[리눅스 보안] 파일 및 디렉토리 관리 - UMASK 설정 관리

[리눅스 보안] 파일 및 디렉토리 관리 - UMASK 설정 관리

■ 대상 OS : SunOS, Linux, AIX, HP-UX

■ 취약점 개요

    - 시스템 내에서 사용자가 새로 생성하는 파일의 접근권한은 *UMASK 값에 따라 정해짐.

    - 현재 설정된 UMASK는 명령 프롬프트에서 "umask"를 수행하여 확인할 수 있으며 UMASK 값이 "027" 또는, "022"이기를 권장함

    - UMASK 값 "027"은 "rw-r-----" 접근권한으로 파일이 생성됨

    - UMASK 값 "022"는 "rw-r--r--" 접근권한으로 파일이 생성됨

    - 계정의 Start Profile(/etc/profile, /etc/default/login, .cshrc, .kshrc, .bashrc, .login, .profile 등)에 명령을 추가하면, 사용자가 로그인 한 후에도 변경된 UMASK 값을 적용받게 되며 잘못 설정된 UMASK 값은 잘못된 권한의 파일을 생성시킴

*UMASK : 파일 및 디렉토리 생성 시 기본 퍼미션을 지정해 주는 명령어를 말함.

■ 보안대책

    - 양호 : UMASK 값이 022 이하로 설정된 경우

    - 취약 : UMASK 값이 022 이하로 설정되지 않은 경우

■ 조치방법

    - 설정파일에 UMASK 값을 "022"로 설정

■ 보안설정 방법

    ◆ OS별 점검 파일 위치 및 점검 방법

        - SunOS, Linux, AIX, HP-UX

          #vi /etc/profile

          UMASK=022

    ※ 위에 제시한 UMASK 값이 해당 파일에 적용되지 않은 경우 아래의 보안설정 방법에 따라 적용

■ SunOS

    ◆ 방법-1.  : "/etc/profile" 파일을 이용한 UMASK 설정 변경

        1. vi 편집기를 이용하여 "/etc/profile" 파일을 연 후

        2. 아래와 같이 수정 또는, 신규 삽입

           umask 022

           export umask

    ◆ 방법-2.  : "/etc/default/login" 파일을 이용한 UMASK 설정 변경

        1. vi 편집기를 이용하여 "/etc/default/login" 파일을 연 후

        2. 아래와 같이 수정 또는, 신규 삽입

            (수정 전)  #UMASK=022

            (수정 후)    UMASK=022

■ Linux

    1. vi 편집기를 이용하여 "/etc/profile" 파일을 연 후

    2. 아래와 같이 수정 또는, 신규 삽입

        umask 022

        export umask

■ AIX

    ◆ 방법-1.  : "/etc/profile" 파일을 이용한 UMASK 설정 변경

        1. vi 편집기를 이용하여 "/etc/profile" 파일을 연 후

        2. 아래와 같이 수정 또는, 신규 삽입

            umask 022

            export umask

    ◆ 방법-2.  : "/etc/security/user" 파일을 이용한 UMASK 설정 변경

        1. vi 편집기를 이용하여 "/etc/security/user" 파일을 연 후

        2. default 설정 부분을 아래와 같이 수정 또는, 신규 삽입

           (수정 전)  umask =

           (수정 후)  umask = 022

※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853

문의 사항 남기기