[UNIX] U-51 계정이 존재하지 않는 GID 금지

U-51 계정이 존재하지 않는 GID 금지

항목중요도 : 하

1. 취약점 개요

▶ 점검내용 : 그룹(예 /etc/group) 설정 파일에 불필요한 그룹(계정이 존재하지 않고 시스템 관리나 운용에 사용되지 않는 그룹, 계정이 존재하고 시스템 관리나 운용에 사용되지 않는 그룹 등)이 존재하는지 점검

▶ 점검목적 : 시스템에 불필요한 그룹이 존재하는지 점검하여 불필요한 그룹의 소유권으로 설정되어 있는 파일의 노출에 의해 발생할 수 있는 위험에 대한 대비가 되어 있는지 확인하기 위함

▶ 보안위협

 · 계정이 존재하지 않는 그룹은 현재 사용되고 있는 그룹이 아닌 불필요한 그룹으로 삭제 조치가 필요함.

▶ 참고

※ GID(Group Identification): 다수의 사용자가 특정 개체를 공유할 수 있게 연계시키는 특정 그룹의 이름으로 주로 계정처리 목적으로 사용되며, 한 사용자는 여러 개의 GID를 가질 수 있음.
※ /etc/group 파일과 /etc/passwd 파일을 비교하여 점검하기를 권고함

2. 점검대상 및 판단 기준

▶  대상 : SOLARIS, LINUX, AIX, HP-UX 등

▶  판단기준

 · 양호 : 시스템 관리나 운용에 불필요한 그룹이 삭제 되어있는 경우

 · 취약 : 시스템 관리나 운용에 불필요한 그룹이 존재할 경우

▶  조치방법 : 불필요한 그룹이 있을 경우 관리자와 검토하여 제거

 

3. LINUX 초기 설정값

※ 테스트한 LINUX의 버전은 AWS로 구성된 CentOS 9 입니다.

 

이 항목의 취약점 포인트는

계정이 존재하지 않고/ 시스템 관리나 운용에 사용되지 않는 그룹, 

계정이 존재하고/ 시스템 관리나 운용에 사용되지 않는 그룹

계정 존재	시스템운용 그룹	취약/양호
O	X	취약
X	X	취약

 

 

확인방법

$ cat /etc/group
$ cat /etc/passwd
$ cat /etc/gshadow

이 명령어로 확인합니다.

 

첫번째 명령어로 확인했습니다.

[ec2-user@localhost ~]$ sudo cat /etc/group
root:x:0:root
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:ec2-user,it-mskim
cdrom:x:11:
mail:x:12:
man:x:15:
dialout:x:18:
floppy:x:19:
games:x:20:
tape:x:33:
video:x:39:
ftp:x:50:
lock:x:54:
audio:x:63:
users:x:100:
nobody:x:65534:
utmp:x:22:
utempter:x:35:
input:x:999:
kvm:x:36:
render:x:998:
systemd-journal:x:190:
systemd-coredump:x:997:
dbus:x:81:
ssh_keys:x:996:
tss:x:59:clevis
sssd:x:995:
chrony:x:994:
sshd:x:74:
sgx:x:993:
systemd-oom:x:992:
ec2-user:x:1000:
it-mskim:x:1001:
polkitd:x:991:
avahi:x:70:
printadmin:x:990:
rtkit:x:172:
pipewire:x:989:
libstoragemgmt:x:988:
setroubleshoot:x:987:
colord:x:986:
clevis:x:985:
brlapi:x:984:
geoclue:x:983:
flatpak:x:982:
gdm:x:42:
cockpit-wsinstance:x:981:
gnome-initial-setup:x:980:
slocate:x:21:
dnsmasq:x:979:
tcpdump:x:72:

 

현재 1000이상의 GID가 두개 있습니다. 현재 그룹에 계정이 없으므로 취약입니다.

ec2-user:x:1000:
it-mskim:x:1001:

그외에는 전부 관리자그룹이므로 해당이 없습니다.

 

 

4. 조치

조치를 해보겠습니다.

1) 불필요한 그룹일 경우 그룹삭제

$ groupdel <group_name>

 

 

2)  필요한 그룹일 경우 계정 추가

$ sudo vi /etc/group
ec2-user:x:1000:ec2-user
it-mskim:x:1001:it-mskim

 

5. 결과

결과를 확인합니다.

[ec2-user@localhost ~]$ sudo cat /etc/group
ec2-user:x:1000:ec2-user
it-mskim:x:1001:it-mskim
(생략)

 

 

 

Linux를 마스터하는 그날까지

화이팅!