가. 취약점 개요
■ 내용 : 시스템 UMASK 값이 022 이상인지 점검
■ 목적 : 잘못 설정된 UMASK 값으로 인해 신규 파일에 대한 과도한 권한 부여되는 것을 방지하기 위함
■ 보안 위협
- 잘못된 UMASK 값으로 인해 파일 및 디렉터리 생성시 과도하게 퍼미션이 부여 될 수 있음
■ 참고
시스템 내에서 사용자가 새로 생성하는 파일의 접근권한은 UMASK 값에 따라 정해지며, 계정의 Start Profile 에 명령을 추가하면 사용자가 로그인 한 후에도 변경된 UMASK 값을 적용받게 됨
※ Start Profile: /etc/profile, /etc/default/login, .cshrc, .kshrc, .bashrc, .login, .profile 등
※ umask: 파일 및 디렉터리 생성 시 기본 퍼미션을 지정해 주는 명령어
나. 점검방법
■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등
■ 판단기준
- 양호 : UMASK 값이 022 이상으로 설정된 경우
- 취약 : UMASK 값이 022 이상으로 설정되지 않은 경우
■ 점검 명령어
OS | 점검 파일 |
SOLARIS, LINUX, AIX, HP-UX | #vi /etc/profile UMASK=022 |
위에 제시한 UMASK 값이 해당 파일에 적용되지 않은 경우 아래의 보안설정방법에 따라 적용함 |
다. 조치방법
■ 조치방법 : 설정파일에 UMASK 값을 “022”로 설정
■ SOLARIS
- 방법 1) “/etc/profile” 파일을 이용한 UMASK 설정 변경
Step 1) vi 편집기를 이용하여 “/etc/profile” 파일 열기
Step 2) 아래와 같이 수정 또는, 신규 삽입
umask 022
export umask
- 방법 2) “/etc/default/login” 파일을 이용한 UMASK 설정 변경
Step 1) vi 편집기를 이용하여 “/etc/default/login” 파일 열기
Step 2) 아래와 같이 수정 또는, 신규 삽입
(수정 전) #UMASK=022
(수정 후) UMASK=022
■ LINUX
Step 1) vi 편집기를 이용하여 “/etc/profile” 파일 열기
Step 2) 아래와 같이 수정 또는, 신규 삽입
umask 022
export umask
■ HP-UX
방법 1) “/etc/profile” 파일을 이용한 UMASK 설정 변경
Step 1) vi 편집기를 이용하여 “/etc/profile” 파일 열기
Step 2) 아래와 같이 수정 또는, 신규 삽입
umask 022 export umask
방법 2) "/etc/defualt/security" 파일을 이용한 UMASK 설정 변경
Step 1) vi 편집기를 이용하여 “/etc/defualt/security” 파일 열기
Step 2) default 설정 부분을 아래와 같이 수정 또는, 신규 삽입
(수정 전) # UMASK=022
(수정 후) UMASK=022
■ AIX
방법 1) “/etc/profile” 파일을 이용한 UMASK 설정 변경
Step 1) vi 편집기를 이용하여 “/etc/profile” 파일 열기
Step 2) 아래와 같이 수정 또는, 신규 삽입
umask 022 export umask
방법 2). “/etc/security/user” 파일을 이용한 UMASK 설정 변경
Step 1) vi 편집기를 이용하여 “/etc/security/user” 파일 열기
Step 2) default 설정 부분을 아래와 같이 수정 또는, 신규 삽입
(수정 전) umask =
(수정 후) umask = 022
라. 조치시 영향
■ 일반적인 경우 영향 없음