[리눅스|계정관리] root홈, 패스 디렉터리 권한 및 패스 설정 (U-05)

 

 

취약점 개요

■ 위험도
- 상

■ 점검 목적
- 비인가자가 불법적으로 생성한 디렉터리를 우선으로 가리키지 않도록 설정 하기 위해 환경변수 점검이 필요함

■ 보안 위협
관리자가 명령어(예: Is, mv, cp등)를 수행했을 때 root 계정의 PATH 환경변수에 “.”(현재 디렉터리 지칭)이 포함되어 있으면 현재 디렉터리에 명령어와 같은 이름의 악성파일이 실행되어 악의적인 행위가 발생가능

점검 및 조치 방법

■ 판단 기준
- 양호 : PATH 환경변수에 "." 이 맨 앞이나 중간에 포함되지 않은 경우
- 취약 : PATH 환경변수에 "." 이 맨 앞이나 중간에 포함되어 있는 경우

■ 조치 방법
- root 계정의 환경변수 설정파일("/.profile", "/.cshrc" 등)과 "/etc/profile"등에서 PATH 환경변수에 포함되어 있는 현재 디렉토리를 나타내는 "."을 PATH 환경변수의 마지막으로 이동
- "/etc/profilr", root 계정의 환경변수 파일, 일반계정의 환경변수 파일을 순차적으로 검색하여 확인
◆ Shell 에 따라 참조되는 환경 설정 파일
- /bin/sh
/etc/profile, %HOME/.profile
- /bin/csh
$HOME/.cshrc, $HOME/.login, /etc/.login
- /bin/ksh
/etc/profile, $HOME/.profile, $HOME/kshrc
- /bin/bash
/etc/profile, $HOME/.bash_profile

※ 홈 디렉토리에 설정된 값이 가장 늦게 적용되어 최종 PATH로 설정됨

■ SunOS, Linux, AIX, HP-UX
1. vi 편집기를 이용하여 root 계정의 설정파일(~/.profile 과 /etc/profile)을 연 후
#vi /etc/profile
2. 아래와 같이 수정
(수정 전) PATH=.:$PATH:$HOME/bin
(수정 후) PATH=$PATH:$HOME/bin

■ 스크립트
echo "U-05 START"
echo "[ U-05 root홈 디렉터리 권한 및 패스 설정 ]" >> $COMPUTERNAME 2>&1
cat $PATH >> $COMPUTERNAME 2>&1
echo " " >> $COMPUTERNAME 2>&1
echo "U-05 END" >> $COMPUTERNAME 2>&1
echo "======================================================================================" >> $COMPUTERNAME 2>&1
echo " "
echo " "

■ 용어
- 환경변수 : 프로세스가 검퓨터에서 동작한느 방식에 영향을 미치는 동적인 값들의 지밥으로 Path 환경변수는 실행파일을 찾는 경로에 대한 변수임