[Unix 서버] 웹서비스 링크 사용금지

 

 

U-39 웹서비스 링크 사용금지

 

■ 점검영역 : 서비스 관리

 

■ 항목 중요도 : 상

 

■ 점검내용

 

심볼릭 링크, aliases 사용 제한 여부 점검

 

■ 점검목적

 

무분별한 심볼릭 링크, aliases 사용제한으로 시스템 권한의 탈취 방지를 목적으로 함

 

■ 보안위협

 

웹 루트 폴더(DocumentRoot)에 root 디렉터리(/)를 링크하는 파일이 있으며 디렉터리 인덱싱 기능이 차단되어 있어도 root 디렉터리 열람이 가능함

 

■ 참고

 

※ 심볼릭 링크(Symbolic link, 소프트 링크)

윈도우 운영체제의 바로가기 아이콘과 비슷함

링크 생성 시 파일 내용은 존재하지 않으나 사용자가 파일을 요청하면

링크가 가리키고 있는 원본 데이터에서 데이터를 가져와서 전달함

직접 원본을 가리키지 않고 원본 데이터를 가리키는 포인터를 참조함으로써

원본데이터가 삭제, 이동, 수정이 되면 사용 불가함

 

 

점검대상 및 판단기준

 

■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등

 

양호

심볼릭 링크, aliases 사용을 제한한 경우

 

취약

심볼릭 링크, aliases 사용을 제한하지 않은 경우

 

■ 조치방법

 

심볼릭 링크, aliases 사용 제한
(/[Apache_home]/conf/httpd.conf 파일에 설정된 모든 디렉터리의 Options 지시자에서 심볼릭 링크를 가능하게 하는 FollowSymLinks 옵션 제거)

 

 

점검 방법

 

■ OS별 점검 파일 위치 및 점검 방법

 

SOLARIS, LINUX, AIX, HP-UX

Options 지시자 FollowSymLinks 옵션 제거 여부 확인 #vi /[Apache_home]/conf/httpd.conf Options Indexes FollowSymLinks

위에 제시한 옵션이 적용되어 있는 경우 아래의 보안설정방법에 따라 옵션을 제거함

 

■ SOLARIS, LINUX, AIX, HP-UX

 

Step 1) vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일 열기
#vi /[Apache_home]/conf/httpd.conf

Step 2) 설정된 모든 디렉터리의 Options 지시자에서 FollowSymLinks 옵션 제거

(수정 전) Options 지시자에 FollowSymLinks 옵션이 설정되어 있음

<Directory /> Options Indexes FollowSymLinks AllowOverride None Order allow, deny Allow from all </Directory>

(수정 후) Options 지시자에 FollowSymLinks 삭제 또는 -FollowSymLinks 변경 후 저장

<Directory /> Options FollowSymLinks 삭제 또는 -FollowSymLinks AllowOverride None Order allow, deny Allow from all </Directory>

 

■ 조치 시 영향

심볼릭 링크를 이용하여 웹페이지가 구성되어 있는 경우 해당 서비스가 실행되지 않을 수 있음

웹서버의 DocumentRoot 폴더 내에 심볼릭 링크가 설정된 파일 검토 필요