[Unix 서버] 계정이 존재하지 않는 GID 금지

 

 

U-51 계정이 존재하지 않는 GID 금지

 

■ 점검영역 : 계정 관리

 

■ 항목 중요도 : 하

 

■ 점검내용

 

그룹(예 /etc/group) 설정 파일에 불필요한 그룹(계정이 존재하지 않고 시스템 관리나 운용에 사용되지 않는 그룹, 계정이 존재하고 시스템 관리나 운용에 사용되지 않는 그룹 등)이 존재하는지 점검

 

■ 점검목적

 

시스템에 불필요한 그룹이 존재하는지 점검하여 불필요한 그룹의 소유권으로 설정되어 있는 파일의 노출에 의해 발생할 수 있는 위험에 대한 대비가 되어 있는지 확인하기 위함

 

■ 보안위협

 

계정이 존재하지 않는 그룹은 현재 사용되고 있는 그룹이 아닌 불필요한 그룹으로 삭제 조치가 필요함

 

■ 참고

 

※ GID(Group Identification)

다수의 사용자가 특정 개체를 공유할 수 있게 연계시키는 특정 그룹의 이름으로 주로 계정처리 목적으로 사용되며,

한 사용자는 여러 개의 GID를 가질 수 있음

※ /etc/group 파일과 /etc/passwd 파일을 비교하여 점검하기를 권고함

 

 

점검대상 및 판단기준

 

■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등

 

양호

시스템 관리나 운용에 불필요한 그룹이 삭제 되어있는 경우

 

취약

시스템 관리나 운용에 불필요한 그룹이 존재할 경우

 

■ 조치방법

 

불필요한 그룹이 있을 경우 관리자와 검토하여 제거

 

 

점검 방법

 

■ OS별 점검 파일 위치 및 점검 방법

 

SOLARIS, LINUX, HP-UX, AIX

#cat /etc/group (※ “group” 파일 구조: 부록 참조) #cat /etc/passwd

 

LINUX

#cat /etc/gshadow *gshadow 파일: “shadow” 파일에 사용자 계정의 암호가 저장되어 있는 것처럼 시스템 내 존재하는 그룹의 암호 정보 저장파일로 그룹 관리자 및 구성원 설정 가능 “gshadow” 파일 내 필드는 다음 같은 구조로 구성됨 [그룹명 : 패스워드 : 관리자, 관리자, … : 멤버, 멤버 … ]

계정이 존재하지 않고 시스템 관리나 운용에 사용되지 않는 그룹, 계정이 존재하고

시스템 관리나 운용에 사용되지 않는 그룹 등의 경우 아래의 보안설정 방법에 따라 그룹을 제거함

 

■ SOLARIS, LINUX, AIX, HP-UX

#groupdel <group_name>
※ 해당 그룹 삭제시 그룹권한으로 존재하는 파일이 존재하는지 확인이 필요하며 

사용자가 없는 그룹이라 하더라도 추후 권한 할당을 위해 그룹을 먼저 생성하였을 가능성도 존재하므로
무분별한 삭제는 권장하지 않으며 신규 생성된 그룹(GID 500 이상)을 중점적으로 점검 권고

 

■ 조치 시 영향 : 일반적인 경우 영향 없음