취약점 개요
■ 위험도
- 상
■ 점검 목적
- /etc/(x)inetd.conf 파일을 관리자만 제어할 수 있게 하여 비인가자들의 임의적인 파일 변조를 방지하기 위함
■ 보안 위협
- (x)inetd.conf 파일에 비인가자의 쓰기 권한이 부여되어 있을 경우, 비인가자가 악의적인 프로그램을 등록하여 root 권한으로 불법적인 서비스를 실행할 수 있음
점검 및 조치 방법
■ 판단 기준
- 양호 : /etc/inetd.conf 파일의 소유자가 root이고, 권한이 600인 경우
- 취약 : /etc/inetd.conf 파일의 소유자가 root가 아니거나, 권한이 600이 아닌 경우
■ 조치 방법
"/etc/inetd.conf" 파일의 소유자 및 권한 변경 (소유가 root, 권한 600)
SOLARIS, LINUX, AIX, HP-UX
"/etc/inetd.conf" 파일의 소유자 및 권한 변경 (소유가 root, 권한 600)
# chown root /etc/inetd.conf
# chown 600 /etc/inetd.conf
LINUX - xinetd
# chown root /etc/xinetd.conf
# chmod 600 /etc/xinetd.conf
하위 디렉터리 파일들도 동일하게 조치하는게 좋습니다
■ 스크립트
echo "U-10 START"
echo "[ U-10 /etc/(x)inetd.conf 파일 소유자 및 권한 설정 ]" >> $COMPUTERNAME 2>&1
echo "[ /etc/xinetd.conf ]" >> $COMPUTERNAME 2>&1
if [ -f $XINETD_CONF ]
then
ls -al $XINETD_CONF >> $COMPUTERNAME 2>&1
else
echo "해당 파일이 없습니다." >> $COMPUTERNAME 2>&1
fi
echo " " >> $COMPUTERNAME 2>&1
echo "[ /etc/xinet.d/* ]" >> $COMPUTERNAME 2>&1
if [ `ls -al $XINETD_DIR/* | wc -l` -eq 0 ]
then
echo "해당 파일이 없습니다." >> $COMPUTERNAME 2>&1
else
ls -al $XINETD_DIR/* >> $COMPUTERNAME 2>&1
fi
echo " " >> $COMPUTERNAME 2>&1
echo "[ /etc/inetd.conf ]" >> $COMPUTERNAME 2>&1
if [ -f $INETD_CONF ]
then
ls -al $INETD_CONF >> $COMPUTERNAME 2>&1
else
echo "해당 파일이 없습니다." >> $COMPUTERNAME 2>&1
fi
echo " " >> $COMPUTERNAME 2>&1
echo "U-10 END" >> $COMPUTERNAME 2>&1