Monble_정보보안

■ 리눅스 보안 파일 및 디렉터리 관리- 숨겨진 파일 및 디렉터리 검색 및 제거

■ 대상 리눅스

■ 취약점 개요

불법적으로 생성되었거나 숨겨진 의심스러운 파일로부터 침입자는 정보 습득이 가능하며, 파일을 임의로 변경할수 있음

.으로 시작하는 숨겨진 파일 존재 여부 확인 후 불법적이거나 의심스러운 파일을 삭제함

■ 보안대책

양호: 디렉터리 내 숨겨진 파일을 확인하여, 불필요한 파일 삭제를 완료한 경우

취약: 디렉터리 내 숨겨진 파일을 확인하지 않고, 불필요한 파일을 방치한 경우

■ 조치방법

ls -al 명령어로 숨겨진 파일 존재 파악 후 불법적이거나 의심스러운 파일을 삭제함

■ 보안설정방법

OS별 점검 파일 위치 및 점검 방법

리눅스 특별 디렉터리 내 불필요한 파일 점검

특정 디렉터리 내 숨겨진 파일을 확인한 후 불필요한 경우 파일 삭제를 권고함

■ 리눅스

1. 숨겨진 파일 목록에서 불필요한 파일 삭제

2. 마지막으로 변경된 시간에 따라, 최근 작업한 파일 확인 시 -t 플래그 사용

■ 대상: 리눅스

■ 취약점 개요

사용자 홈 디렉터리는 사용자가 로그인한 후 작업을 수행하는 디렉터리임

로그인 후 사요자 홈 디렉터리에 존재하는 사용자 환경 설정파일에 의해 사용자 환경이 구성되며 홈 디렉터리의 부재로 인한 다음의 보안상 문제가 발생될 수 있음

1. 홈 디렉터리가 존재하지 않는 경우

root 계정이 아닌 일반 사용자의 홈 디렉터리가 /로 되어 있을 경우 로그인 시 사용자 현재 디렉터리가 /로 로그인 되므로 관리, 보안상 문제가 발생

2. 홈디렉터리 내에 숨겨진 디렉터리가 존재하는 경우

정당하지 못한 사용자가 숨겨진 파일을 숨길 목적으로 만들어 놓은 것일 수 있음

3. 홈 디렉터리 내에 시스템 명령의 이름을 가진 불법적인 실행파일이 존재하는 경우

상대경로와 시스템 명령을 입력하여 불법적인 파일이 실행되게 함

■ 보안대책

양호: 홈 디렉터리가 존재하지 않는 계정이 발견되지 않는 경우

취약: 홈 디렉터리가 존재하지 않는 계정이 발견된 경우

■ 조치방법

홈 디렉터리가 존재하지 않는 계정에 홈 디렉터리 설정 또는, 계정 삭제

■ 보안설정 방법

OS 별 점검 파일 위치 및 점검 방법

리눅스 사요자 계정 별 홈 디렉터리 지정 여부 확인

/etc/passwd 파일 내 존재하는 모든 사용자 계정이 적절한 홈 디렉터리를 갖는지 확인한 후 홈 디렉터리가 존재하지 않는 계정이 발견된 경우 아래의 보안설정 방법에 따라 적용

리눅스

1. 홈디렉터리가 없는 사용자 계정 삭제

2. 홈 디렉터리가 없는 사용자 계정에 홈 디렉터리 지정

■ 대상: 리눅스

■ 취약점 개요: 사용자 홈 디렉터리 내 설정파일이 비인가자에 의해 변조되면 정상적인 사용자 서비스가 제한됨 해당 홈 디렉터리의 소유자외 일반 사용자들이 해당 홈 디렉터리를 수정할 수 없도록 제한하고 있는지 점검하여 정상적인 사용자 환경 구성 및 서비스 제공 유무를 확인함

■ 보안대책

양호: 홈 디렉터리 소유자가 해당 계정이고, 일반 사용자 쓰기 권한이 제거된 경우

취약: 홈 디렉터리 소유자가 해당 계정이 아니고, 일반 사용자 쓰기 권한이 부여된 경우

■ 조치방법

사용자별 홈 디렉터리 소유주를 해당 계정으로 변경하고, ,타사용자의 쓰기 권한 제거 (/etc/passwd 파일에서 홈 디렉터리 확인, 진단 보고서에서 조치할 홈 디렉터리 (확인)

■ 보안설정 방법

OS별 점검, 파일 위치 및 점검 방법

리눅스 cat/etc/passwd

ls -als<user-home-directory>

/etc/passwd 파일 내 존재하는 모든 사용자 계정에 적절한 홈 디렉터리를 갖는지 확인함

홈 디렉터리 소유자가 해당 계정이 아니거나, 부적절한 권한 설정이 적용된 경우 아래의 보안설정방법에 따라 적용

■ 리눅스

/etc/passwd 파일의 소유자 및 권한 변경

chown <user_name> <user_home_directory>

chmod o-w <user_home_directory>

■ 대상: 리눅스

■ 취약점 개요: 시스템에서 사용자가 새로 생성하는 파일의 접근권한은 "UMASK" 값에 따라 정해짐

                 현재 설정된 UMASK는 명령 프롬프트에서 "UMASK"를 수행하여 확인할 수 있으며  

                 UMASK 값이 027 또는 022이기를 권장함

UMASK 값은 잘못된 권한의 파일을 생성시킴

UMASK 파일 및 디렉터리 생성 시 기본 퍼미션을 지정해 주는 명령어를 말함

■ 보안대책

양호: UMASK 값이 022 이하로 설정된 경우

취약: UMASK 값이 022 이하로 설정되지 않는 경우

■ 조치방법

설정파일에 UMASK 값을 022로 설정

■ 보안설정 방법

OS 별 점검 파일 위치 및 점검 방법

vi /etc/profile

umask=022

위에 제시한 umask 값이 해당 파알에 적용되지 않은 경우 아래의 보안설정 방법에 따라 적용

■ 리눅스

vi 편집기를 이용해 /etc/profile 파일을 연후

아래와 같이 수정 또는 신규 삽입

umask 022

export umask