[보안] 환경파일 권한, root의 PATH, Sticky bit, umask

markyang92·2021년 6월 24일
0

security

목록 보기
8/10
post-thumbnail

환경 파일 permmision

기본 환경 파일 권한

기본 환경 파일접근 권한(아래와 다르면 취약)
/etc/profile0644(-rw-r--r--)
/etc/bashrc0644(-rw-r--r--)
/etc/bash.bashrc0644(-rw-r--r--)
/etc/default/security0600(-r--------)
/root. 히든 파일들0644(-rw-r--r--)

사용자 환경파일 권한

  • $USER$HOME환경변수 파일 권한이 적절하게 설정되어 있는지 점검
  • 사용하는 프로그램에 따라 없을 수도 있음
사용자 환경 파일접근 권한(u말고 g,o에게 쓰기 권한 없앰)
$HOME/.profile0644(-rw-r--r--)
$HOME/.{ksh,zsh,bash,csh}rc0644(-rw-r--r--)
$HOME/.bash_profile0644(-rw-r--r--)
$HOME/.login0644(-rw-r--r--)
$HOME/.exrc0644(-rw-r--r--)
$HOME/.netrc0644(-rw-r--r--)
$HOME/.dtprofile0644(-rw-r--r--)
$HOME/.Xdefaults0644(-rw-r--r--)

root 계정 PATH"."

문제점

  • root계정의 PATH.(현재 디렉터리)가 있으면, root계정의 인가자로 인해 비의도적으로 현재 디렉토리에 위치하고 있는 명령어가 실행될 수 있음
    • 1)./usr/bin이나 /bin,/sbin등 명령어들이 위치하고 있는 디렉토리보다 우선하여 위치하고 있을 경우 2)root 계정의 인가자가 어떠한 명령을 실행했을 때, 3)비인가자가 불법적으로 위치시킨 파일을 4)비의도적으로 실행하여 예기치 않은 결과를 가져올 수 있음
      4)또한 . 뿐만 아니라 비인가자가 불법적으로 생성한 디렉토리를 우선적으로 가리키게하여 예기지 않은 결과를 가져올 수 있음

  1. root계정에서 $PATH.맨 앞이나 중간에 있으면 안됨
    • 제일 뒤혹은 제거

점검 방법

  • 환경 설정 파일 내, PATH.이 있는지 점검
    • /etc/profile
    • /etc/bashrc
    • /etc/bash.bashrc
    • $HOME/.profile
    • $HOME/.bashrc
    • $HOME/.login
    • $HOME/[shell configuration file]
  • root 계정에서 echo $PATH를 사용해 .이 있는지 확인

조치 방법

  • 위 파일들에서 PATH 변수에 .가 있다면 제일 뒤혹은 제거

/tmp디렉토리 Sticky bit 설정

  • /tmp 디렉토리에 Sticky bit가 설정되어 있으면 양호

점검 방법

  1. /tmp, /var/tmp 디렉토리의 권한을 확인한다.
$ sudo ls -ld /tmp /var/tmp
drwxrwxrwx	X	root root	/tmp
drwxrwxrwx	X	root root	/var/tmp

위와 같으면 괜찮음

permission1777이 아니면 문제


조치 사항

  • /tmp, /var/tmppermission1777으로 바꿈
$ sudo chmod 1777 /tmp
$ sudo chmod 1777 /var/tmp

umask 검사

  • 시스템 내에서 유저가 새로 생성하는 파일의 접근 권한은 umask에 따라 달라진다.
  • 현재 유저에게 설정된 umask를 조회하려면, 프롬프트에 umask 명령을 수행한다.

umask 참고


점검 사항

  1. 유저에 umask 값 이 022
  2. root 계정에서 umask 값이 022

조치 사항

  1. 시스템 환경파일(/etc/profile, /etc/.login)에서 umask 값을 022
  2. $HOME에서 .pofile, .login, .bash_profile, [shell rc files]에서 umask값을 022로 설정
profile
pllpokko@alumni.kaist.ac.kr

0개의 댓글