SetUID, SetGID 점검
- 일반사용자도 직접 비밀번호를 변경하고자 했기 때문에
/usr/bin/passwd 파일소유자 root 권한을 잠깐 빌려주는 SetGID 속성이 부여됐다.
이러한 장점도 있지만 보안에 취약하다는 단점도 있기 때문에 SetGID, SetUID 점검이 필요하다.
방법은 root 소유의 파일 중 퍼미션 4000(SetUID), 2000(SetGID) 부여된 파일들을 찾아
일반사용자에게는 굳이 필요하지 않다면 속성을 제거하면 된다.
*퍼미션 4000(SetUID)이 부여된 root 소유파일 찾기
find / -user root -perm -4000 -print
*퍼미션 2000(SetGID)이 부여된 root 소유파일 찾기
find / -user root -perm -2000 -print
*필요없는 파일 퍼미션 변경
# chmod 100 /bin/ping
/usr/bin/chsh
/usr/bin/gpasswd
/usr/bin/wall
/usr/bin/write
/usr/bin/chage
/usr/bin/chfn
/usr/bin/at
/usr/bin/mount
/usr/bin/umount
/usr/bin/crontab
/usr/bin/newgrp
/usr/sbin/usernetctl
/bin/ping
'Server - Linux > 보안' 카테고리의 다른 글
[보안] 사용자 계정과 비밀번호 정책 (0) | 2016.07.26 |
---|---|
[보안] PING 테스트 응답차단 (0) | 2016.07.25 |
[보안] 시스템 중요파일 속성변경 (0) | 2016.07.25 |
[보안] 명령어 - chattr (파일 속성 변경) & lsattr (파일 속성 확인) (0) | 2016.07.25 |
[보안] 특정 계정만 su 명령 사용하기 (0) | 2016.07.25 |