[CentOS 7] 파일 소유자 및 권한 설정

취약점

1. 사용자가 없는 파일은 관리가 되지 않아 공격자의 도구로 사용될 수 있다. 따라서 NOUSER 파일은 삭제해주자!

2. 시스템의 중요 파일의 권한 관리가 미비할 경우 내부 자원의 유출 및 변조와 서비스 오작동을 초래할 수 있다.

 

보안조치

■ 사용자가 없는 파일은 지워준다.

#find / -nouser -exec rm {} \;
#find / -nogroup -exec rm {} \;

 

■ /etc/passwd파일의 소유자가 관리자인 것과 권한이 644로 설정되어있는지 확인한다.

"/etc/passwd" 파일의 변조가 가능할 경우 shell변조, 사용자 추가/삭제, root 권한 획득이 가능함

[root@localhost ~]# ls -la /etc/passwd 
-rw-r--r--. 1 root root 2456  1월  5 23:41 /etc/passwd

 

■ /etc/shadow 파일의 소유자가 관리자인 것과 오직 읽기 권한만 할당되어있는지 확인한다.

"/etc/shadow" 파일은 시스템 모든 계정의 암호화된 패스워드가 저장된 파일이다. 따라서 관리자만이 열람할 수 있도록 한다.

[root@localhost ~]# ls -la /etc/shadow
-r--------. 1 root root 1501  1월  5 23:41 /etc/shadow

 

■ "/etc/hosts" 파일의 소유자가 관리자인 것과 권한이 600인지 확인한다.

"/etc/hosts" 파일은 웹페이지의 IP주소를 찾을 때 사용되며 DNS 서버보다 우선한다. 이 파일이 변조되면 악성 사이트로 접속되는 파밍 공격 등에 악용될 수 있다.

[root@localhost ~]# ls -la /etc/hosts
-rw-------. 1 root root 158  6월  7  2013 /etc/hosts

 

■ "/etc/(x)inetd.conf" 파일의 소유자가 관리자인 것과 권한이 600인지 확인한다.

위 파일은 슈퍼데몬 설정 파일로써, 비인가자에게 쓰기 권한이 부여되어있을 경우 root권한으로 불법적인 서비스를 실행할 수 있다.

[root@localhost ~]# ls -la /etc/xinetd.conf 
-rw-------. 1 root root 1001  4월  1  2020 /etc/xinetd.conf

 

■ "/etc/syslog.conf" 파일의 소유자가 관리자인 것과 권한이 644인지 확인한다.

위 파일은 syslog데몬의 설정 파일로서, 공격자는 파일 변조를 통해 흔적 또는 시스템 오류 사항을 분석하기 어렵게 할 수 있다.

[root@localhost ~]# ls -la /etc/rsyslog.conf 
-rw-r--r--. 1 root root 3232  9월 30 22:19 /etc/rsyslog.conf

 

■ "/etc/services" 파일의 소유자가 관리자인 것과 권한이 644인지 확인한다.

위 파일은 시스템 내의 모든 서비스에 매칭 되는 포트번호를 정의하는 파일이다. 공격자는 운영 포트 번호를 변경하여 정상적인 서비스를 제한하거나 허용되지 않은 포트를 열어 악성 서비스를 의도적으로 실행할 수 있다.

[root@localhost ~]# ls -la /etc/services 
-rw-r--r--. 1 root root 670293  6월  7  2013 /etc/services

 

 

마무리

위 파일들이 보편적인 설정 파일인 만큼 공격의 노출도 또한 높다. 따라서 권한 관리를 잘해줘야 한다.