root 홈, 패스 디렉터리 권한 및 패스 설정 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드

https://www.kisa.or.kr/public/laws/laws3.jsp

기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원

---

보안 가이드라인 - UNIX 서버 - 파일 및 디렉터리 관리(기본사항) - root 홈, 패스 디렉터리 권한 및 패스 설정

취약점 개요

점검 내용

• root 계정의 PATH 환경변수에 "."이 포함되어 있는지 점검

점검 목적

• 비인가자가 불법적으로 생성한 디렉터리를 우선으로 가리키지 않도록 설정하기 위해 환경변수 점검이 필요함

보안 위협

• 관리자가 명령어(예: ls, mv, cp 등)를 수행했을 때 root 계정의 PATH 환경변수에 "."(현재 디렉터리 지칭)이 포함되어 있으면 현재 디렉터리에 명령어와 같은 이름의 악성 파일이 실행되어 악의적인 행위가 일어날 수 있음.

참고

• 환경변수: 프로세스가 컴퓨터에서 동작하는 방식에 영향을 미치는 동적인 값들의 집합으로 Path 환경변수는 실행파일을 찾는 경로에 대한 변수

---

점검대상 및 판단기준

대상

• SOLARIS, LINUX, AIX, HP-UX 등

판단기준

양호

• PATH 환경변수에 "." 이 맨 앞이나 중간에 포함되지 않은 경우

취약

• PATH 환경변수에 "." 이 맨 앞이나 중간에 포함되어 있는 경우

조치방법

• root 계정의 환경변수 설정파일("/.profile", "/.cshrc" 등)과 "/etc/proflie" 등에서 PATH 환경변수에 포함되어 있는 현재 디렉터리를 나타내는 "."을 PATH 환경변수의 마지막으로 이동 "/etc/profile", root 계정의 환경변수 파일, 일반계정의 환경변수 파일을 순차적으로 검색하여 확인

---

점검 및 조치 사례

OS별 점검 파일 위치 및 점검 방법

SOLARIS, LINUX, AIX, HP-UX

• #echo $PATH
  /usr/local/sbin:/sbin:/usr/sbin:/bin:/usr/bin/X11:/usr/local/bin:/usr/bin:/usr/X11R6/bin:/root/bin
  위와 같이 출력되는 PATH 변수 내에 "." 또는 "::" 포함 여부 확인

PATH 변수 내에 ".", "::" 이 맨 앞에 존재하는 경우 아래의 보안설정방법에 따라 설정을 변경함

• SHELL에 따라 참조되는 환경 설정 파일
      /bin/sh - /etc/profile, $HOME/.profile
      /bin/csh - $HOME/.cshrc, $HOME/.login, /etc/.login
      /bin/ksh - /etc/profile, $HOME/.profile, $HOME/kshrc
      /bin/bash - /etc/profile, $HOME/.bash_profile
  
  

SOLARIS, LINUX, ALX, HP-UX

• Step 1) vi 편집기를 이용하여 root 계정의 설정파일(~/.profile 과 /etc/profile) 열기
      #vi /etc/profile
• Step 2) 아래와 같이 수정
        (수정 전) PATH=.: $PATH:$HOME/bin
        (수정 후) PATH=$PATH:$HOME/bin:.