취약점 개요
■ 위험도
- 상
■ 점검 목적
- /etc/shadow 파일을 관리자만 제어할 수 있게 하여 비인가자들의 접근을 제한하도록 shadow 파일 소유자 및 권한을 관리해야함
■ 보안 위협
- 해당 파일에 대한 권한 관리자 이루어지지 않을 시 ID 및 패스워드 정보가 외부로 노출될 수 있음
점검 및 조치 방법
■ 판단 기준
- 양호 : /etc/shadow 파일의 소유자가 root이고, 권한이 400인 경우
- 취약 : /etc/shadow 파일의 소유자가 root가 아니거나, 권한이 400이 아닌경우
■ 조치 방법
/etc/shadow 파일의 소유자 및 권한 변경 (소유자 root, 권한 400)
- Solaris, Linux
1) /etc/shadow 파일의 소유자 및 권한 확인
# ls -l /etc/shadow
2) /etc/shadow 파일의 소유자 및 권한 변경(소유자 root, 권한 400)
# chown root /etc/shadow
# chmod 400 /etc/shadow
- AIX
AIX 서버는 기본적으로 /etc/security/passwd 파일에 패스워드를 암호화하여 저장ㆍ관리 하므로 해당 디렉터리 권한을 기준에 맞게 설정
1) /etc/security/passwd 디렉터리의 소유자 및 권한 확인
# ls -ld /etc/security/passwd
2) /etc/security/passwd 디렉터리의 소유자 및 권한 변경
# chown root /etc/security/passwd
# chmod 400 /etc/security/passwd
- HP-UX
HP-UX 서버는 Trusted Mode로 전환할 경우 패스워드를 암호화하여 /tcb/files/auth 디렉터리에 계정 이니셜과 계정명에 따라 파일로 저장ㆍ관리 가능
1) /tcb/files/auth 디렉터리의 소유자 및 권한 확인
# ls -ld /tcb/files/auth
2) /tcb/files/auth 디렉터리의 소유자 및 권한 변경 (소유자 root, 권한 400)
# chown root /tcb/files/auth
# chmod 400 /tcb/files/auth
■ 스크립트
echo "U-08 START"
echo "[ U-08 etc/shadow 파일 소유자 및 권한 설정 ]" >> $COMPUTERNAME 2>&1
ls -al $SHADOW >> $COMPUTERNAME 2>&1
echo " " >> $COMPUTERNAME 2>&1
echo "U-08 END" >> $COMPUTERNAME 2>&1
echo "======================================================================================" >> $COMPUTERNAME 2>&1
echo " "
echo " "