root 이외의 UID가 '0' 금지 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드

https://www.kisa.or.kr/public/laws/laws3.jsp

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원

---

보안 가이드라인 - UNIX 서버 - 계정관리(선택사항) - root 이외의 UID가 '0' 금지 

취약점 개요

점검 내용

• 사용자 계정 정보가 저장된 파일에 root(UID=0) 계정과 동일한 UID(User Idntification)를 가진 계정이 존재하는지 점검

점검 목적

• root 계정과 동일한 UID가 존재하는지 점검하여 root 권한이 일반 사용자 계정이나 비인가자의 접근 위협에 안전하게 보호되고 있는지 확인하기 위함

보안 위협

• root 계정과 동일 UID 계정이 존재하여 비인가자에 노출되었을 경우 root계정 권한과 동일한 권한으로 시스템에 로그인하여 시스템 계정 정보 유출, 환경설정 파일 및 디렉터리 변조 및 삭제 등의 행위를 하여 시스템 가용성(서비스 다운, 악성코드 유포지 감염)에 영향을 미칠 수 있는 위협이 존재함
• root와 동일한 UID를 사용하므로 사용자 감사 추적 시 어려움이 발생함

참고

• UID(User Identification): 여러 명의 사용자가 동시에 사용하는 시스템에서 사용자가 자신을 대표하기 위해 쓰는 이름

---

점검대상 및 판단기준

대상

• SOLARIS, LINUX, AIX, HP-UX 등

판단기준

양호

• root 계정과 동일한 UID를 갖는 계정이 존재하지 않는 경우

취약

• root 계정과 동일한 UID를 갖는 계정이 존재하는 경우

조치방법

• UID가 0인 계정 존재 시 변경할 UID를 확인 후 다른 UID로 변경 및 불필요 시 삭제, 계정이 사용 중이면 명령어로 조치가 안 되므로, /etc/passwd 파일 설정 변경

---

점검 및 조치 사례

OS별 점검 파일 위치 및 점검 방법

SOLARIS, LINUX, HP-UX, AIX

• #cat /etc/passwd
  root:x:0:0:root:/root/bin/bash
  bin:x:1:1:bin:/bin/sbin/nologin
  daemon:x:2:2:daemon:/sbin:/sbin/nologin
• "/edc/passwd" 파일 내 UID 확인 (세 번째 필드 값)
• root 이외의 계정이 "UID=0"인 경우 0이 아닌 적절한 UID 부여

위 설정이 적용되지 않은 경우 아래의 보안설정방법에 따라 설정을 변경함

SOLARIS, LINUX, HP-UX

• Step 1) usermod 명령으로 UID가 0인 일반 계정의 UID를 100 이상으로 수정
      SOLARIS, HP-UX의 경우 100 이상
      LINUX의 경우 500 이상
      예) test 계정의 UID를 2002로 바꿀 경우 - #usermod -uid 2002 test

각 OS별로 사용자 UID체계가 달라 시스템 계정 및 일반 사용자 계정이 부여받는 값의 범위에 차이가 있으며, 공통적으로 관리자는 "UID=0"을 부여 받음

AIX

• Step 1) chuser 명령으로 UID가 0인 일반 계정의 UID를 100 이상으로 수정
      예) test 계정의 UID를 2002로 바꿀 경우
      #chuser id=2002 test