securitory

취약점

- 로그인이 불필요한 계정이나 OS 및 패키지 설치 시 기본적으로 생성되는 계정으로 쉘이 설정되어있을 경우, 공격자는 기본 계정들을 통하여 중요파일 유출이나 악성코드를 이용한 root 권한 획득 등의 공격을 할 수 있음

- Session timeout 값이 설정되지 않은 경우 유휴 시간 내 비인가자의 시스템 접근으로 인해 불필요한 내부 정보의 노출 위험이 존재함

보안조치

1. 사용자 shell 점검

#vi /etc/passwd 

root와 test 계정만 로그인 할 수 있고 이외의 계정은 로그인할 수 없게해주자

결과

2. TMOUT 설정

#vi /etc/profile
#source /etc/profile	//작성했으니 적용해주자!

600초 동안 미입력 상태일 경우 세션을 종료한다

결과

telnet이나 ssh 접속 중이라면 600초 이후 자동종료!

취약점

su 명령어를 모든 사용자가 사용하도록 설정되어 있는 경우, root 계정 권한을 얻기 위해 패스워드 무작위 대입 공격을 시도하여 root 계정 패스워드가 유출될 위협이 있음

따라서, su명령어가 su 관련 그룹에서만 허용되도록 설정하자!

보안조치

su 사용자를 지정하는 방법으로는 2가지 방식이 있다. 하나는 "PAM 설정", 두 번째는 "권한 설정"이다.

PAM 설정은 PAM 모듈을 이용하고 권한 설정은 wheel이라는 그룹을 관리하여 이 그룹의 구성원만이 su를 사용할 수 있도록 한다.

여기서는 두 번째 방식을 적용하도록 하겠다!

■ 먼저는 wheel 그룹을 확인해보자!

[root@localhost ~]# cat /etc/group | grep wheel
wheel:x:10:root,test

구성원으로서 root가 존재한다, test계정을 추가해주었다.

■  다음 3가지를 수행

#1 su명령어 위치 확인
[root@localhost ~]# which su
/usr/bin/su
[[root@localhost ~]# ls -l /usr/bin/su
-rwsr-xr-x. 1 root root 32128 10월  1 02:46 /usr/bin/su

#2 그룹변경
[root@localhost ~]# chgrp wheel /usr/bin/su
[root@localhost ~]# ls -l /usr/bin/su
-rwxr-xr-x. 1 root wheel 32128 10월  1 02:46 /usr/bin/su

#3 SetID설정
[root@localhost ~]# chmod 4750 /usr/bin/su
[root@localhost ~]# ls -l /usr/bin/su
-rwsr-x---. 1 root wheel 32128 10월  1 02:46 /usr/bin/su

#3에서 SetUID를 설정해주는 이유는 기본적으로 su명령어는 관리자 권한이 필요하기 때문이다.

따라서, 명령어가 실행될 때만 사용자의 권한을 위임받을 수 있는 setuid를 적용해준 것이다(su 사용자는 현재 root)

*chmod 4750 : other에게 실행권한을 주면 말짱도로묵

결과

test는 wheel에 속하므로 정상 사용이 되고

test2는 wheel에 속하지 않으니 사용이 안된다!

참조

취약점

1. root 계정과 동일 UID 계정이 존재하면 비인가자에게 노출되었을 경우, 시스템 권한을 탈취당할 수 있다(UID=0을 일반 계정이 갖는 경우)

2. OS나 Package 설치 시 Default로 생성되는 계정 및 불필요한 계정들이 존재할 경우, 스워드가 무작위 대입 공격에 의해 유출될 수 있다.

3. 시스템에 불필요한 그룹이 존재할 경우, 해당 그룹 소유의 파일이 비인가자에게 노출될 수 있는 위험이 존재함

4. 관리자 그룹에 속한 계정이 비인가자에게 유출될 경우, 시스템 권한이 탈취당 할 수 있다. 

5. 침해사고 이후 추적할 경우, 동일한 UID를 악용한 공격자의 추적이 어려움

따라서, UID(0)은 오직 루트에게만 설정하고 기타 사용자와 그룹에 대한 관리를 해주자!

보안조치

■ passwd파일에서 살펴볼것

[root@localhost ~]# vi /etc/passwd
root:x:0:0:root:/root:/bin/bash
test:x:1000:1000::/home/test:/bin/bash
test2:x:1001:1001::/home/test2:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
...

*0은 오직 루트만

*중복UID 없게끔

*디폴트계정은 nologin으로 설정

■ group파일에서 살펴볼것

[root@localhost ~]# vi /etc/group
root:x:0:
test:x:1000:
test2:x:1001:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
...

*관리자 그룹에 불필요한 계정 없게끔
*불필요한 그룹 없게끔

참조

취약점

시스템의 사용자 계정 정보가  평문으로 저장되었다면 패스워드가 노출될 수 있음

따라서, 계정 정보를 포함하는 파일에 사용자 계정 패스워드가 암호화되어 있는지 점검하자!

보안조치

살펴볼 파일은 2가지로 /etc/passwd, /etc/shadow

각 각 계정 정보와 암호화된 패스워드가 저장된 파일이다.

■ 두번째 필드가 x인지 확인!

[root@localhost ~]# vi /etc/passwd
root:x:0:0:root:/root:/bin/bash
test:x:1000:1000::/home/test:/bin/bash
test2:x:1001:1001::/home/test2:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
...

*x처리 되었다는 것은 /etc/shadow에 암호를 저장하겠다는 의미

*파일명 : 암호화여부 : UID : GID : 코멘트 : 홈디렉토리 : 쉘 종류

■ 암호화되어있는지 확인해보자

[root@localhost ~]# vi /etc/shadow
root:$6$8ENNViD/$vfuTIgR7auG3sTACSusNYHypDIUrrbDPeagimsVh96JZ9HDyst1AbtnWkLtWs78V8YmEK3EQWDH.T4icl1qUp1:18625:0:99999:7:::
test:$6$2SxS4Y3U$BobgW3YEDqlf04oy4z7uBR66ZDKJur6APphZpEdkRPCJS6fzo//S6pWwjPpI7REiz6e7WP/4uLPrZPDT6g3pm/:18625:1:60:7:::
test2:$6$B0PgwlUW$OXvi78nRXbCVLJ19.8wrFsJVfLIhBMQutlbE2ncQR9WtDGep793My.sIG2wvYl.OHoRJ/ONAqIZwibfl91upq0:18629:1:60:7:::
bin:*:18353:0:99999:7:::
...

암호화가 되어있는 것을 확인할 수 있다.

$SHA-512 해쉬$솔트 값$암호화된 패스워드

추가로 pwunconv명령어는 passwd에 암호를 표기하겠다는 뜻이지만

passwd파일이 모든 사용자에게 읽기 권한을 허용하기 때문에 리눅스에서는 자동으로 shadow에 저장되고 있다.

[root@localhost ~]# pwunconv
[root@localhost ~]# vi /etc/passwd
root:$6$8ENNViD/$vfuTIgR7auG3sTACSusNYHypDIUrrbDPeagimsVh96JZ9HDyst1AbtnWkLtWs78V8YmEK3EQWDH.T4icl1qUp1:0:0:root:/root:/bin/bash
test:$6$2SxS4Y3U$BobgW3YEDqlf04oy4z7uBR66ZDKJur6APphZpEdkRPCJS6fzo//S6pWwjPpI7REiz6e7WP/4uLPrZPDT6g3pm/:1000:1000::/home/test:/bin/bash
test2:$6$B0PgwlUW$OXvi78nRXbCVLJ19.8wrFsJVfLIhBMQutlbE2ncQR9WtDGep793My.sIG2wvYl.OHoRJ/ONAqIZwibfl91upq0:1001:1001::/home/test2:/bin/bash

참조

취약점

 첫째로, (1) 패스워드 복잡성 설정이 되어 있지 않은 사용자 계정 패스워드 존재 시

비인가자가 무작위 대입 또는 사전 대입 공격을 통해 패스워드를 획득할 수 있다.

 둘 째,(2) 로그인 시도 임계값을 제한하지 않을 경우

무작위 대입 공격을 허용하게 되어 패스워드가 유출당할 수 있다.

따라서 시스템 정책에 관련 설정이 되어 있는지 점검하자!

보안조치 - (1) 패스워드 복잡성 설정

계정과 유사하지 않은 8자 이상의 영문, 숫자, 특수문자의 조합으로 암호 설정 및 패스워드 복잡성 옵션 설정

손볼 파일은 두 가지, /etc/pam.d/system-auth와 /etc/login.defs

각 각, 패스워드 정책과 패스워드 사용 기간 등을 설정할 수 있는 설정 파일이다.

■ 복잡성 추가

[root@localhost ~]# vi /etc/pam.d/system-auth
...
password    requisite     pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1
...

*retry=3 변경 도중 3번 틀리면 실패 처리

*llcredit(소문자), ucredit(대문자), dcredit(숫자), ocredit(특수문자)

*-1은 최소 하나를 사용해야 한다는 의미

*결과적으로 전체 길이는 8이고 대소문자, 숫자, 특수문자를 적어도 하나씩은 포함해야 하는 정책

■ 패스워드 최대/최소 사용 기간을 지정

[root@localhost ~]# vi /etc/login.defs 
# Password aging controls:
...
PASS_MAX_DAYS   60
PASS_MIN_DAYS   1
PASS_MIN_LEN    5
PASS_WARN_AGE   7
...

*최대 사용 기간은 60일, 최소 사용 기간은 1일, 만료 전 알림은 D-7

결과

설정 전

설정 후

암호 복잡도 정책에 의해 쉽사리 패스워드가 변경되지 않고

계정을 추가 생성 시 사용 기간도 최소 1일, 최대 60일로 잘 적용되고 있음을 알 수 있다!

보안조치 - (2) 계정 잠금 임계값 설정

로그인 시도 횟수를 제한해보자

수정해야 할 파일은 /etc/pam.d/system-auth

■ 로그인 시도 횟수를 설정

다음 설정 2가지를 추가 및 수정하자!

[root@localhost ~]# vi /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run
...
auth        required      pam_tally2.so deny=5 unlock_time=120 no_magic_root
...

...
account     required      pam_tally2.so
...

*unlock_time=120 : 5회 초과로 잠겼을 경우, 120초 이후에 잠금 해제

*no_magic_root : 루트 계정에게는 마법(?)이 효력 없음

결과

재시도 5번이 발생하면 즉, 6번째에서 잠김이 발생!

마무리

아무리 강력한 패스워드를 설정한다 한들, 무차별 대입 공격에 뚫릴 수 있다.

따라서 패스워드 정책도 까다롭게! 대입공격 차단도 철저하게!

참조

취약점

root 원격 접속 차단이 적용되지 않은 시스템의 root 계정 정보를 비인가자가 획득할 경우
시스템 계정 정보 유출, 파일 및 디렉터리 변조 등의 행위 침해사고가 발생할 수 있음

따라서 시스템 정책에 root계정의 원격 터미널 접속 차단 설정이 필요!

보안조치

원격 접속 시 root 계정으로 바로 접속 할 수 없도록 설정파일 수정을 해주자!

손볼 파일은 2가지, /etc/pam.d/login와/etc/securetty

■ 먼저는 /etc/pam.d/login 설정파일에서 scuretty 보안 모듈을 추가 및 수정해준다

[root@localhost tmp]# vi /etc/pam.d/login
#%PAM-1.0
...
auth       required     /lib/security/pam_securetty.so
...

■ 마지막으로 /etc/securetty 설정파일에서 pts부분을 주석처리해주자!

*pts : pseudo terminal slave의 약어로 원격 접속에 사용되는 터미널
*tty  : 로컬 접속에 사용됨

[root@localhost tmp]# vi /etc/securetty
console
tty1
tty2
tty3
tty4
#pts/0
#pts/1
#pts/2
#pts/3
...

실습

설정 전 

설정 후 

마무리

이렇게 root로의 원격 접속을 막았으나 우회 가능성이 있다.

일반 유저로 들어간 뒤 su명령어를 사용

이에 대한 방어법은 su명령어 제한을 둘 수 있다.

참조

Unix 서버 취약점 분석, 평가 항목

환경 :

VMware

CentOS Linux release 7.9.2009 (Core)

다음 보안 항목을 나만의 리눅스 서버에 적용하자!

참조