Unix 서버 취약점 01 - root 계정 원격 접속 제한

분류 코드 : 01. Unix 서버 보안 - 1. 계정 관리 - U-01 항목 중요도 : 상 점검내용 : 시스템 정책에 root 계정의 원격터미널 접속차단 설정이 적용되어 있는지 점검 점검목적 : 관리자계정 탈취로 인한 시스템 장악을 방지하기 위해 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하기 위함 보안 위협 : root 계정은 운영체제의 모든기능을 설정 및 변경이 가능하여(프로세스, 커널변경 등) root 계정을 탈취하여 외부에서 원격을 이용한 시스템 장악 및 각종 공격으로(무작위 대입 공격) 인한 root 계정 사용 불가 위협 점검 대상 : SOLARIS, LINUX, AIX, HP-UX 등 판단기준 : 양호 : 원격 터미널 서비스를 사용하지 않거나, 사용 시 root 직접 접속을 차단한 경우 취약 : 원격 터미널 서비스 사용 시 root 직접 접속을 허용한 경우 조치방법 : 원격 접속 시 root 계정으로 바로 접속 할 수 없도록 설정파일 수정

 

SOLARIS

[Telnet] #cat /etc/default/login CONSOLE=/dev/console [SSH] #cat /etc/pam.d/login auth required /lib/security/pam_securetty.so #cat /etc/securetty

LINUX

[Telnet] #cat /etc/pam.d/login auth required /lib/security/pam_securetty.so #cat /etc/securetty pts/0 ~ pts/x 관련 설정이 존재하지 않음 [SSH] #cat /etc/security/user rlogin = false

■ SOLARIS

[Telnet 서비스 사용시]

Step 1) vi 편집기를 이용하여 “/etc/default/login” 파일 열기

Step 2) 아래와 같이 주석 제거 또는, 신규 삽입 (수정 전) #CONSOLE=/dev/console (수정 후) CONSOLE=/dev/console

 

[SSH 서비스 사용시]

Step 1) vi 편집기를 이용하여 “/etc/ssh/sshd_config” 파일 열기

Step 2) 아래와 같이 주석 제거 또는, 신규 삽입

(수정 전) #PermitRootLogin Yes

(수정 후) PermitRootLogin No

 

■ LINUX [Telnet 서비스 사용시]

Step 1) “/etc/securetty” 파일에서 pts/0 ~ pts/x 설정 제거 또는, 주석 처리

Step 2) “/etc/pam.d/login” 파일 수정 또는, 신규 삽입 

(수정 전) #auth required /lib/security/pam_securetty.so

(수정 후) auth required /lib/security/pam_securetty.so

 

※ /etc/securetty : Telnet 접속 시 root 접근 제한 설정 파일 “/etc/securetty” 파일 내 *pts/x 관련 설정이 존재하는 경우 PAM 모듈 설정과 관계없이 root 계정 접속을 허용하므로 반드시 "securetty" 파일에서 pts/x 관련 설정 제거 필요

 

tty(terminal-teletype) : 서버와 연결된 모니터, 키보드 등을 통해 사용자가 콘솔로 직접 로그인함

pts(pseudo-terminal, 가상터미널) : Telnet, SSH, 터미널 등을 이용하여 접속함