/dev에 존재하지 않는 device 파일 점검
취약점 개요
■ 위험도
- 상
■ 점검 목적
- 실제 존재하지 않는 디바이스를 찾아 제거함으로써 root 파일 시스템 손상 및 다운 등의 문제를 방지하기 위함
■ 보안 위협
- 공격자는 rootkit 설정파일들을 서버 관리자가 쉽게 발견하지 못하도록 /dev에 device 파일인 것처럼 위장하는 수법을 많이 사용함
점검 및 조치 방법
■ 판단 기준
- 양호 : dev에 대한 파일 점검 후 존재하지 않는 device 파일을 제거한 경우
- 취약 : dev에 대한 파일 미점검 또는, 존재하지 않는 device 파일을 방치한 경우
■ 조치 방법
- major, minor number를 가지지 않는 device 파일 제거
◎ SOLARIS, LINUX, AIX, HP-UX
Step 1) /dev 디렉터리 파일 점검
# find /dev -type f -exec ls -l {} \;
Step 2) major, minor number를 가지지 않는 device일 경우 삭제
■ 스크립트
echo "16. /dev에 존재하지 않는 device 파일 점검"
echo "16. /dev에 존재하지 않는 device 파일 점검" >> $CF 2>&1
DF="16-1.Device_file.txt"
find /dev -type f -exec ls -l {} \; | awk '{print $1, $8}' > $DF
echo " 생성된 16-1.Device_file.txt 및 보고서 파일 참조" >> $CF 2>&1
echo " 마찬가지로 서버의 환경마다 다르기 때문에 수동적인 체크가 필요함" >> $CF 2>&1
echo
echo >> $CF 2>&1
■ 용어 설명 / 팁
/dev 디렉터리 : 논리적 장치 파일을 담고 있는 /dev 디렉터리는 /devices 디렉터리에 있는 물리적 장치 파일에 대한 심볼릭 링크입니다. 예를 들어 rmt0를 rmto로 잘못 입력한 경우 rmto 파일이 새로 생성되는 것과 같이 디바이스 이름 입력 오류 시 root 파일 시스템이 에러를 일으킬 때까지 /dev 디렉터리에 계속해서 파일을 생성함