[ 클라우드 ] CSAP -CCE 취약점 가이드--( XE-07. SU(Select User)사용 제한 )

 

 

진단항목

 

 XE-07. SU(Select User)사용 제한 

 

 

 

 

 

 

 

 

 

 

 

 

 

취약도 

 

중

 

 

 

 

 

 

 

 

 

 

 

 

항목설명 

 

권한이 없는 일반 사용자가 su 명령을 사용한 Password Guessing을 통해 root 권한을 획득할 수 있다. 

 

 

 

 

 

 

 

 

 

 

 

 

 

진단기준

 

양호

/etc/pam.d/su 파일에 auth required pam_wheel.so use_uid 라인에 주석(#)이 없고 /etc/group 파일의 wheel 그룹에 계정이 제한되어 있는 경우

 

취약
/etc/pam.d/su 파일에 auth required pam_wheel.so use_uid 라인에 주석(#)이 없고 /etc/group 파일의 wheel 그룹에 계정이 제한되어 있지 않은 경우

 

 

PAM(Pluggable Authentication Modules)은 다양한 인증 방법을 통합하여 사용자 인증을 수행하는 모듈식 인증 시스템이며 /etc/pam.d/su 파일은 su 명령에 대한 PAM 모듈을 정의하고, 각 모듈의 옵션을 설정한다.

 

 

 

 

 

 

 

 

 

 

 

진단방법

 

<XenServer>
▪ /etc/pam.d/su에서 주석 여부 확인
 # cat /etc/pam.d/su | grep –v ‘trust’ | grep ‘pam_wheel.so’ | grep ‘use_uid’   

( pam_wheel.so: 사용자 그룹을 기반으로 인증을 수행하는 모듈)

 

 

 

 

 

 

 

 

 

 

 

 

조치방법

 

<XenServer>
▪ SU 사용 제한 설정
1) /etc/pam.d/su 파일을 아래와 같이 설정. 

auto sufficient /lib/security/pam_rootok.so

( auto sufficient /lib/security/pam_rootok.so는 root 계정이 su 명령을 사용하여 다른 사용자로 전환할 수 있도록 허용하는 설정)

** sufficient는 해당 모듈이 성공하면 인증이 완료된다는 의미

** auto는 해당 모듈이 자동으로 로드된다는 의미

 

auto required /lib/security/pam_wheel.so use_uid

( auto required /lib/security/pam_wheel.so use_uid는 wheel 그룹에 속한 사용자만 su 명령을 사용하여 root 계정으로 전환할 수 있도록 허용하는 설정 )

** required는 해당 모듈이 성공해야 인증이 완료된다는 의미

 

 

 

-------> root 계정은 su 명령을 사용하여 다른 사용자로 전환할 수 있고, wheel 그룹에 속한 사용자만 su 명령을 사용하여 root 계정으로 전환할 수 있으며, 이 사용자들은 자신의 UID를 유지하면서 root 계정으로 전환할 수 있음을 의미

 

2) wheel group 생성
 # groupadd wheel

3) /etc/group 파일에서 wheel 그룹에 su 명령어를 사용할 사용자를 추가
 # usermod –G wheel username

( 리눅스 시스템에서 username 사용자를 wheel 그룹에 추가하는 명령이며 G 옵션은 보조 그룹을 추가하는 데 사용된다)

--> 따라서 usermod -G wheel username 명령을 실행하면 username 사용자는 su 명령을 사용하여 root 계정으로 전환할 수 있다.

 

 

 

 

 

 

 

 

 

 

 

---