KISA 한국인터넷진흥원 21-03-31 기준
KISA 한국인터넷진흥원
www.kisa.or.kr
OS별 점검 파일 위치 및 점검 방법
SOLARIS, LINUX, AIX, HP-UX
1) “wheel” 그룹 (su 명령어 사용 그룹) 및 그룹 내 구성원 존재 여부 확인
cat /etc/group (※ “group” 파일 구조: 부록 참조)
wheel:x:10:root,admin
2) wheel 그룹이 su 명령어를 사용할 수 있는지 설정 여부 확인
[SOLARIS] #ls –al /usr/bin/su
chgrp security su
chmod 4750 su
[AIX]
#cat /etc/security/user ---> default의 “sugroup=staff” 설정 확인
[HP-UX]
#vi /etc/default/security ---> SU_ROOT_GROUP=wheel 설정 확인
3) 파일 권한 확인
ls –l /usr/bin/su
-rwsr-x--- /usr/bin/su
(파일 권한이 4750인 경우 양호)
LINUX PAM 모듈 이용 시
1) “wheel” 그룹 (su 명령어 사용 그룹) 및 그룹 내 구성원 존재 여부 확인
cat /etc/group
wheel:x:10:root,admin
2) 허용 그룹 (su 명령어 사용 그룹) 설정 여부 확인
cat /etc/pam.d/su
auth required /lib/security/pam_wheel.so debug
group=wheel 또는, auth required
/lib/security/$ISA/pam_wheel.so use_id
■ SOLARIS, LINUX, HP-UX
1) wheel group 생성 (wheel 그룹이 존재하지 않는 경우)
groupadd wheel
2) su 명령어 그룹 변경
chgrp wheel /usr/bin/su
3) su 명령어 사용권한 변경
chmod 4750 /usr/bin/su
4) wheel 그룹에 su 명령 허용 계정 등록
usermod –G wheel <user_name>
또는, 직접 /etc/group 파일을 수정하여 필요한 계정 등록
wheel:x:10: -> wheel:x:10:root,admin
■ AIX
1) wheel group 생성(wheel 그룹이 존재하지 않는 경우)
mkgroup wheel
2) su 명령어 그룹 변경
chgrp wheel /usr/bin/su
3) su 명령어 사용권한 변경
chmod 4750 /usr/bin/su
4) wheel 그룹에 su 명령 허용 계정 등록
chgroup users=<user_name> wheel
(예) chgroup users=admin wheel
■ LINUX PAM 모듈을 이용한 설정 방법
1) “/etc/pam.d/su” 파일을 아래와 같이 설정(주석제거)
auth sufficient /lib/security/pam_rootok.so
auth required /lib/security/pam_wheel.so debug group=wheel
또는,
auth sufficient /lib/security/$ISA/pam_rootok.so
auth required /lib/security/$ISA/pam_wheel.so use_uid
2) wheel 그룹에 su 명령어를 사용할 사용자 추가
usermod –G wheel <user_name>
또는, 직접 “/etc/group” 파일을 수정하여 필요한 계정 추가
wheel:x:10: -> wheel:x:10:root,admin
[CentOS] PAM 으로 sudo 권한 제한하기 [wheel / sudo]
[CentOS] PAM 으로 sudo 권한 제한하기 [wheel / sudo]
- sudo은 일반 사용자가 최고 관리자 root로서 명령어를 실행할 수 있다. - 일반 사용자가 설치를 해야하는 경우가 있을 수 있기 때문에 권한을 부여하기도 한다. - 하지만, 남용 / 오용하는 경우를
a-gyuuuu.tistory.com
[CentOS] sudoers를 수정하여 명령어 sudo 접근 제한 [ /etc/sudoers / visudo]
[CentOS] sudoers를 수정하여 명령어 sudo 접근 제한 [ /etc/sudoers / visudo]
- root 이외의 일반 계정이 root의 계정으로 서비스 설치부터 실행하고 끄는 명령어들을 사용할 수 있도록 root 의 권한을 빌려주는 명령어다. - 다시 말해서, sudo 명령어 사용 허가 계정은 최고 관리
a-gyuuuu.tistory.com
'IT > ㄴ Linux Vulnerabilities' 카테고리의 다른 글
| [Linux] Unix 서버 취약점 점검 U-47 [1.8 패스워드 최대 사용기간 설정] (0) | 2023.09.05 |
|---|---|
| [Linux] Unix 서버 취약점 점검 U-46 [1.7 패스워드 최소 길이 ] (0) | 2023.09.05 |
| [Linux] Unix 서버 취약점 점검 U-44 [1.5 root 이외의 UID가 '0' 금지] (0) | 2023.09.04 |
| [Linux] Unix 서버 취약점 점검 U-43 [5.1 로그의 정기적 검토 및 보고] (0) | 2023.09.04 |
| [Linux] Unix 서버 취약점 점검 U-42 [4.1 최신 보안패치 및 벤더 권고사항 적용] (1) | 2023.09.04 |