본문 바로가기
취약점 진단/UNIX 취약점 진단

[UNIX] U-12 /etc/services 파일 소유자 및 권한 설정

by 게으른 피글렛 2024. 10. 6.
반응형

U-12  /etc/services 파일 소유자 및 권한 설정

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : /etc/services 파일 권한 적절성 점검

 점검목적 : /etc/services 파일을 관리자만 제어할 수 있게 하여 비인가자들의 임의적인 파일 변조를 방지하기 위함

 보안위협

 · services 파일의 접근권한이 적절하지 않을 경우 비인가 사용자가 운영 포트 번호를 변경하여 정상적인 서비스를 제한하거나, 허용되지 않은 포트를 오픈하여 악성 서비스를 의도적으로 실행할 수 있음

 참고

※ /etc/services : 서비스 관리를 위해 사용되는 파일. 해당 파일에 서버에서 사용하는 모든 포트(port)들에 대해 정의되어 있으며, 필요시 서비스 기본사용 포트를 변경하여 네트워크 서비스를 운용할 수 있음

2. 점검대상 및 판단 기준

  대상 : SOLARIS, LINUX, AIX, HP-UX 등

  판단기준

 · 양호 : etc/services 파일의 소유자가 root(또는 bin, sys)이고, 권한이 644 이하인 경우

 · 취약 : etc/services 파일의 소유자가 root(또는 bin, sys)가 아니거나, 권한이 644 이하가 아닌 경우

  조치방법 : “/etc/ services” 파일의 소유자 및 권한 변경 (소유자 root(또는 bin, sys), 권한 644 이하)

3. LINUX 초기 설정값

※ 테스트한 LINUX의 버전은 AWS로 구성된 CentOS 9 입니다.

 

확인방법

$ ls -l /etc/services

 

 

명령어로 확인해보겠습니다.

소유자 root, 권한 644로 되어있습니다. 

[ec2-user@localhost etc]$  ls -l /etc/services
-rw-r--r--. 1 root root 692252 Jun 23  2020 /etc/services

 

양호입니다.

 

 

4. 조치

services 파일에는 무엇이 있는지 확인해보겠습니다.

포트에 대한 내용이 정의되어있습니다.

더보기
[ec2-user@localhost etc]$ sudo cat /etc/services
# /etc/services:
# $Id: services,v 1.49 2017/08/18 12:43:23 ovasik Exp $
#
# Network services, Internet style
# IANA services version: last updated 2016-07-08
#
# Note that it is presently the policy of IANA to assign a single well-known
# port number for both TCP and UDP; hence, most entries here have two entries
# even if the protocol doesn't support UDP operations.
# Updated from RFC 1700, ``Assigned Numbers'' (October 1994).  Not all ports
# are included, only the more common ones.
#
# The latest IANA port assignments can be gotten from
#       http://www.iana.org/assignments/port-numbers
# The Well Known Ports are those from 0 through 1023.
# The Registered Ports are those from 1024 through 49151
# The Dynamic and/or Private Ports are those from 49152 through 65535
#
# Each line describes one service, and is of the form:
#
# service-name  port/protocol  [aliases ...]   [# comment]

tcpmux          1/tcp                           # TCP port service multiplexer
tcpmux          1/udp                           # TCP port service multiplexer
rje             5/tcp                           # Remote Job Entry
rje             5/udp                           # Remote Job Entry
echo            7/tcp
echo            7/udp
discard         9/tcp           sink null
discard         9/udp           sink null
systat          11/tcp          users
systat          11/udp          users
daytime         13/tcp
daytime         13/udp
qotd            17/tcp          quote
qotd            17/udp          quote
chargen         19/tcp          ttytst source
chargen         19/udp          ttytst source
ftp-data        20/tcp
ftp-data        20/udp
# 21 is registered to ftp, but also used by fsp
ftp             21/tcp
ftp             21/udp          fsp fspd
ssh             22/tcp                          # The Secure Shell (SSH) Protocol
ssh             22/udp                          # The Secure Shell (SSH) Protocol
telnet          23/tcp
telnet          23/udp
# 24 - private mail system
(이하 생략)

 

 

조치가 필요하시다면 아래와 같이 조치 해주시면됩니다.

$ chown root /etc/services
$ chmod 644 /etc/services

 

5. 결과

이렇게 되어있다면 양호 입니다!

 

 

Linux를 마스터하는 그날까지

화이팅!

 

반응형