[리눅스 보안] 파일 및 디렉토리 관리 - UMASK 설정 관리
■ 대상 OS : SunOS, Linux, AIX, HP-UX
■ 취약점 개요
- 시스템 내에서 사용자가 새로 생성하는 파일의 접근권한은 *UMASK 값에 따라 정해짐.
- 현재 설정된 UMASK는 명령 프롬프트에서 "umask"를 수행하여 확인할 수 있으며 UMASK 값이 "027" 또는, "022"이기를 권장함
- UMASK 값 "027"은 "rw-r-----" 접근권한으로 파일이 생성됨
- UMASK 값 "022"는 "rw-r--r--" 접근권한으로 파일이 생성됨
- 계정의 Start Profile(/etc/profile, /etc/default/login, .cshrc, .kshrc, .bashrc, .login, .profile 등)에 명령을 추가하면, 사용자가 로그인 한 후에도 변경된 UMASK 값을 적용받게 되며 잘못 설정된 UMASK 값은 잘못된 권한의 파일을 생성시킴
*UMASK : 파일 및 디렉토리 생성 시 기본 퍼미션을 지정해 주는 명령어를 말함.
■ 보안대책
- 양호 : UMASK 값이 022 이하로 설정된 경우
- 취약 : UMASK 값이 022 이하로 설정되지 않은 경우
■ 조치방법
- 설정파일에 UMASK 값을 "022"로 설정
■ 보안설정 방법
◆ OS별 점검 파일 위치 및 점검 방법
- SunOS, Linux, AIX, HP-UX
#vi /etc/profile
UMASK=022
※ 위에 제시한 UMASK 값이 해당 파일에 적용되지 않은 경우 아래의 보안설정 방법에 따라 적용
■ SunOS
◆ 방법-1. : "/etc/profile" 파일을 이용한 UMASK 설정 변경
1. vi 편집기를 이용하여 "/etc/profile" 파일을 연 후
2. 아래와 같이 수정 또는, 신규 삽입
umask 022
export umask
◆ 방법-2. : "/etc/default/login" 파일을 이용한 UMASK 설정 변경
1. vi 편집기를 이용하여 "/etc/default/login" 파일을 연 후
2. 아래와 같이 수정 또는, 신규 삽입
(수정 전) #UMASK=022
(수정 후) UMASK=022
■ Linux
1. vi 편집기를 이용하여 "/etc/profile" 파일을 연 후
2. 아래와 같이 수정 또는, 신규 삽입
umask 022
export umask
■ AIX
◆ 방법-1. : "/etc/profile" 파일을 이용한 UMASK 설정 변경
1. vi 편집기를 이용하여 "/etc/profile" 파일을 연 후
2. 아래와 같이 수정 또는, 신규 삽입
umask 022
export umask
◆ 방법-2. : "/etc/security/user" 파일을 이용한 UMASK 설정 변경
1. vi 편집기를 이용하여 "/etc/security/user" 파일을 연 후
2. default 설정 부분을 아래와 같이 수정 또는, 신규 삽입
(수정 전) umask =
(수정 후) umask = 022
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 리눅스 서버' 카테고리의 다른 글
| [리눅스 보안] 파일 및 디렉토리 관리 - 홈 디렉토리로 지정한 디렉토리의 존재 관리 (0) | 2017.02.07 |
|---|---|
| [리눅스 보안] 파일 및 디렉토리 관리 - 홈 디렉토리 소유자 및 권한 설정 (1) | 2017.02.06 |
| [리눅스 보안] 파일 및 디렉토리 관리 - NIS 서비스 비활성화 (0) | 2017.02.01 |
| [리눅스 보안] 파일 및 디렉토리 관리 - hosts.lpd 파일 소유자 및 권한 설정 (0) | 2017.01.31 |
| [리눅스 보안] 리눅스 파일 및 디렉토리 관리 - 접속 IP 및 포트 제한 (0) | 2017.01.27 |