[리눅스/계정관리] root 계정 원격 접속 제한 (U-01)

취약점 개요

■ 위험도
 - 상

■ 점검 목적
 - root 계정 원격 접속 차단 설정 여부를 점검하여 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하는지 확인하기 위함

■ 보안 위협
 - 각종 공격(무작위 대입 공격, 사전 대입 공격 등)을 통해 root 원격 접속차단이 적용되지 않은 시스템의 root 계정 정보를 비인가자가 획득할 경우 시스템 계정 정보 유출, 파일 및 디렉터리 변조 등의 행위 침해사고가 발생할 수 있음

점검 및 조치 방법

■ 판단 기준
 - 양호 : 원격 터미널 서비스를 사용하지 않거나, 사용시 root 직접 접속을 차단한 경우
 - 취약 : 원격 터미널 서비스 사용 시 root 직접 접속을 허용한 경우

■ 조치 방법

•  "/etc/securetty" 파일의 pts/0 ~ pts/x , 파일에서 설정 제거 또는 주석 처리
•  "/etc/pam.d/login" 파일 수정
  (수정전) #auth required /lib/security/pam_securetty.so 수정 전
  (수정후) auth required /lib/security/pam_securetty.so 수정 후

 

■ 스크립트

 #!/bin/bash

cat << EOF

===== [U-01] root 계정 원격 접속 제한 =====
1. /etc/securetty file 점검
2. /etc/securetty 파일에 pts 라는 단어가 있는지 점검
pts 단어가 없으면 "정상"
pts 단어가 있으면 "비정상"
===============================

EOF

grep pts /etc/securetty > /dev/null 2>&1
if [ $? -eq 0 ] ; then
echo "비정상"
else
echo "정상"
fi

용어 설명

• root 계정 : 여러 사용자가 사용하는 컴퓨터에서 전체적으로 관리할 수 있는 총괄 권한을 가진 유일한 특별 계정. 유닉스 시스템의 루트(root)는 시스템 관리자인 운용 관리자(Super User)로서 윈도우의 관리자(Administrator)에 해당하며, 사용자 계정을 생성하거나 소프트웨어를 설치하고, 환경 및 설정을 변경하거나 시스템의 동작을 감시 및 제어할 수 있음
• tty(terminal-teletype) : 서버와 연결된 모니터, 키보드 등을 통해 사용자가 콘솔로 직접 로그인
• pts(pseudo-terminal, 가상터미널) : Telnet, SSH, 터미널 등을 이용하여 접속