사용자 shell 점검 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드

https://www.kisa.or.kr/public/laws/laws3.jsp

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원

---

보안 가이드라인 - UNIX 서버 - 계정관리(선택사항) - 사용자 shell 점검

취약점 개요

점검 내용

• 로그인이 불필요한 계정(adm, sys, deamon 등)에 쉘 부여 여부 점검

점검 목적

• 로그인이 불필요한 계정에 쉘 설정을 제거하여, 로그인이 필요하지 않은 계정을 통한 시스템 명령어를 실행하지 못하게 하기 위함

보안 위협

• 로그인이 불필요한 계정은 일반적으로 OS 설치 시 기본적으로 생성되는 계정으로 쉘이 설정되어 있을 경우, 공격자는 기본 계정들은 통하여 중요 파일 유출이나 악성코드를 이용한 root 권한 획득 등의 공격을 할 수 있음.

참고

• 쉘(shell): 대화형 사용자 인터페이스로써, 운영체제(OS) 가장 외곽 계층에 존재하여 사용자의 명령어를 이해하고 실행함

---

점검대상 및 판단기준

대상

• SOLARIS, LINUX, AIX, HP-UX 등

판단기준

양호

• 로그인이 필요하지 않은 계정에 /bin/false(/sbin/nologin) 쉘이 부여되어 있는 경우

취약

• 로그인이 필요하지 않은 계정 /bin/false(/sbin/nologin) 쉘이 부여되지 않은 경우

조치방법

• 로그인이 필요하지 않은 계정에 대해 /bin/false(/sbin/nologin) 쉘 부여

---

점검 및 조치 사례

OS별 점검 파일 위치 및 점검 방법

SOLARIS, LINUX, AIX, HP-UX

• #cat /etc/passwd | egrep
  "^daemon|^bin|^sys|^adm|^listen|^nobody|^nobody4|^noaccess|^diag|^operator|^games|^gopher" | grep -v "admin"

 

시스템에 불필요한 계정을 확인한 후 /bin/false(nologin) 쉘이 부여되어 있지 않은 경우 보안 설정 방법

 

SOLARIS, LINUX, AIX, HP-UX

• Step 1) vi 편집기를 이용하여 "/etc/passwd" 파일 열기
• Step 2) 로그인 쉘 부분인 계정 맨 마지막에 /bin/false(/sbin/nologin) 부여 및 변경
      (수정 전) daemon:x:1:1::/:/sbin/ksh
      (수정 후) daemon:x:1:1::/:/bin/false 또는, daemon:x:1:1::/:/sbin/nologin