[Linux보안설정] 파일 및 디렉터리 관리 ②

OS : Rocky Linux 9

 

 

U-25. 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정

각 계정에 생성되는 홈디렉토리에 환경변수 파일이 root 또는 소유자에게만 권한이 있는지 점검

 

# ls -al /home/username

 

 

U-26. world writable 파일 점검

other에 w 권한이 있는 파일 점검

 

find 를 활용해 world writable 파일을 찾는다.

링크파일과 /sys /proc /run /dev 와 같은 시스템 파일은 제외하고 찾는다.

# find / \( -path /proc -o -path /sys -o -path /run -o -path /dev \) -prune -o -type f -perm -0002 -print 2>/dev/null

 

해당되는 파일이 있다면 서비스 영향도를 고려하여 권한을 조정한다.

 

 

U-27. /dev에 존재하지 않는 device 파일 점검

device가 존재하지 않거나 이름이 잘못 설정된 경우가 있는지 점검

 

find를 활용해 찾는다.

# find /dev -type f -exec ls -l {} \;

 

존재하지 않거나 이름이 잘못 설정된 파일이 /dev 에 있다면 삭제한다.

 

 

U-28. HOME/.rhosts, hosts.equiv 사용 금지

$HOME/.rhosts , /etc/hosts.equiv 파일 권한 점검

 

보통 해당 파일들은 사용할 경우는 없지만

만약 서비스 상 필요한 경우 권한을 root 에 600 이하로 준다.

# chown root:root /etc/hosts.equiv
# chmod 600 /etc/hosts.equiv

 

 

U-29. 접속 IP 및 포트 제한

서버에 접속할 수 있는 IP 및 포트를 제한하는지 점검

 

예전에는 /etc/hosts.allow, /etc/hosts.deny 를 활용했었지만

요즘은 firewalld 를 활용해서 ip port를 제한한다.

 

만약 SSH 포트를 12345 로 사용하고 10.0.0.1 에만 허용한다고 하면 다음과 같이 방화벽 정책을 넣는다.

# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.0.0.1" port port="12345" protocol="tcp" accept'
# firewall-cmd --reload

 

 

U-30. hosts.lpd 파일 소유자 및 권한 설정

/etc/hosts.lpd 파일 소유자 및 권한 점검

 

마찬가지로 사용하지 않는 파일이지만 있다면 root 에 600 이하로 권한을 준다.

# chown root:root /etc/hosts.lpd
# chmod 600 /etc/hosts.lpd

 

 

U-31. UMASK 설정 관리

UMASK 설정 값 점검

 

umask 값을 022 이상으로 설정한다.

# vi /etc/profile

umask 022

 

umask 022 로 설정하면 파일 생성 시 644 로 생성되며, 디렉토리는 755로 생성된다.

 

 

U-32. 홈 디렉터리 소유자 및 권한 설정

홈 디렉터리의 소유자 및 권한 점검

 

각 계정의 홈 디렉터리는 본인 소유하고 그 외의 계정에는 쓰기 권한이 없어야 한다.

/etc/passwd 에서 홈디렉터리 확인 후 권한을 확인한다.

# cat /etc/passwd

# ls -ald <home_directory>

 

 

U-33. 홈 디렉터리로 지정한 디렉터리의 존재 관리

홈 디렉터리로 설정된 디렉터리가 있는지 점검

 

/etc/passwd 에서 조회한 계정의 홈 디렉토리가 진짜 있는지 확인한다.

 

 

 U-34. 숨겨진 파일 및 디렉터리 검색 및 제거

. 으로 시작하는 숨겨진 파일 또는 디렉터리 점검

 

시스템 파일이나 의도적으로 생성한게 아닌 숨김 파일 및 디렉터리는 제거한다.