환경 파일 permmision
기본 환경 파일 권한
| 기본 환경 파일 | 접근 권한(아래와 다르면 취약) |
|---|---|
/etc/profile | 0644(-rw-r--r--) |
/etc/bashrc | 0644(-rw-r--r--) |
/etc/bash.bashrc | 0644(-rw-r--r--) |
/etc/default/security | 0600(-r--------) |
/root의 . 히든 파일들 | 0644(-rw-r--r--) |
사용자 환경파일 권한
$USER별$HOME의 환경변수 파일 권한이 적절하게 설정되어 있는지 점검
- 사용하는 프로그램에 따라 없을 수도 있음
| 사용자 환경 파일 | 접근 권한(u말고 g,o에게 쓰기 권한 없앰) |
|---|---|
$HOME/.profile | 0644(-rw-r--r--) |
$HOME/.{ksh,zsh,bash,csh}rc | 0644(-rw-r--r--) |
$HOME/.bash_profile | 0644(-rw-r--r--) |
$HOME/.login | 0644(-rw-r--r--) |
$HOME/.exrc | 0644(-rw-r--r--) |
$HOME/.netrc | 0644(-rw-r--r--) |
$HOME/.dtprofile | 0644(-rw-r--r--) |
$HOME/.Xdefaults | 0644(-rw-r--r--) |
root 계정 PATH에 "."
문제점
root계정의PATH에.(현재 디렉터리)가 있으면,root계정의 인가자로 인해 비의도적으로 현재 디렉토리에 위치하고 있는 명령어가 실행될 수 있음- 1)
.이/usr/bin이나/bin,/sbin등 명령어들이 위치하고 있는 디렉토리보다 우선하여 위치하고 있을 경우 2)root계정의 인가자가 어떠한 명령을 실행했을 때, 3)비인가자가 불법적으로 위치시킨 파일을 4)비의도적으로 실행하여 예기치 않은 결과를 가져올 수 있음
4)또한.뿐만 아니라 비인가자가 불법적으로 생성한 디렉토리를 우선적으로 가리키게하여 예기지 않은 결과를 가져올 수 있음
- 1)
root계정에서$PATH에.이맨 앞이나 중간에 있으면 안됨- 제일 뒤혹은 제거
점검 방법
- 환경 설정 파일 내,
PATH에 .이 있는지 점검/etc/profile/etc/bashrc/etc/bash.bashrc$HOME/.profile$HOME/.bashrc$HOME/.login$HOME/[shell configuration file]
root계정에서echo $PATH를 사용해.이 있는지 확인
조치 방법
- 위 파일들에서
PATH변수에.가 있다면 제일 뒤혹은 제거
/tmp디렉토리 Sticky bit 설정
/tmp디렉토리에 Sticky bit가 설정되어 있으면 양호
점검 방법
/tmp,/var/tmp디렉토리의 권한을 확인한다.
$ sudo ls -ld /tmp /var/tmp
drwxrwxrwx X root root /tmp
drwxrwxrwx X root root /var/tmp위와 같으면 괜찮음
permission이 1777이 아니면 문제
조치 사항
/tmp,/var/tmp의 permission이1777으로 바꿈
$ sudo chmod 1777 /tmp
$ sudo chmod 1777 /var/tmpumask 검사
- 시스템 내에서 유저가 새로 생성하는 파일의 접근 권한은
umask에 따라 달라진다. - 현재 유저에게 설정된
umask를 조회하려면, 프롬프트에umask명령을 수행한다.
점검 사항
- 유저에 umask 값 이 022
- root 계정에서 umask 값이 022
조치 사항
- 시스템 환경파일(
/etc/profile,/etc/.login)에서umask값을022 $HOME에서.pofile,.login,.bash_profile,[shell rc files]에서umask값을022로 설정
pllpokko@alumni.kaist.ac.kr