[ 클라우드 ] CSAP -CCE 취약점 가이드--( XE-04. group 파일 권한 설정 )

 

 

 

 

 

 

 

 

진단항목 

XE-04. group 파일 권한 설정 

 

 

 

 

 

 

 

 

 

취약도 

상

 

 

 

 

 

 

 

 

 

 

 

항목설명
 

Group파일을 일반사용자가 접근하여 변조하게 되면 인가되지 않은 사용자가 root 그룹으로 등록되어 인가되지 않은 사용자의 root권한 획득이 가능하다. Group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타사용자의 쓰기권한을 제한하여야 한다. ( /etc/group 파일은 리눅스 시스템에서 사용되는 그룹의 정보를 저장하는 파일 )

 

etc/group 파일의 각 필드의 의미는 다음과 같다.

• 그룹 이름 (group name): 그룹의 이름
• 그룹 ID (group ID): 그룹을 식별하는 ID
• 그룹에 속한 사용자 ID 목록 (members): 그룹에 속한 사용자 ID의 목록,각 사용자 ID는 콤마로 구분된다.

 

예를 들어, 다음은 /etc/group 파일의 예시이다.

root:x:0:root
bin:x:1:root,bin
daemon:x:2:root
sys:x:3:root
adm:x:4:root,adm

 

• root 그룹은 그룹 ID 0을 가지고 있으며 root 사용자만 속해 있다.
• bin 그룹은 그룹 ID 1을 가지고 있으며 root 사용자와 bin 사용자가 속해 있다.
• daemon 그룹은 그룹 ID 2를 가지고 있으며 root 사용자가 속해 있다.
• sys 그룹은 그룹 ID 3을 가지고 있으며 root 사용자가 속해 있다.
• adm 그룹은 그룹 ID 4를 가지고 있으며 root 사용자와 adm 사용자가 속해 있다.

 

 

 

 

 

 

 

 

 

 

 

진단기준

 

양호 

/etc/group 파일의 소유자가 root(또는 bin)이고 권한이 644(rw-r—r--)인 경우

 

취약 

/etc/group 파일의 소유자가 root(또는 bin)가 아니거나 타사용자에게 쓰기 권한 및 접근 권한이 존재할 경우

 

 

 

 

 

 

 

 

 

 

 

진단방법

 

<XenServer>
▪ /etc/group 파일의 접근권한 확인
 # ls –al /etc/group

 

 

 

 

 

 

 

 

 

 

 

 

 

조치방법

 

<XenServer>
▪ /etc/group 파일의 권한 변경
 # chmod 644 /etc/group
 # chown root /etc/group

 

 

 

 

 

 

 

 

 

 

 

---