'리눅스/파일 및 디렉토리 관리' 카테고리의 글 목록

리눅스/파일 및 디렉토리 관리

[CentOS 7] /dev에 존재하지 않는 device 파일 점검 2021.04.06
[CentOS 7] world writable 파일 및 환경변수 파일의 소유자 및 권한 확인 2021.04.01
[CentOS 7] SUID, SGID, Sticky bit 설정 파일 점검 2021.03.19
[CentOS 7] 파일 소유자 및 권한 설정 2021.03.17
[CentOS 7] root 홈, 패스 디렉터리 권한 및 패스 설정 2021.01.02
개요 2020.12.31

[CentOS 7] /dev에 존재하지 않는 device 파일 점검

2021. 4. 6. 05:54

취약점

공격자는 rootkit 설정 파일들을 서버 관리자가 쉽게 발견하지 못하도록 /dev 디렉터리에 device 파일인 것처럼 위장하는 수법을 많이 이용함

따라서 /dev 안에 일반 파일이 있는 지 확인한다.

/dev 디렉터리

: 논리적 장치 파일을 담고 있는 /dev 디렉터리는 /devices 디렉터리에
있는 물리적 장치 파일에 대한 심볼릭 링크임. 예를 들어 rmt0를 rmto로 잘못 입력한
경우 rmto 파일이 새로 생성되는 것과 같이 디바이스 이름 입력 오류 시 root 파일
시스템이 에러를 일으킬 때까지 /dev 디렉터리에 계속해서 파일을 생성함.

보안조치

◾ 일반 파일 존재 유무를 확인

[root@localhost dev]# find /dev -type f -exec ls -l {} \;

결과는 일반 파일이 없다!

◾ major, minor number을 가지지 않는 device일 경우 삭제

일반적으로 디바이스 파일은 권한앞에 c가 붙고 5번째 인자에 Major Number와 이어서 Minor Number가 붙는다.

만약 위 넘버가 설정되어있지 않다면 비정상적인 파일이라고 볼 수 있다.

Major Number와 Minor Number

커널이 디바이스 드라이버를 식별하는 번호이며 드라이버가 개별 호출을 식별하는 번호이다.

ex) 프린터를 이용할 경우 주변장치인 프린터는 /dev에 연결되고 디바이스 드라이버에 의해 호출된다.

다만 사용자가 어떤 장치(프린터이냐 스캐너이냐)를 호출한 것인지 알려주는 것이 전자이고 프린터 내에 여러 통신 중 특정 통신을 식별하는 것이 후자이다.

<참조 ssmsig.tistory.com/109 >

마무리

공격자는 해킹툴을 PC내 특정 저장소에 숨겨두고자 한다. /dev는 해커들이 찾는 피난처라고 보인다.

저작자표시 (새창열림)

'리눅스 > 파일 및 디렉토리 관리' 카테고리의 다른 글

[CentOS 7] world writable 파일 및 환경변수 파일의 소유자 및 권한 확인 (0)	2021.04.01
[CentOS 7] SUID, SGID, Sticky bit 설정 파일 점검 (0)	2021.03.19
[CentOS 7] 파일 소유자 및 권한 설정 (0)	2021.03.17
[CentOS 7] root 홈, 패스 디렉터리 권한 및 패스 설정 (0)	2021.01.02
개요 (0)	2020.12.31

[CentOS 7] world writable 파일 및 환경변수 파일의 소유자 및 권한 확인

2021. 4. 1. 01:08

취약점

1. world writable은 파일의 내용을 소유자나 그룹 외 모든 사용자에 대해 쓰기가 허용된 파일이다.

시스템 파일과 같은 중요 파일에 설정이 될 경우, 악의적인 사용자가 해당 파일을 마음대로 파일을 덧붙이거나 지울 수 있게 되어 시스템의 무단 접근 및 시스템 장애를 유발할 수 있음

따라서 "world writable"파일 존재 시 사용 목적을 확실히 알고 불필요 시 삭제한.

2. 리눅스에서 각 사용자는 환경 변수를 가진다. 이 파일을 통해 특정 명령어의 참조 우선순위를 지정할 수 있다.

비인가자가 이 파일을 변조하여 의도되지 않은 명령어 수행이 가능하다.

따라서 관리자 또는 사용자 이외 쓰기 권한이 부여되지 않도록 한다.

환경변수 파일 종류

/etc/profile / (홈디렉토리).profile / .kshrc / .cshrc / .bashrc / .bash_profile / .login / .exrc / .netrc

보안조치

◾ Other에게 2(쓰기권한)이 부여된 파일을 검색

[root@localhost ~]# find / -type f -perm -2 -exec ls -l {} \;

◾ ls -l "환경변수 파일"

쓰기권한이 사용자 이외에 부여되어있는 지 확인

[root@localhost ~]# ls -l .bashrc 
-rw-r--r--. 1 root root 176 12월 29  2013 .bashrc

저작자표시 (새창열림)

'리눅스 > 파일 및 디렉토리 관리' 카테고리의 다른 글

[CentOS 7] /dev에 존재하지 않는 device 파일 점검 (0)	2021.04.06
[CentOS 7] SUID, SGID, Sticky bit 설정 파일 점검 (0)	2021.03.19
[CentOS 7] 파일 소유자 및 권한 설정 (0)	2021.03.17
[CentOS 7] root 홈, 패스 디렉터리 권한 및 패스 설정 (0)	2021.01.02
개요 (0)	2020.12.31

[CentOS 7] SUID, SGID, Sticky bit 설정 파일 점검

2021. 3. 19. 01:25

취약점

◾ SUID, SGID 파일의 접근권한이 적절하지 않을 경우 roo권한 탈취가 발생할 수 있다.

◾ Sticky bit #

SUID와 SGID 정의

SUID : 설정된 파일 실행 시, 특정 작업 수행을 위하여 일시적으로 파일 소유자의 권한을 얻게 됨

SGID : 파일 소유 그룹의 권한을 얻게 됨

실습

◾ 일반 유저가 shadow파일을 열람할 수 없다. 하지만 파일의 소유자가 root이면서 SetUID설정이 되면

열람이 가능해진다. 이것은 일시적으로 root의 권한을 부여받기 때문이다.

[test@localhost /]$ cat /etc/shadow
cat: /etc/shadow: 허가 거부
[root@localhost /]# su root
[root@localhost /]# ls -l /usr/bin/cat
-rwxr-xr-x. 1 root root 54080  8월 20  2019 /usr/bin/cat

[root@localhost /]# chmod 4755 /usr/bin/cat
[root@localhost /]# ls -l /usr/bin/cat
-rwsr-xr-x. 1 root root 54080  8월 20  2019 /usr/bin/cat

[root@localhost /]# su test
[test@localhost /]$ cat /etc/shadow
root:$6$kZXbeAFq$bpGsWrBsetT5c5DYgmhQWV3bd3siNkf2dGd6wAd3G.HIthFTVBFoReYd.UUUE47eSi70D5qEuKnAgF81:18712:1:60:7:::

보안조치

◾ SetUID(4000)와 SetGID(2000)가 설정된 파일을 조회하는 명령어(-4000는 4000 이상을 의미)

[root@localhost ~]# find / -user root -type f \( -perm -4000 -o -perm -2000 \) -exec ls -al {} \;

◾ SetUID, SetGID 제거 명령어

[root@localhost ~]# ls -l /usr/bin/vi
-rwsr-xr-x. 1 root root 928056 10월 14 01:13 /usr/bin/vi
[root@localhost ~]# chmod -s /usr/bin/vi
[root@localhost ~]# ls -l /usr/bin/vi
-rwxr-xr-x. 1 root root 928056 10월 14 01:13 /usr/bin/vi

마무리

SetUID는 권한을 다루기때문에 꼭 확인해주어야 하고 주기적인 검사를 위한 cron을 이용하는 것이 좋다.

저작자표시 (새창열림)

'리눅스 > 파일 및 디렉토리 관리' 카테고리의 다른 글

[CentOS 7] /dev에 존재하지 않는 device 파일 점검 (0)	2021.04.06
[CentOS 7] world writable 파일 및 환경변수 파일의 소유자 및 권한 확인 (0)	2021.04.01
[CentOS 7] 파일 소유자 및 권한 설정 (0)	2021.03.17
[CentOS 7] root 홈, 패스 디렉터리 권한 및 패스 설정 (0)	2021.01.02
개요 (0)	2020.12.31

[CentOS 7] 파일 소유자 및 권한 설정

2021. 3. 17. 22:08

취약점

1. 사용자가 없는 파일은 관리가 되지 않아 공격자의 도구로 사용될 수 있다. 따라서 NOUSER 파일은 삭제해주자!

2. 시스템의 중요 파일의 권한 관리가 미비할 경우 내부 자원의 유출 및 변조와 서비스 오작동을 초래할 수 있다.

보안조치

■ 사용자가 없는 파일은 지워준다.

#find / -nouser -exec rm {} \;
#find / -nogroup -exec rm {} \;

■ /etc/passwd파일의 소유자가 관리자인 것과 권한이 644로 설정되어있는지 확인한다.

"/etc/passwd" 파일의 변조가 가능할 경우 shell변조, 사용자 추가/삭제, root 권한 획득이 가능함

[root@localhost ~]# ls -la /etc/passwd 
-rw-r--r--. 1 root root 2456  1월  5 23:41 /etc/passwd

■ /etc/shadow 파일의 소유자가 관리자인 것과 오직 읽기 권한만 할당되어있는지 확인한다.

"/etc/shadow" 파일은 시스템 모든 계정의 암호화된 패스워드가 저장된 파일이다. 따라서 관리자만이 열람할 수 있도록 한다.

[root@localhost ~]# ls -la /etc/shadow
-r--------. 1 root root 1501  1월  5 23:41 /etc/shadow

■ "/etc/hosts" 파일의 소유자가 관리자인 것과 권한이 600인지 확인한다.

"/etc/hosts" 파일은 웹페이지의 IP주소를 찾을 때 사용되며 DNS 서버보다 우선한다. 이 파일이 변조되면 악성 사이트로 접속되는 파밍 공격 등에 악용될 수 있다.

[root@localhost ~]# ls -la /etc/hosts
-rw-------. 1 root root 158  6월  7  2013 /etc/hosts

■ "/etc/(x)inetd.conf" 파일의 소유자가 관리자인 것과 권한이 600인지 확인한다.

위 파일은 슈퍼데몬 설정 파일로써, 비인가자에게 쓰기 권한이 부여되어있을 경우 root권한으로 불법적인 서비스를 실행할 수 있다.

[root@localhost ~]# ls -la /etc/xinetd.conf 
-rw-------. 1 root root 1001  4월  1  2020 /etc/xinetd.conf

■ "/etc/syslog.conf" 파일의 소유자가 관리자인 것과 권한이 644인지 확인한다.

위 파일은 syslog데몬의 설정 파일로서, 공격자는 파일 변조를 통해 흔적 또는 시스템 오류 사항을 분석하기 어렵게 할 수 있다.

[root@localhost ~]# ls -la /etc/rsyslog.conf 
-rw-r--r--. 1 root root 3232  9월 30 22:19 /etc/rsyslog.conf

■ "/etc/services" 파일의 소유자가 관리자인 것과 권한이 644인지 확인한다.

위 파일은 시스템 내의 모든 서비스에 매칭 되는 포트번호를 정의하는 파일이다. 공격자는 운영 포트 번호를 변경하여 정상적인 서비스를 제한하거나 허용되지 않은 포트를 열어 악성 서비스를 의도적으로 실행할 수 있다.

[root@localhost ~]# ls -la /etc/services 
-rw-r--r--. 1 root root 670293  6월  7  2013 /etc/services

마무리

위 파일들이 보편적인 설정 파일인 만큼 공격의 노출도 또한 높다. 따라서 권한 관리를 잘해줘야 한다.

저작자표시 (새창열림)

'리눅스 > 파일 및 디렉토리 관리' 카테고리의 다른 글

[CentOS 7] /dev에 존재하지 않는 device 파일 점검 (0)	2021.04.06
[CentOS 7] world writable 파일 및 환경변수 파일의 소유자 및 권한 확인 (0)	2021.04.01
[CentOS 7] SUID, SGID, Sticky bit 설정 파일 점검 (0)	2021.03.19
[CentOS 7] root 홈, 패스 디렉터리 권한 및 패스 설정 (0)	2021.01.02
개요 (0)	2020.12.31

[CentOS 7] root 홈, 패스 디렉터리 권한 및 패스 설정

2021. 1. 2. 18:59

취약점

관리자가 명령어(예: ls, mv, cp등)를 수행했을 때 root 계정의 PATH 환경변수에 "." (현재 디렉터리 지칭)이 포함되어 있으면 현재 디렉터리에 명령어와 같은 이름의 악성파일이 실행되어 악의적인 행위가 일어날 수 있음

직접해보기

기존 환경변수 내용 확인

[root@localhost ~]# echo $PATH
/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin

실습을 위해 "." 추가!

[root@localhost ~]# vi /etc/profile
...
export PATH=.:$PATH
...
[root@localhost ~]# source /etc/profile

변경된 환경변수 확인

[root@localhost ~]# echo $PATH
.:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/root/bin

다음과 같이 c프로그램을 짜고 ls라는 이름으로 컴파일!

root는 ls를 입력하였으나 환경변수에 .이 선행하므로 공격자가 만들어 놓은 ls명령어를 수행

결과

hack파일이 setuid설정을 받아 실행시 root의 권한을 이용할수있게됨

보안조치

root 계정의 환경변수 설정파일("/.profile", "/.cshrc" 등)과 "/etc/profile" 등에서 PATH 환경변수에 포함되어 있는 현재 디렉터리를 나타내는 "."을 PATH 환경변수의 마지막으로 이동 "/etc/profile", root 계정의 환경변수 파일, 일반계정의 환경변수 파일을 순차적으로 검색하여 확인

저작자표시 (새창열림)

'리눅스 > 파일 및 디렉토리 관리' 카테고리의 다른 글

[CentOS 7] /dev에 존재하지 않는 device 파일 점검 (0)	2021.04.06
[CentOS 7] world writable 파일 및 환경변수 파일의 소유자 및 권한 확인 (0)	2021.04.01
[CentOS 7] SUID, SGID, Sticky bit 설정 파일 점검 (0)	2021.03.19
[CentOS 7] 파일 소유자 및 권한 설정 (0)	2021.03.17
개요 (0)	2020.12.31

개요

2020. 12. 31. 19:15

Unix 서버 취약점 분석, 평가 항목

환경 :

VMware

CentOS Linux release 7.9.2009 (Core)

다음 항목을 나만의 리눅스 서버에 적용하자!

참조

https://www.kisa.or.kr/public/laws/laws3_View.jsp?cPage=6&mode=view&p_No=259&b_No=259&d_No=106&ST=T&SV=

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원

기술안내서 가이드

www.kisa.or.kr

저작자표시 (새창열림)

'리눅스 > 파일 및 디렉토리 관리' 카테고리의 다른 글

[CentOS 7] /dev에 존재하지 않는 device 파일 점검 (0)	2021.04.06
[CentOS 7] world writable 파일 및 환경변수 파일의 소유자 및 권한 확인 (0)	2021.04.01
[CentOS 7] SUID, SGID, Sticky bit 설정 파일 점검 (0)	2021.03.19
[CentOS 7] 파일 소유자 및 권한 설정 (0)	2021.03.17
[CentOS 7] root 홈, 패스 디렉터리 권한 및 패스 설정 (0)	2021.01.02

PREV 1 NEXT

securitory