본문 바로가기
Infra/리눅스 서버

[리눅스 보안] 리눅스 파일 및 디렉토리 관리 - $HOME/.rhosts, hosts.equiv 사용 금지

하늘이데아 2017. 1. 26. 10:07

[리눅스 보안] 리눅스 파일 및 디렉토리 관리 - $HOME/.rhosts, hosts.equiv 사용 금지



■ 대상 OS : SunOS, Linux, AIX, HP-UX


■ 취약점 개요

    - *'r'command 사용을 통한 원격 접속은 *NET Backup이나 다른 용도로 사용되기도 하나, 보안상 매우 취약하여 서비스 포트가 열려있을 경우 중요 정보 유출 및 시스템 장애 발생 등 침해사고의 원인이 됨.

    - 만약 사용이 불가피한 경우 /etc/hosts.equiv 파일 및 .rhosts 파일 사용자를 root 또는, 해당 계정으로 설정한 뒤 권한을 600으로 설정하고 해당 파일 설정에 '+' 설정(모든 호스트 허용)이 포함되지 않도록 함

    *'r'command : 인증 없이 관리자의 원격접속을 가능하게 하는 명령어들로 rsh(remsh), rlogin, rexec 등이 있음

    *NET Backup : 이기종 운영체제 간 백업을 지원하는 Symantec 사의 백업 및 복구 툴을 말함.


■ 보안대책

    - 양호 : login, shell, exec 서비스를 사용하지 않거나, 사용 시 아래와 같은 설정이 적용된 경우

              1. /etc/hosts.equiv 및 $HOME/.rhosts 파일 소유자가 root 또는, 해당 계정인 경우

              2. /etc/hosts.equiv 및 $HOME/.rhosts 파일 권한이 600 이하인 경우

              3. /etc/hosts.equiv 및 $HOME/.rhosts 파일 설정에 '+' 설정이 없는 경우

    - 취약 : login, shell, exec 서비스를 사용하고, 위와 같은 설정이 적용되지 않은 경우


■ 조치방법

    1. /etc/hosts.equiv 및 $HOME/.rhosts 파일 소유자를 root 또는, 해당 계정으로 변경

    2. /etc/hosts.equiv 및 $HOME/.rhosts 파일 권한을 600 이하로 변경

    3. /etc/hosts.equiv 및 $HOME/.rhosts 파일에서 "+"를 제거하고 반드시 필요한 호스트 및 계정만 등록


■ 보안설정 방법

    ◆ OS별 점검 파일 위치 및 점검 방법

        -SunOS, Linux, AIX, HP-UX

         1. 파일 소유자 및 권한 확인

            #ls -al /etc/hosts.equiv

            #ls -al %HOME/.rhosts

             rw------- root <hosts.equiv 파일>

             rw------- root <$HOME/.rhosts 파일>


          2. 계정 별 '+' 부여 적절성 확인

             #cat /etc/hosts.equiv

             #cat $HOME/.rhosts

  • /etc/hosts.equiv : 서버 설정 파일
  • $HOME/.rhosts : 개별 사용자의 설정 파일

※ /etc/hosts.equiv 및 $HOME/.rhosts" 파일의 소유자가 root가 아니거나 파일의 권한이 600이 아닌 경우 아래의 보안설정 방법에 따라 설정을 변경


■ SunOS, Linux, AIX, HP-UX

    1. "/etc/hosts.equiv" 및 $HOME/.rhosts" 파일의 소유자를 root 또는, 해당 계정으로 변경

        #chown root /etc/hosts.equiv

        #chown <user_name> $HOME/.rhosts

    2. "/etc/hosts.equiv" 및 "$HOME/.rhosts" 파일의 권한을 600이하로 변경

        #chmod 600 /etc/hosts.equiv

        #chmod 600 $HOME/.rhosts

    3. "/etc/hosts.equiv" 및 "$HOME/.rhosts" 파일에서 "+"를 제거하고 허용 호스트 및 계정 등록

        #cat /etc/hosts.equiv (or $HOME/.rhosts)

+ + 

모든 호스트의 모든 계정을 신뢰 

+ test

모든 호스트의 test 계정을 신뢰 

Web1 +

Web1 호스트의 모든 계정을 신뢰 


※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853


문의 사항 남기기



저작자표시 비영리 변경금지

'Infra > 리눅스 서버' 카테고리의 다른 글

[리눅스 보안] 파일 및 디렉토리 관리 - hosts.lpd 파일 소유자 및 권한 설정  (0) 2017.01.31
[리눅스 보안] 리눅스 파일 및 디렉토리 관리 - 접속 IP 및 포트 제한  (0) 2017.01.27
[리눅스 보안] 리눅스 파일 및 디렉토리 관리 - /dev에 존재하지 않는 device 파일 점검  (0) 2017.01.24
[리눅스 보안] 리눅스 파일 및 디렉토리 관리 - world writable 파일 점검  (1) 2017.01.23
[리눅스 보안] 리눅스 파일 및 디렉토리 관리 - 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정  (0) 2017.01.21

'Infra/리눅스 서버' Related Articles

티스토리툴바