서버 보안 취약점 평가_SRV081

※ 이 글에서는 LINUX 기준으로만 작성하였습니다.

평가항목 ID	구분	평가항목	상세설명	주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시)
SRV-081	기술적 보안	Crontab 설정파일 권한 설정 미흡	cron은 특정 시간에 특정 작업을 수행할 수 있는 데몬으로 공격에 악용되거나 정보가 노출될 위협이 존재함. 이에 따라 cron 서비스를 보호하기 위해 서비스의 설정 파일들에 부여된 권한의 적절성을 점검	(상) [서비스 관리]U-22 crond 파일 소유자 및 권한 설정 (중) [서비스 관리]U-65 at 서비스 권한 설정

 

평가대상 (AIX)	평가대상 (HP-UX)	평가대상 (LINUX)	평가대상 (SOLARIS)	평가대상 (WIN)
O	O	O	O

● 점검목적

- 관리자 외 cron, at 서비스를 사용할 수 없도록 설정하고 있는지 점검하는 것을 목적으로 함

 

 

● 보안위협

- root 외 일반사용자에게도 crontab, at 명령어를 사용할 수 있도록 할 경우, 고의 또는 실수로 불법적인 예약 파일 실행으로 시스템 피해를 일으킬 수 있음

 

 

● 판단기준

* 양호 - /var/spool/cron/crontab/* 에 others 읽기 쓰기 권한이 없음, at 접근 제어 파일의 소유자가 root 이고 권한이 640 이하, cron.allow 와 cron.deny 파일의 소유자가 root이고 권한이 640 이하

* 취약 - cron 서비스 관련 설정 파일들이 양호 기준보다 많은 권한이 부여된 경우

 

 

● 확인방법

- cron 설정 파일 권한 확인

- at 설정 파일 권한 확인

 

 

● 조치방법

- crontab 명령어 일반사용자 권한 삭제(SUID 설정되어있으므로 설정 제거)

# ls -al /usr/bin/crontab

# chmod 750 /usr/bin/crontab

 

- at 명령어 일반사용자 권한 삭제(SUID 설정되어있으므로 설정 제거)

# ls -al /usr/bin/at

# chmod 750 /usr/bin/at

 

 

- cron 설정 파일 소유자 및 권한 변경

# chown root [cron 설정 파일]

# chmod 640 [cron 설정 파일]

설정 파일	설명
/etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly, /etc/cron.monthly	시간, 일, 주, 월 단위 실행스크립트 등록파일
/var/spool/cron/ 또는 /var/spool/cron/crontabs/	사용자별 설정된 cron 작업 목록 파일
cron.allow, cron.deny	crontab 명렁어 허용,차단 사용자 등록 파일

 

- at 설정 파일 소유자 및 권한 변경

# chown root [at 설정 파일]

# chmod 640 [at 설정 파일]