진단항목 XE-08. 사용자 UMASK(User Mask) 설정 취약도 하 항목설명 시스템 내에서 유저가 새로이 생성하는 파일의 접근 권한은 UMASK에 따라 달라진다. 현재의 유저에게 설정된 UMASK를 조회하려면, 명령 프롬프트에서 “umask”를 수행하면 된다. 그리고 UMASK 값이 “022”이기를 권장한다. UMASK “022”는 “rwr--r--”접근권한으로 파일이 생성된다. 진단기준 양호 현재 시스템의 UMASK가 022 또는 027로 설정되어 있으며 Start Profile에 UMASK가 설정되어 있는 경우 취약 현재 시스템의 UMASK가 설정되어 있지 않거나 022 또는 027이 아닌 경우 진단방법 ▪ UMASK 확인 ( umask는 파일을 생성할 때 기본적으로 부여되는 권한을 제한하는 ..

진단항목 XE-07. SU(Select User)사용 제한 취약도 중 항목설명 권한이 없는 일반 사용자가 su 명령을 사용한 Password Guessing을 통해 root 권한을 획득할 수 있다. 진단기준 양호 /etc/pam.d/su 파일에 auth required pam_wheel.so use_uid 라인에 주석(#)이 없고 /etc/group 파일의 wheel 그룹에 계정이 제한되어 있는 경우 취약 /etc/pam.d/su 파일에 auth required pam_wheel.so use_uid 라인에 주석(#)이 없고 /etc/group 파일의 wheel 그룹에 계정이 제한되어 있지 않은 경우 PAM(Pluggable Authentication Modules)은 다양한 인증 방법을 통합하여 사용자 ..

진단항목 XE-06. 로그인이 불필요한 계정 shell 제한 취약도 중 항목설명 접근이 거의 필요하지 않은 사용자들에게는 쉘을 제한함으로써 비인가적인 시스템 사용을 방지하여 침해의 가능성을 줄일 수 있다. 진단기준 양호 시스템 계정 중 로그인이 불필요한 계정에 대해 shell이 제한되어 있는 경우 취약 시스템 계정 중 로그인이 불필요한 계정에 대해 shell이 제한되어 있지 않은 경우 진단방법 ▪ /etc/passwd 파일의 계정 별 shell 확인 # cat /etc/passwd (예시) nobody:x:65534:65534:nobody:/nonexistent:/bin/sh ※ 실행 쉘이 불필요한 계정 및 로그인이 필요하지 않은 계정에 nologin shell 부여 (dea daemon, bin, sy..

진단항목 XE-05. 패스워드 사용규칙 적용 취약도 중 항목설명 패스워드 추측공격을 피하기 위하여 패스워드 최소길이가 설정되어 있는지 점검한다. 패스워드 최소길이가 설정되어 있지 않거나 짧게 설정되어 있을 경우 취약한 패스워드를 사용함으로 인해 악의적인 사용자가 패스워드를 쉽게 유추할 수 있다. 진단기준 양호 패스워드 정책에 따른 설정이 적용되어 있는 경우 취약 패스워드 정책에 따라 설정이 적용되어 있지 않은 경우 진단방법 ▪ 패스워드 최대 사용기간, 최소 사용기간, 최소길이 설정 확인 (단위: 일) # cat /etc/login.defs | grep –i “PASS_MAX_DAYS” # cat /etc/login.defs | grep –i “PASS_MIN_DAYS” # cat /etc/login.de..

진단항목 XE-04. group 파일 권한 설정 취약도 상 항목설명 Group파일을 일반사용자가 접근하여 변조하게 되면 인가되지 않은 사용자가 root 그룹으로 등록되어 인가되지 않은 사용자의 root권한 획득이 가능하다. Group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타사용자의 쓰기권한을 제한하여야 한다. ( /etc/group 파일은 리눅스 시스템에서 사용되는 그룹의 정보를 저장하는 파일 ) etc/group 파일의 각 필드의 의미는 다음과 같다. 그룹 이름 (group name): 그룹의 이름 그룹 ID (group ID): 그룹을 식별하는 ID 그룹에 속한 사용자 ID 목록 (members): 그룹에 속한 사용자 ID의 목록,각 사용자 ID는 콤마로 구분된다. 예를 ..