[리눅스 보안] 서버 관리 - automountd 제거
■ 대상 OS : SunOS, Linux, AIX, HP-UX
■ 취약점 개요
- * automountd 데몬에는 로컬 공격자가 데몬에 *RPC(Remote Procedure Call)를 보낼수 있는 취약점이 존재하여 이를 통해 파일 시스템의 마운트 옵션을 변경하여 root 권한을 획득할 수 있으며, 로컬 공격자가 automountd 프로세스 권한으로 임의의 명령을 실행할 수 있음
* automountd : 클라이언트에서 자동으로 서버에 마운트 시키고 일정 시간 사용하지 않으면 unmount 시켜 주는 기능을 말함
* RPC(Remote Procedure Call) : 분산 환경에서 서버 응용 프로그램에 접근하여 특정 작업을 요구하는 Call을 말함
■ 보안대책
- 양호 : automountd 서비스가 비활성화 되어 있는 경우
- 취약 : automountd 서비스가 활성화 되어 있는 경우
■ 조치방법
- automountd 서비스 비활성화
■ 보안설정 방법
◆ OS별 점검 파일 위치 및 점검 방법
- Linux, AIX, HP-UX, SunOS 5.9 이하 버전
automountd 서비스 데몬 확인 (automountd 동작 SID 확인)
#ps -ef | grep automount
root 1131 1 0 Jun 15 ? 32:11 /usr/sbin/automountd
- SunOS 5.10 이상 버전
automountd 서비스 데몬 확인
#svcs -a | egrep "autofs"
※ "automountd" 서비스가 활성화된 경우 아래의 보안설정 방법에 따라 서비스 데몬 중지
■ Linux, AIX, HP-UX, SunOS 5.9 이하 버전
- automountd 서비스 데몬 중지
#kill -9 [PID]
■ SunOS 5.10 이상 버전
1. autofs 서비스 데몬 확인
svc:/system/filesystem/autofs:default
2. svcadm disable "중지하고자 하는 데몬" 명령으로 서비스 데몬 중지
#svcadm disable svc:/system/filesystem/autofs:default
■ 조치 시 영향
- NFS 및 삼바(Samba) 서비스에서 사용 시 automountd 사용 여부 확인이 필요하며, 적용 시 CDROM의 자동 마운트는 이뤄지지 않음 (/etc/auto.*, /etc/auto_* 파일을 확인하여 필요 여부 확인)
*삼바(Samba) : 서로 다른 운영체제(OS) 간의 자원 공유를 위해 이용하는 서버로 같은 네트워크 내 연결된 PC는 서로 운영체제가 달라도 네트워크로 파일을 주고 받을 수 있고 자원을 공유할 수 있음
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 리눅스 서버' 카테고리의 다른 글
[리눅스 보안] 서버 관리 - NIS, NIS+ 점검 (0) | 2017.03.03 |
---|---|
[리눅스 보안] 서버 관리 - RPC 서비스 확인 (0) | 2017.02.28 |
[리눅스 서버] 서버 관리 - NFS 접근통제 (0) | 2017.02.22 |
[리눅스 보안] 서버 관리 - NFS 서비스 비활성화 (0) | 2017.02.20 |
[리눅스 보안] 서버 관리 - DoS 공격에 취약한 서비스 비활성화 (0) | 2017.02.17 |