리눅스/계정관리
[CentOS 7] UID,GID와 관련한 보안
참두릅
2020. 12. 30. 22:37
취약점
1. root 계정과 동일 UID 계정이 존재하면 비인가자에게 노출되었을 경우, 시스템 권한을 탈취당할 수 있다(UID=0을 일반 계정이 갖는 경우)
2. OS나 Package 설치 시 Default로 생성되는 계정 및 불필요한 계정들이 존재할 경우, 스워드가 무작위 대입 공격에 의해 유출될 수 있다.
3. 시스템에 불필요한 그룹이 존재할 경우, 해당 그룹 소유의 파일이 비인가자에게 노출될 수 있는 위험이 존재함
4. 관리자 그룹에 속한 계정이 비인가자에게 유출될 경우, 시스템 권한이 탈취당 할 수 있다.
5. 침해사고 이후 추적할 경우, 동일한 UID를 악용한 공격자의 추적이 어려움
따라서, UID(0)은 오직 루트에게만 설정하고 기타 사용자와 그룹에 대한 관리를 해주자!
보안조치
■ passwd파일에서 살펴볼것
[root@localhost ~]# vi /etc/passwd
root:x:0:0:root:/root:/bin/bash
test:x:1000:1000::/home/test:/bin/bash
test2:x:1001:1001::/home/test2:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
...
*0은 오직 루트만
*중복UID 없게끔
*디폴트계정은 nologin으로 설정
■ group파일에서 살펴볼것
[root@localhost ~]# vi /etc/group
root:x:0:
test:x:1000:
test2:x:1001:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
...
*관리자 그룹에 불필요한 계정 없게끔
*불필요한 그룹 없게끔