[리눅스 보안] 서버 관리 - Apache 링크 사용금지

[리눅스 보안] 서버 관리 - Apache 링크 사용금지

■ 대상 OS : SunOS, Linux, AIX, HP-UX

■ 취약점 개요

    - 일부 서버는 *심볼록 링크(Symbolic link)를 이용하여 기존의 웹 문서 이외의 파일시스템 접근이 가능하도록 하고 있음. 이러한 방법은 편의성을 제공하는 반면, 일반 사용자들도 시스템 중요 파일에 접근할 수 있게 하는 보안 문제를 발생시킴. 가령 시스템 자체의 root 디렉토리(/)에 링크를 걸게 되면 웹 서버 구동 사용자 권한(nobody)으로 모든 파일 시스템의 파일에 접근할 수 있게 되어 "/etc/passwd" 파일과 같은 민감한 파일을 누구나 열람할 수 있게 됨.

    *심볼릭 링크(Symbolic link, 소프트 링크) : 윈도우 운영체제의 바로가기 아이콘과 비슷함. 링크 생성 시 파일 내용은 존재하지 않으나 사용자가 파일을 요청하면 링크가 가리키고 있는 원본 데이터에서 데이터를 가져와서 전달함. 직접 원본을 가리키지 않고 원본 데이터를 가리키는 포인터를 참조함으로써 원본데이터가 삭제, 이동, 수정이 되면 사용 불가함.

■ 보안대책

    - 양호 : 심볼릭 링크, Aliases 사용을 제한한 경우

    - 취약 : 심볼릭 링크, Aliases 사용을 제한하지 않은 경우

■ 조치방법

    - 심볼릭 링크, Aliases 사용 제한

    - (/[Apache_home]/conf/httpd.conf 파일에 설정된 모든 디렉토리의 Options 지시자에서 심볼록 링크를 가능하게 하는 FollowSymLinks 옵션 제거)

■ 보안설정 방법

    ◆ OS별 점검 파일 위치 및 점검 방법

        - SunOS, Linux, AIX, HP-UX

          Options 지시자 FollowSymLinks 옵션 제거 여부 확인

          #vi /[Apache_home]/conf/httpd.conf

          Options Indexes FollowSymLinks

    ※ 위에 제시한 옵션이 적용되어 있는 경우 아래의 보안설정 방법에 따라 옵션을 제거

■ SunOS, Linux, AIX, HP-UX

    1. vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일을 연 후

       #vi /[Apache_home]/conf/httpd.conf

    2. 설정된 모든 디렉토리의 Options 지시자에서 FollowSymLinks 옵견 제거

       (수정 전) Options 지시자에 FollowSymLinks 옵션이 설정되어 있음

<Directory />

Options Indexes FollowSymLinks

AllowOverride None

Order allow, deny

Allow from all

</Directory>

       (수정 후) Options 지시자에 FollowSymLinks 옵션 제거 후 저장

<Directory />

Options Indexes

AllowOverride None

Order allow, deny

Allow from all

<Directory>

※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853

문의 사항 남기기