[리눅스 보안] 리눅스 계정관리 - 계정이 존재하지 않는 GID 금지
■ 대상 OS : SunOS, Linux, AIX, HP-UX
■ 취약점 개요
- 미흡한 계정 그룹 관리로 인해 구성원이 없는 그룹이 존재할 경우 해당 그룹 소유의 파일이 비인가자에게 노출될 위험이 있음
- 계정이 존재하지 않는 *GID(Group Identification) 설정을 관리자와 검토 후 제거하여야 함
※ GID(Group Identification) : 다수의 사용자가 특정 개체를 공유할 수 있게 연계시키는 특정 그룹의 이름으로 주로 계정처리 목적으로 사용되며, 한 사용자는 여러 개의 GID를 가질 수 있음
■ 보안대책
- 양호 : 존재하지 않는 계정에 GID 설정을 금지한 경우
- 취약 : 존재하지 않은 계정에 GID 설정이 되어 있는 경우
■ 구성원이 존재하지 않는 그룹이 있을 경우 관리자와 검토하여 제거
■ 보안설정 방법
◆ OS별 점검 파일 위치 및 점검 방법
- SunOS, Linux, HP-UX, AIX
#cat /etc/group (※ "group" 파일구조 참조)
- Linux
#cat /etc/gshadow
* gshadow 파일 : "shadow" 파일에 사용자 계정의 암호가 저장되어 있는 것처럼 시스템 내 존재하는 그룹의 암호 정보 저장 파일로 그룹 관리자 및 구성원 설정 가능 "gshadow"파일 내 필드는 다음과 구조로 구성됨
[그룹명 : 패스워드 : 관리자, 관리자.....: 멤버, 멤버 ....]
※ 구성원이 없는 그룹이 존재하는 경우 아래의 보안설정 방법에 따라 그룹을 제거
■ SunOS, Linux, AIX, HP-UX
#groupdel <group_name>
※ 구성원이 없거나, 더 이상 사용하지 않는 그룹명 삭제
※ 문의 사항은 메일 : jyuhm@sntkor.com 이나 070-8611-4853
'Infra > 리눅스 서버' 카테고리의 다른 글
| [리눅스 보안] 리눅스 계정관리 - 사용자 Shell 점검 (0) | 2016.12.23 |
|---|---|
| [리눅스 보안] 리눅스 계정관리 - 동일한 UID 금지 (0) | 2016.12.22 |
| [리눅스 보안] 리눅스 계정관리 - 관리자 그룹에 최소한의 계정 포함 (0) | 2016.12.15 |
| [리눅스 보안] 리눅스 계정관리 - 불필요한 계정 제거 (0) | 2016.12.14 |
| [Linux 보안] 리눅스 계정관리 - 패스워드 최소 사용기간 설정 (0) | 2016.11.26 |
