[Unix 서버] 웹서비스 웹 프로세스 권한 제한

 

 

U-36 웹서비스 웹 프로세스 권한 제한

 

■ 점검영역 : 서비스 관리

 

■ 항목 중요도 : 상

 

■ 점검내용

 

Apache 데몬이 root 권한으로 구동되는지 여부 점검

 

■ 점검목적

 

Apache 데몬을 root 권한으로 구동하지 않고 별도의 권한으로 구동함으로써 침해사고 발생 시 피해범위 확산 방지를 목적으로 함

 

■ 보안위협

 

웹서비스 데몬을 root 권한으로 실행시 웹서비스가 파일을 생성, 수정하는 과정에서 웹서비스에 해당하지 않는 파일도 root 권한에 의해 쓰기가 가능하며 해킹 발생시 root 권한이 노출 될 수 있음

 

 

점검대상 및 판단기준

 

■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등

 

양호

Apache 데몬이 root 권한으로 구동되지 않는 경우

 

취약

Apache 데몬이 root 권한으로 구동되는 경우

 

■ 조치방법

 

Apache 데몬을 root 가 아닌 별도 계정으로 구동

 

 

점검 방법

 

■ OS별 점검 파일 위치 및 점검 방법

 

SOLARIS, LINUX, AIX, HP-UX

Apache 데몬 구동 권한(User 및 Group) 확인 #vi /[Apache_home]/conf/httpd.conf User [root가 아닌 별도 계정명] Group [root가 아닌 별도 계정명]

위에 제시한 설정이 적용되지 않은 경우 아래의 보안설정방법에 따라 설정을 변경함

 

■ SOLARIS, LINUX, AIX, HP-UX

 

Step 1) 데몬 User & Group 변경
User & Group 부분에 root가 아닌 별도 계정으로 변경
※ 웹서비스 실행 계정은 로그인이 불가능하도록 쉘 제한 필수

User [root가 아닌 별도 계정명] Group [root가 아닌 별도 계정명]

Step 2) Apache 서비스 재시작

 

■ 조치 시 영향 : 일반적인 경우 영향 없음