[UNIX] U-32 일반사용자의 Sendmail 실행 방지

U-32 일반사용자의 Sendmail 실행 방지

항목중요도 : 상

1. 취약점 개요

▶ 점검내용 :  SMTP 서비스 사용 시 일반사용자의 q 옵션 제한 여부 점검

▶ 점검목적 :  일반사용자의 q 옵션을 제한하여 Sendmail 설정 및 메일큐를 강제적으로 drop 시킬 수 없게 하여 비인가자에 의한 SMTP 서비스 오류 방지

▶ 보안위협

 · 일반 사용자가 q 옵션을 이용해서 메일큐, Sendmail 설정을 보거나 메일큐를 강제적으로 drop 시킬 수 있어 악의적으로 SMTP 서버의 오류를 발생시킬 수 있음

▶ 참고

※ SMTP(Simple Mail Transfer Protocol): 인터넷상에서 전자우편(E-mail)을 전송할 때 이용하게 되는 표준 통신 규약을 말함

 

2. 점검대상 및 판단 기준

▶  대상 :  SOLARIS, LINUX, AIX, HP-UX 등

▶  판단기준

 · 양호 : SMTP 서비스 미사용 또는, 일반 사용자의 Sendmail 실행 방지가 설정된 경우

 · 취약 : SMTP 서비스 사용 및 일반 사용자의 Sendmail 실행 방지가 설정되어 있지 않은 경우

▶  조치방법 : 

Sendmail 서비스를 사용하지 않을 경우 서비스 중지
Sendmail 서비스를 사용 시 sendmail.cf 설정파일에 restrictqrun 옵션 추가 설정

 

3. LINUX 초기 설정값

※ 테스트한 LINUX의 버전은 VMWare에 구성한 Ubuntu 24.04.1 LTS 버전 입니다.

 

확인방법

1) 아래 명령어로 확인합니다.

$ ps -ef | grep sendmail
$ grep -v '^ *#' /etc/mail/sendmail.cf | grep PrivacyOptions

 

아래와 같이 출력 되었습니다.

ubuntu@ubuntu:~$ ps -ef | grep sendmail
root        8629       1  0 06:59 ?        00:00:00 sendmail: MTA: accepting connections
ubuntu     10339    3172  0 07:56 pts/0    00:00:00 grep --color=auto sendmail
ubuntu@ubuntu:~$ grep -v '^ *#' /etc/mail/sendmail.cf | grep PrivacyOptions
O PrivacyOptions=needmailhelo,needexpnhelo,needvrfyhelo,restrictqrun,restrictexpand,nobodyreturn,authwarnings

 

 sendmail은 설치 되어있고

/etc/mail/sendmail.cf파일에서   PrivacyOptions 설정을 restrictqrun  설정여부를 확인해야합니다.

 

설정되어있으므로 양호입니다. 

(수정 전) O PrivacyOptions=authwarnings, novrfy, noexpn
(수정 후) O PrivacyOptions=authwarnings, novrfy, noexpn, restrictqrun 

 

취약입니다.

 

4. 조치

취약이시라면 아래와 같이 설정 해주시면됩니다.

$ sudo vi /etc/mail/sendmail.cf

# restrictqrun 포함되어있는지 봐주시면됩니다
#(수정 전) 
O PrivacyOptions=authwarnings, novrfy, noexpn

#(수정 후) 
O PrivacyOptions=authwarnings, novrfy, noexpn, restrictqrun

 

 

이렇게 수정해주신 다음 sendmail을 재시작해주시면 됩니다.

$ sudo systemctl restart sendmail

 

 

5. 결과

변경하셨다면 양호입니다!

 

 

Linux를 마스터하는 그날까지

화이팅!