[ 클라우드 ] CSAP -CCE 취약점 가이드--( XE-08. 사용자 UMASK(User Mask) 설정 )

 

 

 

 

 

진단항목 

 

XE-08. 사용자 UMASK(User Mask) 설정 

 

 

 

 

취약도 

 

하

 

 

 

 

 

항목설명
 

시스템 내에서 유저가 새로이 생성하는 파일의 접근 권한은 UMASK에 따라 달라진다. 현재의 유저에게 설정된 UMASK를 조회하려면, 명령 프롬프트에서 “umask”를 수행하면 된다. 그리고 UMASK 값이 “022”이기를 권장한다. UMASK “022”는 “rwr--r--”접근권한으로 파일이 생성된다. 

 

 

 

진단기준

 

양호 

현재 시스템의 UMASK가 022 또는 027로 설정되어 있으며 Start Profile에 UMASK가 설정되어 있는 경우

 

취약

현재 시스템의 UMASK가 설정되어 있지 않거나 022 또는 027이 아닌 경우

 

 

 

 

진단방법

 

<XenServer>
▪ UMASK 확인  ( umask는 파일을 생성할 때 기본적으로 부여되는 권한을 제한하는 값 )
1) /etc/pam.d/su 파일을 아래와 같이 설정

 # umask
 # cat /etc/profile | grep –i “umask”

 

( /etc/pam.d/su 파일은 su 명령어를 사용하는 사용자의 권한을 제어하는 파일 )

 

umask는 리눅스에서 파일을 생성할 때 기본적으로 부여되는 권한을 제한하는 역할을 하며 umask는 8진수 값으로 표현되며, 값이 작을수록 권한이 더 제한된다.

예를 들어, umask 값이 002인 경우, 새로 생성되는 파일의 권한은 664가 된다. 즉, 소유자만 읽고 쓸 수 있으며, 그룹과 모든 사용자는 읽기만 가능하다

 

 

 

 

 

조치방법

 

<XenServer>
▪ UMASK 변경
1) /etc/pam.d/su 파일을 아래와 같이 설정
 # umask 022
 # vi /etc/profile
 umask 022 행 추가

 

※ 계정의 Start Profile(/etc/profile, /etc/default/login. .cshrc, .kshrc, .bashrc, .login, .profile등)에 명령을 추가하면, 유저 로그인 후에도 변경된 UMASK 값을 적용 받음

 

( 계정의 Start Profile 파일은 사용자가 로그인할 때마다 실행되는 파일, 이 파일에 umask 값을 설정하는 명령을 추가하면, 사용자가 로그인할 때마다 해당 umask 값이 적용 )

 

 

 

 

 

---