본문 바로가기

Infra/리눅스 서버

[리눅스 보안] 서버 관리 - cron 파일 소유자 및 권한 설정

[리눅스 보안] 서버 관리 - cron 파일 소유자 및 권한 설정



■ 대상 OS : SunOS, Linux, AIX, HP-UX


■ 취약점 개요

    - *Cron 시스템은 cron.allow 파일과 cron.deny 파일을 통하여 명령어 사용자를 제한할 수 있으며 보안상 해당 파일에 대한 접근제한이 필요함. 

    - 만약 cron 접근제한 파일의 권한이 잘못되어 있을 경우 권한을 획득한 사용자가 악의적인 목적으로 임의의 계정을 등록하여 불법적인 예약 파일 실행으로 시스템 피해를 일으킬 수 있음

    * Cron 시스템 : 특정 작업을 정해진 시간에 주기적으고 반복적으로 실행하기 위한 데몬과 그 설정들을 말함


■ 보안대책

    - 양호 : cron 접근제어 파일 소유자가 root이고, 권한이 640 이하인 경우

    - 취약 : cron 접근제어 파일 소유자가 root가 아니거나, 권한이 640 이하가 아닌 경우


■ 조치방법

    - "cron.allow", "cron.deny" 파일 소유자 및 권한 변경 (소유자 root, 권한 640 이하)


■ 보안설정 방법

    ◆ OS별 점검 방법

        - SunOS, Linux, AIX, HP-UX

          Cron 관련 파일 권한 확인

          #ls -al <cron 접근제어 파일 경로>

          rw-r----- root <cron 접근제어 파일>


    ◆ OS별 점검 파일 위치

        - Linux, AIX, HP-UX

          /var/spool/cron/crontabs/*

        - SunOS

          /etc/crontab, /etc/cron.daily/*, /etc/cron.hourly/*, /etc/cron.monthly/*, /etc/cron.weekly/*, /var/spool/cron/*


    ※ "cron" 접근제어 설정이 적절하지 않은 경우 아래의 보안설정방법에 따라 설정을 변경함


■ SunOS

    1. "/etc/cron.d/cron.allow" 및 "/etc/cron.d/cron.deny" 파일의 소유자 및 권한 확인

       #ls -l /etc/cron.d/cron.allow

       #ls -l /etc/cron.d/cron.deny

    2. "/etc/cron.d/cron.allow" 및 "/etc/cron.d/cron.deny" 파일의 소유자 및 권한 변경

       #chown root /etc/cron.d/cron.allow

       #chmod 640 /etc/cron.d/cron/allow

       #chown root /etc/cron.d/cron.deny

       #chmod 640 /etc/cron.d/cron.deny


■ Linux

    1. "/etc/cron.allow" 및 "/etc/cron.deny" 파일의 소유자 및 권한 확인

      #ls -l /etc/cron.allow

       #ls -l /etc/cron.deny

    2. "/etc/cron.allow" 및 "/etc/cron.deny" 파일의 소유자 및 권한 변경

       #chown root /etc/cron.allow

       #chmod 640 /etc/cron.allow

       #chown root /etc/cron.deny

       #chmod 640 /etc/cron.deny





※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853


문의 사항 남기기