파일 및 디렉터리 소유자 설정 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드

https://www.kisa.or.kr/public/laws/laws3.jsp

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원

---

보안 가이드라인 - UNIX 서버 - 파일 및 디렉터리 관리(기본사항) - 파일 및 디렉터리 소유자 설정

취약점 개요

점검 내용

• 소유자가 불분명한 파일이나 디렉터리가 존재하는지 여부를 점검

점검 목적

• 소유자가 존재하지 않는 파일 및 디렉터리를 삭제 및 관리하여 임의의 사용자에 의한 불법적 행위를 사전에 차단하기 위함

보안 위협

• 삭제된 소유자의 UID와 동일한 사용자가 해당 파일, 디렉터리에 접근 가능하여 사용자 정보 등 중요 정보가 노출될 위험이 있음

참고

• 소유자가 존재하지 않는 파일 및 디렉터리는 퇴직자의 자료이거나 관리 소홀로 인해 생긴 파일인 경우 또는 해킹으로 인한 공격자가 만들어 놓은 악의적인 파일인 경우가 있음

---

점검대상 및 판단기준

대상

• SOLARIS, LINUX, AIX, HP-UX 등

판단기준

양호

• 소유자가 존재하지 않는 파일 및 디렉터리가 존재하지 않는 경우

취약

• 소유자가 존재하지 않는 파일 및 디렉터리가 존재하는 경우

조치방법

• 소유자가 존재하지 않는 파일 및 디렉터리 삭제 또는, 소유자 변경

---

점검 및 조치 사례

OS별 점검 파일 위치 및 점검 방법

SOLARIS, AIX

• 소유자가 nouser, nogroup인 파일이나 디렉터리 검색
• #find / -nouser -o -nogroup -xdev -1s 2 > /dev/null

HP-UX

• #find / \(-nouser -o -nogroup \_ -xdev -exec ls -al {} \; 2> /dev/null

LINUX

• #find / -nouser -print
• #find / -nogroup -print

소유자가 nouser, nogroup인 파일이나 디렉터리 존재하는 경우 아래의 보안설정 방법에 따라 디렉터리 및 파일 삭제 또는, 소유자 및 그룹을 변경함

SOLARIS, LINUX, AIX, HP-UX

• Step 1) 소유자가 존재하지 않는 파일이나 디렉터리가 불필요한 경우 rm 명령으로 삭제
      - #rm <file_name>
      - #rm <directory_name>
• Step 2) 필요한 경우 chown 명령으로 소유자 및 그룹 변경
      - #chown <user_name> <file_name>