[ 클라우드 ] CSAP -CCE 취약점 가이드--( XE-16. 주요 디렉터리 파일 권한 설정 )

 

 

 

 

진단항목 

 

XE-16. 주요 디렉터리 파일 권한 설정 

 

 

 

 

 

취약도 

 

중

 

 

 

 

 

 

항목설명

 

주요 디렉터리의 파일 권한이 적절히 설정되어 있는지 점검한다. 주요 디렉터리 접근권한 설정이 잘못되어 있을 경우 비인가자가 다양한 방법으로 사용자 환경을 변경하여 침해사고를 일으킬 수 있다. 

 

 

 

 

 

 

진단기준

 

양호 

디렉터리의 권한을 root(또는 bin) 소유의 타 사용자의 쓰기권한이 없는 경우

 

취약 

디렉터리의 권한을 root(또는 bin) 소유의 타 사용자의 쓰기권한이 있는 경우

 

 

 

 

 

진단방법

 

<XenServer>
▪ 주요 디렉터리의 권한 확인
 # ls –ldb /usr/bin/xsconsole /usr/lib/xsconsole /opt /sbin /etc/ /bin /usr/bin/ /usr/sbin/

 

( -ldb 옵션을 사용하여 모든 파일과 디렉터리를 표시하고, 파일의 권한, 소유자, 그룹, 마지막 수정 날짜와 시간을 표시 )

주요 디렉터리 목록
/usr/bin/xsconsole /opt /sbin
/usr/lib/xsconsole /etc /bin
/usr/sbin /usr/bin

 

 

• /usr/bin/xsconsole : XenServer 콘솔을 시작하는 데 사용하는 실행 파일
• /usr/lib/xsconsole : XenServer 콘솔에 사용되는 라이브러리 파일
• /opt : 설치된 소프트웨어의 디렉터리
• /sbin : 시스템 관리에 사용되는 명령이 포함된 디렉터리
• /etc : 시스템 설정 파일이 포함된 디렉터리
• /bin : 기본 명령이 포함된 디렉터리
• /usr/bin : 사용자 명령이 포함된 디렉터리
• /usr/sbin : 사용자 명령과 시스템 관리 명령이 포함된 디렉터리

 

 

 

 

 

조치방법

 

<XenServer>
▪ 디렉터리 소유자 변경 및 타사용자 쓰기 권한 제거
1) 디렉터리 소유자 변경
 # chown root [디렉터리명]
2) 디렉터리 권한 변경
 # chmod o-w [디렉터리명]

 

 

 

 

 

 

 

 

---