[리눅스 보안] 서버 관리 - at 파일 소유자 및 권한 설정
■ 대상 OS : SunOS, Linux, AIX, HP-UX
■ 취약점 개요
- *at 명령어 사용자 제한은 at.allow 파일과 at.deny 파일에서 할 수 있으므로 보안상 해당 파일에 대한 접근제한이 필요함. 만약 at 접근제한 파일의 권한이 잘못되어 있을 경우 권한을 획득한 사용자 계정을 등록하여 불법적인 예약 파일 실행으로 시스템 피해를 발생할 수 있음
*at 데몬(일회성 작업 예약) : 지정한 시간에 어떠한 작업이 실행될 수 있도록 작업 스케쥴을 예약 처리해 주는 기능을 제공함.
/etc/at.allow 파일에 등록된 사용자만이 at 명령을 사용할 수 있음.
■ 보안대책
- 양호 : at 접근제어 파일의 소유자가 root이고, 권한이 640 이하인 경우
- 취약 : at 접근제어 파일의 소유자가 root가 아니거나, 권한이 640 이하가 아닌 경우
■ 조치방법
- "at.allow", "at.deny" 파일 소유자 및 권한 변경 (소유자 root, 권한 640 이하)
■ 보안설정 방법
◆ OS별 점검 파일 위치 및 점검 방법
- SunOS
"/etc/cron.d/at.allow", "/etc/cron.d/at.deny" 파일의 소유자 및 권한 확인
#ls -l /etc/cron.d/at.allow
#ls -l /etc/cron.d/at.deny
rw-r---- root <파일명>
- Linux
"/etc/at.allow", "/etc/at.deny" 파일의 소유자 및 권한 확인
#ls -l /etc/at.allow
#ls -l /etc/at.deny
rw-r---- root <파일명>
- AIX, HP-UX
"/car/adm/cron/at.allow", "/var/adm/cron/at.deny" 파일의 소유자 및 권한 확인
#ls -l /var/adm/cron/at.allow
#ls -l /var/adm/cron/at.deny
rw-r---- root <파일명>
※ 위에 제시한 파일의 소유자가 root가 아니거나 파일의 권한이 640 이하가 아닌 경우 아래의 보안설정 방법에 따라 설정을 변경
■ SunOS
1. "/etc/dron.d/at.allow" 및 "/etc/cron.d/at.deny" 파일의 소유자 및 권한 변경
#chown root /etc/cron.d/at.allow
#chmod 640 /etc/cron.d/at.allow
#chown root /etc/cron.d/at.deny
#chmod 640 /etc/cron.d/at.deny
■ Linux
1. "/etc/at.allow" 및 "/etc/at.deny" 파일의 소유자 및 권한 변경
#chown root /etc/at.allow
#chmod 640 /etc/at.allow
#chown root /etc/at.deny
#chmod 640 /etc/at.deny
■ AIX, HP-UX
1. "/var/adm/cron/at.allow" 및 "/var/adm/cron/at.deny" 파일의 소유자 및 권한 변경
#chown root /var/adm/cron/at.allow
#chmod 640 /var/adm/cron/at.allow
#chown root /var/adm/cron/at.deny
#chmod 640 /var/adm/cron/at.deny
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 리눅스 서버' 카테고리의 다른 글
[리눅스 보안] 서버 관리 - SNMP 서비스 Sommunity String의 복잡성 설정 (0) | 2017.04.10 |
---|---|
[리눅스 보안] 서버 관리 - SNMP 서비스 구동 점검 (0) | 2017.04.03 |
[리눅스 보안] 서버 보안 - Ftpusers 파일 설정 (0) | 2017.03.25 |
[리눅스 보안] 서버 관리 - ftpusers 파일 소유자 및 권한 설정 (0) | 2017.03.24 |
[리눅스 보안] 서버 보안 - FTP 계정 shell 제한 (0) | 2017.03.23 |