[UNIX] U-16 /dev에 존재하지 않는 device 파일 점검

U-16 /dev에 존재하지 않는 device 파일 점검

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 : 존재하지 않는 device 파일 존재 여부 점검

▶ 점검목적 : 실제 존재하지 않는 디바이스를 찾아 제거함으로써 root 파일 시스템 손상 및 다운 등의 문제를 방지하기 위함

▶ 보안위협

 · 공격자는 rootkit 설정파일들을 서버 관리자가 쉽게 발견하지 못하도록 /dev에 device 파일인 것처럼 위장하는 수법을 많이 사용함

▶ 참고

※ /dev 디렉터리: 논리적 장치 파일을 담고 있는 /dev 디렉터리는 /devices 디렉터리에 있는 물리적 장치 파일에 대한 심볼릭 링크임. 예를 들어 rmt0를 rmto로 잘못 입력한 경우 rmto 파일이 새로 생성되는 것과 같이 디바이스 이름 입력 오류 시 root 파일 시스템이 에러를 일으킬 때까지 /dev 디렉터리에 계속해서 파일을 생성함
※ /dev 디렉터리 내 불필요한 device 파일이 존재할 시 삭제 권고 

2. 점검대상 및 판단 기준

▶  대상 : SOLARIS, LINUX, AIX, HP-UX 등

▶  판단기준

 · 양호 : dev에 대한 파일 점검 후 존재하지 않은 device 파일을 제거한 경우

 · 취약 : dev에 대한 파일 미점검 또는, 존재하지 않은 device 파일을 방치한 경우

▶  조치방법 : major, minor number를 가지지 않는 device 파일 제거

3. LINUX 초기 설정값

※ 테스트한 LINUX의 버전은 AWS로 구성된 CentOS 9 입니다.

 

확인방법

$ sudo find /dev -type f -exec ls -l {} \;

 

출력된 내용이 없습니다.

양호입니다.

 

4. 조치

가이드에도 조치에 대한 내용이 없는데.. 

사용하지 않는 파일이라면 삭제 해주시면 될 것같습니다.

 

5. 결과

-type f : 의 의미가 파일을 의미하는 것이기 때문에 출력 결과가 없다면 양호입니다.

[ec2-user@localhost ~]$ sudo find /dev -type f -exec ls -l {} \;
[ec2-user@localhost ~]$

 

 

Linux를 마스터하는 그날까지

화이팅!