서버 보안 취약점 평가_SRV-022

※ 이 글에서는 LINUX 기준으로만 작성하였습니다.

 

평가항목 ID	구분	평가항목	상세설명	주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시)
SRV-022	기술적 보안	계정의 비밀번호 미설정, 빈 암호 사용 관리 미흡	시스템 접속 계정에 대한 비밀번호가 설정되어 있지 않은 경우 비인가자가 계정을 도용하여 인가되지 않은 파일 및 서비스에 접근할 수 있는 위협이 존재하므로, 계정에 비밀번호가 설정되어 있지 않거나 빈 비밀번호를 설정하였는지를 점검

평가대상 (AIX)	평가대상 (HP-UX)	평가대상 (LINUX)	평가대상 (SOLARIS)	평가대상 (WIN)
O	O	O	O	O

● 점검목적

- 비밀번호가 설정되어있지 않은 취약한 계정을 통한 시스템 접근 방지

 

● 보안위협

- 시스템 정보를 쉽게 탈취할 수 있음

 

● 판단기준

* 양호 - 계정들의 비밀번호가 모두 설정되어 있을 경우

* 취약 - 비밀번호가 설정되지 않은 계정이 존재할 경우

 

● 확인방법

- /etc/passwd 파일을 확인하여 계정별 패스워드 필드 확인(공란인 경우 비밀번호 미설정)

- /bin/false 또는 /sbin/nologin 쉘인 경우 확인 계정에서 제외

 

 

● 조치방법

- 계정의 비밀번호 설정

# passwd [계정]