반응형
※ 이 글에서는 LINUX 기준으로만 작성하였습니다.
| 평가항목 ID |
구분 | 평가항목 | 상세설명 | 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) |
| SRV-045 | 기술적 보안 | 웹 서비스 프로세스 권한 제한 미비 | 웹 서버에 대한 요청을 처리하는 프로세스의 권한을 제한하지 않을 경우, 취약점 존재 시 공격자가 해당 서버의 높은 권한을 획득 가능한 위협이 존재함. 웹 서버 요청을 처리하는 프로세스 권한이 적절하게 설정되어 있는지 여부를 점검 | (상) [서비스 관리] U-36 웹서비스 웹 프로세스 권한 제한 |
| 평가대상 (AIX) |
평가대상 (HP-UX) |
평가대상 (LINUX) |
평가대상 (SOLARIS) |
평가대상 (WIN) |
| O | O | O | O | O |
● 점검목적
- Apache 데몬을 root 권한으로 구동하지 않고 별도의 권한으로 구동함으로써 침해사고 발생 시 피해범위 확산 방지를 목적으로 함
● 보안위협
- 웹서비스 데몬을 root 권한으로 실행 시 웹서비스가 파일을 생성, 수정하는 과정에서 웹서비스에 해당하지 않는 파일도 root 권한에 의해 쓰기가 가능하며 해킹 발생시 root 권한이 노출 될 수 있음
● 판단기준
* 양호 - 웹 서비스의 요청 처리 프로세스의 실행 계정이 적절하게 설정되어 있을 경우(root 권한으로 구동되지 않는 경우)
* 취약 - 웹 서비스의 요청 처리 프로세스의 실행 계정이 관리자 권한으로 설정된 경우
● 확인방법
- 웹 서비스 설정파일(httpd.conf) 내 user, group 설정이 root가 아닌지 확인
# vi /etc/conf/httpd.conf 또는 /etc/httpd/conf/httdp.conf
● 조치방법
step 1) # vi /etc/conf/httpd.conf 또는 /etc/httpd/conf/httdp.conf
- root가 아닌 별도 계정으로 변경
# vi /etc/passwd
(웹서비스 실행 계정은 로그인이 불가능하도록 쉘 제한 필수)
step 2) Apache 서비스 재시작
반응형
'보안담당자로 살아가기 > 전자금융기반시설 취약점 분석ㆍ평가' 카테고리의 다른 글
| 서버 보안 취약점 평가_SRV047 (0) | 2023.09.01 |
|---|---|
| 서버 보안 취약점 평가_SRV046 (1) | 2023.08.31 |
| 서버 보안 취약점 평가_SRV044 (0) | 2023.08.30 |
| 서버 보안 취약점 평가_SRV043 (0) | 2023.08.30 |
| 서버 보안 취약점 평가_SRV042 (0) | 2023.08.29 |