서버 보안 취약점 평가_SRV-026

※ 이 글에서는 LINUX 기준으로만 작성하였습니다.

 

평가항목 ID	구분	평가항목	상세설명	주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시)
SRV-026	기술적 보안	root 계정 원격 접속 제한 미비	시스템 관리를 위한 root 계정의 원격 접속 허용은 악의적인 사용자가 무작위 대입 공격을 통해 시스템의 관리자 권한을 획득할 수 있는 위협을 증가시키므로, root 계정의 직접적인 원격 접속을 차단하고 있는지 여부를 점검	(상) [계정 관리] U-01 root 계정 원격접속 제한

 

평가대상 (AIX)	평가대상 (HP-UX)	평가대상 (LINUX)	평가대상 (SOLARIS)	평가대상 (WIN)
O	O	O	O

● 점검목적

- 관리자 계정 탈취로 인한 시스템 장악을 방지하기 위해 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하기 위함

 

● 보안위협

- root 계정은 운영체제의 모든 기능을 설정 및 변경이 가능하여(프로세스, 커널변경 등) root 계정을 탈취하여 외부에서 원격을 이용한 시스템 장악 및 각종 공격으로(무작위 대입 공격) 인한 root 계정 사용 불가 위협

 

● 판단기준

* 양호 - root 계정의 원격 접속이 허용되지 않은 경우

* 취약 - telnet 사용 시 : /etc/securetty 파일이 존재하지 않거나 파일 내에 pts/0 ~ pts/x 등 가상 터미널이 허용된 경우

           - SSH 사용 시 : /etc/ssh/sshd_config 파일에 PermitRootLogin yes로 설정되어 있을 경우

 

● 확인방법

[telnet 서비스 사용 시]

- /etc/securetty 파일 존재 여부 확인 및 가상터미널(pts/x) 허용 여부 확인

# cat /etc/securetty

 

[ssh 서비스 사용 시]

- /etc/ssh/sshd_config 파일에 PermitRootLogin 설정값 확인

# cat /etc/ssh/sshd_config | grep PermitRootLogin

 

 

● 조치방법

[telnet 서비스 사용 시]

step 1) "/etc/securetty" 파일에서 pts/0 ~ pts/x 설정 제거 또는 주석처리

step 2) service xinetd restart

step 3) "/etc/pam.d/login" 파일 내 아래 내용 설정

           auth required /lib/security/pam_securetty.so

※ /etc/securetty 파일 내 pts/x 관련 설정이 존재하는 경우 pam 모듈 설정과 관계없이 root 계정 접속을 허용하므로 반드시 제거

 

 

[ssh 서비스 사용 시]

step 1) vi /etc/ssh/sshd_config

step 2) PermitRootLogin No 설정

step 3) service sshd restart