[Secure]_System-Linux_#06_[ passwd, shadow, hosts, Pharming 공격, xinetd.conf, SetUID, SetGID, rsyslog.conf, services, world writable file, dev 비존재 파일 점검 ]

<  파일 및 디렉터리 소유자 설정  >

- 공격자가 해킹을 위해 악의적으로 만든 파일.
- 특정  계정을 삭제하면, 파일의 소유자명 자리가 해당 계정인 경우, 해당 소유자가 사용하던 uid로 변환됨.

- ex) steve가 만들거 작업한 파일과 디렉토리가 있는데, steve가 퇴사하여 계정만 삭제한 경우!! 소유자가 숫자로 보임. 
   - rwxr-xr-x 500 500 

 

* 검색 방법 : 
      find / -nouser -print (소유자가 없는 파일 검색.)
      find / -nogroup -print (소유그룹이 없는 파일 검색.)

* 조치방법 -->

   (1) 삭제

      rm [파일명]
      rm [디렉터리 이름]

   (2) 지우지않고 사용할 경우

      --> 현재 사용자 권한으로 권한 변경.
      chown [사용자 이름] [파일 이름 또는 디렉토리]

---

< /etc/passwd 파일 소유자 및 권한 설정. >

•  파일의 임의적인 변경을 차단하고 비인가자 권한 상승을 막기 위함.
•  관리자(root) 외의 사용자가 /etc/passwd 파일의 내용을 변조하여 shell을 변경(중요!) 및 사용자 추가/삭제 를 통해 root권한 획득 하는 경우 취약!!!
• /etc/passwd : 권한이 644 일때가 가장 안전하다. (rw-r--r--)

* 조치방법 -->
chown root /etc/passwd  --> 소유자 변경
chmod 644 /etc/passwd --> 권한을 rw-r--r-- 로 변경.

---

< /etc/shadow 파일 소유자 및 권한 설정. >

• shadow 파일 : 패스워드가 암호화되여 저장되어있는 파일.
• 해당 파일의 암호화된 해쉬값을 복호화하여(크래킹) 비밀번호를 탈취할 경우 취약!!!
• /etc/shadow : 권한이 400으로 변경시켜 안전하게 함. --> r-------- 

* 조치방법 -->
   chown root /etc/shadow
   chmod 400 /etc/shadow

---

< /etc/hosts 파일 소유자 및 권한 설정. > 

• ( --> windows의 C:/windows/system32/drivers/etc/hosts 와 동일한 역할. ) 
• IP 주소와 호스트 네임을 매핑하는 파일.
• 일반적으로 인터넷 통신 시 주소를 찾기위해 dns보다 hosts 파일을 먼저 참조함.(hosts파일은 내 컴퓨터에 있기 때문에 더 빨라서.)
• 형식
  • [ip 주소] [DNS] 
  • 가짜 ip 주소 *.    --> 모든 dns주소에 대해 가짜ip주소로 이동하게 댐. (*. : 모든 dns 주소)
• 파밍(Pharming) 공격 : 
  
  • 사용자의 dns 또는 hosts 파일을 변조하여 불법 사이트로 유도한 뒤 개인정보를 훔치는 공격.

* 조치방법 -->
/etc/hosts : 600 권한 설정. --> rw-------

chown root /etc/hosts
chmod 600 /etc/hosts

---

 

< /etc/(x)inetd.conf >

- xinetd : (슈퍼데몬)
- 자주 사용하지 않는 서비스가 상시 실행되어 메모리를 점유하는 것을 방지하기 위해 요청할 때만 서비스를 실행한다.

- 악의적인 프로그램을 xinetd 슈퍼데몬을 통해서 서비스를 정상적으로 등록한 경우 취약!!!

   --> 비인가자들의 임의적인 파일 변조

* 조치방법 -->
/etc/xinetd.conf : 600 권한 설정. --> rw-------

chown root /etc/xinetd.conf
chmod 600 /etc/xinetd.conf 

---

- 특수권한 - 
< SetUID > --> SUID
- 파일을 실행했을 때, 실제로 그 파일의 소유권을 가진 유저가 실행하는 것과 같은 의미

< SetGID > --> SGID
- 파일을 실행했을 때, 실제로 그 파일의 소유그룹을 가진 유저가 실행하는 것과 같은 의미

 

 

---

< SUID, SGID 설정 파일 점검 >

- 불필요한 SUID, SGID 설정 제거를 통해 악의적인 권한상승을 방지한다.
- SUID, SGID 설정된 특정 명령어를 실행하여 root권한을 획득할 경우 취약!!!

* 조치방법 -->
   chmod -s [파일명]

* 주기적인 검사 방법 -->

   find / -user root -type f \(-perm -04000 -o -perm -02000 )\ -exec ls -al {} \;
   -o : or
   -a : and

---

< /etc/rsyslog.conf 파일 소유자 및 권한 설정 >

- 로그 파일의 취약점 !!!
(1) 로그를 통해서 사용자의 저장위치가 노출될 수 있다.
(2) 로그를 실제로 기록되지 않도록 설정하거나 대량의 로그를 기록하여 시스템 과부하를 유도할 수 있다.

*조치 방법 :
chown root /etc/rsyslog.conf
chmod 640 /etc/rsyslog.conf

---

 

< /etc/services > 

 

- (windows 에의 c:windows/system32/drivers/etc/services 와 동일한 역할.)

- 웹서비스 실행시 참조하는 파일.(포트 번호를 알아야 하기 때문에.)

 

- 비인가 사용자가 운영 포트번호를 변경하여 정상적인 서비스를 제한하거나 허용되지 않은 포트를 오픈하여 악성 서비스를 의도적으로 실행할 경우 취약.
- 보안 의 3대 요소중 하나인 가용성과 관련되어 있음. 
--> 서비스 관리를 위해 항상 서버에서 사용하는 모든 포트들에 대해 정의되어 있으며 필요시 서비스 기본사용포트를 변경하여 네트워크 서비스를 운용할 수 있음.

* 조치방법 : 644 권한 설정
chown root /etc/services
chmod 644 /etc/services

< world writable 파일(권한 777 파일) > 

- 권한이 777로 설정되어 있는 파일을 이용한 시스템 접근 및 악의적인 코드 실행을 방지한다.
- 시스템 파일과 같은 중요 파일에 777설정이 될 경우, 일반 사용자 및 비인가된 사용자가 해당 파일을 임의로 수정/삭제할 경우 취약!!!

* 검색 방법 :
   find / -type f -perm -2 -exec ls -l {} \;

* 조치 방법 :
1. chmod o-w [파일명] : 일반사용자 쓰기 권한 제거
2. rm -rf [파일명] : 파일 삭제

 

---

< dev에 존재하지 않는 device 파일 점검 >

- 공격자들이 공격 프로그램 설정파일들을 서버관리자가 발견하지 못하게 /dev device인것처럼 위장하여 저장해둘 경우 취약!!!
- ex) 
   --> device 라는 물리적 장치 파일에 대한 심볼릭 링크 rmt0 ---> rnt0 , rmto 이런식으로 위장

- /dev 디렉토리 내에 불필요한 device 파일이 존재할 시 삭제.

 

* 검색 방법 : 
find /dev -type f -exec ls -l {} \;

* 조치 방법 :
major, minor, number 같은 장치 고유번호가 없으면 device 삭제.