미흡한 계정 그룹 관리로 인해 구성원이 없는 그룹이 존재할 경우 해당 그룹 소유의 파일이 비인가자에게 노출 될 위험이 있으며, 계정이 존재하지 않는 GID(Group Identification) 설정을 관리자와 검토 후 제거해야 한다.
GID(Group Identification)이란, 다수의 사용자가 특정 개체를 공유할 수 있게 연계시키는 특정 그룹의 이름으로 주로 계정처리 목적으로 사용되며, 한 사용자는 여러 개의 GID를 가질 수 있다.
관리자 그룹에 최소한의 계정 포함(취약한 설정)
/etc/group 파일에 있는 그룹들 중 구성원이 존재하지 않는 그룹이 있는지 확인한다.
mbl3ck 계정이 존재하는지 확인했지만 존재하지 않는 것을 확인
wheel 그룹에 존재하므로, su 명령어를 사용할 수 있는 그룹에 포함된 mbl3ck라는 일반 사용자 계정을 임의로 생성했을 때, 그에 해당하는 그룹이 소유하고 있는 권한을 사용할 수 있는지 확인했다.
su 명령어를 통해 root 계정으로 switch할 수 있는 것을 확인했다.
이처럼 계정이 존재하지 않는 것을 그룹에 할당 시 계정을 임의로 생성해 그룹이 갖는 권한을 사용할 수 있는 문제가 발생할 수 있다.
계정이 존재하지 않는 GID 금지(양호한 설정)
groupmems 명령어를 통해서 wheel 그룹에 속해 있던, 불 필요한 계정을 삭제하고, 그 외의 그룹이 불필요한 그룹인지 확인 후 조치를 취해야 한다.
구성원이 존재하지 않는 그룹이 존재할 경우 관리자와 검토하여 제거해야 한다.
'리눅스 > 주요정보통신기반시설_UNIX' 카테고리의 다른 글
| [계정관리]1.14 CentOS 6.7 사용자 Shell 점검 (0) | 2019.03.17 |
|---|---|
| [계정관리]1.13 CentOS 6.7 동일한 UID 금지 (0) | 2019.03.17 |
| [계정관리]1.11 CentOS 6.7 관리자 그룹에 최소한의 계정 포함 (0) | 2019.03.16 |
| [계정관리]1.10 CentOS 6.7 불필요한 계정 제거 (0) | 2019.03.15 |
| [계정관리]1.9 CentOS 6.7 패스워드 최소 사용기간 설정 (0) | 2019.03.15 |
