계정이 존재하지 않는 GID 금지 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드

https://www.kisa.or.kr/public/laws/laws3.jsp

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원

---

보안 가이드라인 - UNIX 서버 - 계정관리(선택사항) - 계정이 존재하지 않는 GID 금지

취약점 개요

점검 내용

• 그룹 (예 /etc/group) 설정 파일에 불필요한 그룹(계정이 존재하지 않고 시스템 관리나 운용에 사용되지 않는 그룹, 계정이 존재하고 시스템 관리나 운용에 사용되지 않는 그룹 등) 이 존재하는지 점검

점검 목적

• 시스템에 불필요한 그룹이 존재하는지 점검하여 불필요한 그룹의 소유권으로 설정되어 있는 파일의 노출에 의해 발생할 수 있는 위험에 대한 대비가 되어 있는지 확인하기 위함

보안 위협

• 시스템에 불필요한  그룹이 존재할 경우 해당 그룹 소유의 파일이 비인가자에게 노출될 수 있는 위험이 존재함

참고

• GID(Group Identification): 다수의 사용자가 특정 개체를 공유할 수 있게 연계시키는 특정 그룹의 이름으로 주로 계정처리 목적으로 사용되며, 한 사용자는 여러 개의 GID를 가질 수 있음.
• /etc/group 파일만으로 구성원이 없는 group 파일만으로 구성원이 없는 group이라 판단하기 힘들다. /etc/passwd와 /etc/group을 같이 확인하여 판단하기를 권고

---

점검대상 및 판단기준

대상

• SOLARIS, LINUX, AIX, HP-UX 등

판단기준

양호

• 시스템 관리나 운용에 불필요한 그룹이 삭제되어 있는 경우

취약

• 시스템 관리나 운용에 불필요한 그룹이 존재할 경우

조치방법

• 불필요한 그룹이 있을 경우 관리자와 검토하여 제거

---

점검 및 조치 사례

OS별 점검 파일 위치 및 점검 방법

SOLARIS, LINUX, AIX, HP-UX

• #cat /etc/group 

LINUX

• #cat /etc/gshadow
  gshadow 파일: "shadow" 파일에 사용자 계정의 암호가 저장되어 있는 것처럼 시스템 내 존재하는 그룹의 암호 정보 저장 파일로 그룹 관리자 및 구성원 설정 가능

불필요한 그룹이 존재하는 경우 제거 방법

• #groupdel <group_name> (구성원이 없거나, 더 이상 사용하지 않는 그룹명 삭제)