[UNIX] U-56 UMASK 설정 관리

U-56 UMASK 설정 관리

항목중요도 : 중

1. 취약점 개요

▶ 점검내용 : 시스템 UMASK 값이 022 이상인지 점검

▶ 점검목적 : 잘못 설정된 UMASK 값으로 인해 신규 파일에 대한 과도한 권한 부여되는 것을 방지하기 위함

▶ 보안위협

 · 잘못된 UMASK 값으로 인해 파일 및 디렉터리 생성시 과도하게 퍼미션이 부여 될 수 있음

▶ 참고

※  시스템 내에서 사용자가 새로 생성하는 파일의 접근권한은 UMASK 값에 따라 정해지며, 계정의 Start Profile 에 명령을 추가하면 사용자가 로그인 한 후에도 변경된 UMASK 값을 적용받게 됨
※ Start Profile: /etc/profile, /etc/default/login, .cshrc, .kshrc, .bashrc, .login, .profile 등
※ umask: 파일 및 디렉터리 생성 시 기본 퍼미션을 지정해 주는 명령어

2. 점검대상 및 판단 기준

▶  대상 : SOLARIS, Linux, AIX, HP-UX 등

▶  판단기준

 · 양호 : UMASK 값이 022 이상으로 설정된 경우

 · 취약 : UMASK 값이 022 이상으로 설정되지 않은 경우

▶  조치방법 : 설정파일에 UMASK 값을 “022”로 설정

3. LINUX 초기 설정값

※ 테스트한 LINUX의 버전은 AWS로 구성된 CentOS 9 입니다.

 

확인방법

# 가이드북에 나와있는 방법
$ cat /etc/profile | grep "UMASK"

# CentOS9의 UMASK설정위치
$ cat /etc/login.defs | grep "UMASK"

# UMASK 설정값 확인 명령어
$ umask

# 아래와 같은 결과값이 있으면 양호입니다!
0022

 

 

확인해보겠습니다.

[ec2-user@localhost ~]$ cat /etc/login.defs | grep "UMASK"
UMASK           002

[ec2-user@localhost ~]$ umask
0022

저는 /etc/login.defs 에 UMASK 가 설정되어있습니다. (설정값은 취약으로 변경하고 진행했습니다)

 

두개의 값이 다른이유는 제가 설정값을 변경했기 때문입니다.

설정값 반영을 서버를 reboot 해주어야 반영이 되는 것 같습니다.

# umask 002변경 후 파일 생성 / 관리자계정 / reboot 전
-rw-r--r--. 1 ec2-user ec2-user  0 Oct 24 22:49 testfile
# umask 002변경 후 파일 생성 / 일반계정 / reboot 전
-rw-rw-r--. 1 test     test      0 Oct 24 22:50 testfile2
# umask 002변경 후 파일 생성 / 관리자계정 / reboot 후
-rw-rw-r--. 1 ec2-user ec2-user  0 Oct 24 22:53 testfile3
# umask 002변경 후 파일 생성 / 일반계정 / reboot 후
-rw-rw-r--. 1 test     test      0 Oct 24 22:54 testfile4

4. 조치

조치를 해보겠습니다.

$ sudo vi /etc/login.defs
UMASK           022

 

조치를 하셨다면

반드시 reboot을 해주셔야 반영이 됩니다.

 

5. 결과

022 라면 양호입니다!

 

[ec2-user@localhost ~]$ cat /etc/login.defs | grep "UMASK"
UMASK           022
[ec2-user@localhost ~]$ umask
0022

 

 

Linux를 마스터하는 그날까지

화이팅!