약점 개요 설명
환경변수 파일의 접근권한 설정이 잘못되어 있을 경우 비인가자가 다양한 방법으로 사용자 환경을 변경하여 침해사고를 일으킬 수
있으므로 홈 디렉터리 내의 환경변수 파일에 대한 접근 권한(읽기/쓰기/실행)의 적정성을 점검하여야 합니다.
보안대책
환경변수 파일의 권한 중 타 사용자 쓰기 권한 제거
★★각 환경변수 파일별 역할
/etc/profile
시스템 전역 초기화 파일, 로그인 쉘에서 실행됩니다. /etc/bashrc와 함께 시스템의 일반적인 설정을 하지만,, bashrc 파일보다는
/etc/profile이 조금 더 일반적으로 사용되는 설정 파일입니다.
/etc/bashrc
시스템 전반에 있어서 시스템 전체 환경과 시스템을 부팅할때의 시작 프로그램들에 대한 설정, 로그인 셋업 기능들과 allas들에
대해 정의하는 곳입니다.
/etc/profie.d/*.sh
시스템의 내부의 각각의 설정을 sh라는 확장자를 가진 파일로 설정합니다.
.bash_profile
각 사용자의 홈디렉터리에 존재하는 파일로, 사용자의 로그인 과정에서 /etc/profile 다음에 읽혀져 개별적으로 적용되는 쉘
환경 설정 파일입니다. 터미널 설정과 환경변수, 초기에 실행할 프로그램과 같은 항목들이 설정되고, 이 항목들은 사용자가
연결 중에 변경하지 않는 한 연결이 끊어질 때 까지 유지됩니다.
.bashrc
■ 사용자가 정의한 변수, alias, function 등과 같은 사용의 용이성을 위해 필요한 항목들이 있는 파일입니다. 따라서, bash_profile은 처음 로그인시에만 실행되는 것과 달리 .bashrc 파일은 쉘이 실행될 대마다 실행됩니다.
/etc/bashrc이 있는 경우에 이 파일을 불러들여서 개별 사용자가에게 적용합니다.
.bash_logout
■ 사용자가 로그아웃 할 때 실행할 것들에 대해 정의하는 파일입니다.
이 파일에는 기본적으로 clear명령어가 있지만, 로그아웃 시에 주의해야 할 사항 또는 로그아웃 시에 특별히 실행되어야 할
명령어들을 설정 할 수 있습니다.
'23.12.24 삭제예정 > Unix 서버 취약점 점검' 카테고리의 다른 글
| ■ 리눅스 서버 점검 가이드 2-12 /dev에 존재하지 않는 device 파일 점검 (0) | 2017.07.04 |
|---|---|
| ■ 리눅스 서버 점검 가이드 2-11 world writable 파일점검 (0) | 2017.07.03 |
| ■ 리눅스 서버 점검 가이드 2-9 SUID, SGID, Sticky bit 설정 파일 점검 (0) | 2017.06.30 |
| ■ 리눅스 서버 점검 가이드 2-2 파일 및 디렉터리 관리 (0) | 2017.06.30 |
| ■ 리눅스 서버 점검 가이드 2-1 root 홈, 패스 디렉터리 권한 및 패스 설정 (0) | 2017.06.30 |