Disport & Study

[정보보안/보안/보안전문가]  불필요한 계정(user,group) 삭제 및 퍼미션 설정

불필요한 계정(user,group) 삭제 및 퍼미션 설정
-------------------------------------------
기초적인 보안을 위해 불필요한 계정의 삭제 및 퍼미션의 설정에 관한 내용 입니다.

1. 불필요한 계정은 삭제 한다.
: ftp, xfs, adm, lp, newes, gopher를 /etc/passwd와 /etc/group에서 주석처리 또는
  userdel uid, groupdel gid를 해서 삭제 한다.
1)
#userdel adm
#userdel lp
#userdel sync
#userdel shutdown
#userdel halt
#userdel news       ( 뉴스그룹으로 위장하여 표적이 되기 쉽다. )
#userdel uucp
#userdel operator
#userdel games
#userdel gopher
#userdel ftp        (anymous FTP server를 운영하지 않으면 삭제 한다.)

2)
#groupdel adm
#groupdel lp
#groupdel news
#groupdel uucp
#groupdel games
#groupdel dip
#groupdel pppusers
#gropudel slipusers

2. 퍼미션 설정변경
: 중요한 설정 파일의 퍼미션을 변경하여 일반 유저들의 접근을 제한한다.
1) /etc/
chmod 700 /etc/exports
   "      /etc/fstab
   "      /etc/hosts          
   "      /etc/hosts.deny    
   "      /etc/hosts.allow    

2) /bin/
chmod 700 /bin/mount
chmod 700 /bin/umonut

3) /sbin/
chmod 700 /sbin/netreport

4) /usr/bin/
chmod 700 /usr/bin/top  
   "      /usr/bin/find  
   "      /usr/bin/lynx    lynx,wget 명령어는 일반적으로 해커들이 해킹툴을 가져올때 자주쓰는 명령어
   "      /usr/bin/wget  
   "      /usr/bin/chage
   "      /usr/bin/finger    서버 이용자 파악을 하지 못하게 함
   "      /usr/bin/wall      
   "      /usr/bin/man        
   "      /usr/bin/chfn      
   "      /usr/bin/write      
   "      /usr/bin/finger    
   "      /usr/bin/nslookup  
   "      /usr/bin/suidperl   suid 걸린 파일
   "      /usr/bin/sperl5.6.0 perl중에 suid걸린 파일(버젼에따라 틀림)
   "      /usr/bin/whereis    
   "      /usr/bin/cc         소스 컴파일은 루트이외에 못하도록 조치
   "      /usr/bin/c++        
   "      /usr/bin/gcc      
   "      /usr/bin/make      
   "      /usr/bin/pstree    
   "      /usr/bin/rlog      
   "      /usr/bin/rlogin     필요없는 경우에는 삭제
   "      /usr/bin/which      
   "      /usr/bin/who        
   "      /usr/bin/w          
   "      /bin/mail          계정상에서 텔넷으로 메일을 확인하지 못하게
         
5) /usr/sbin
chmod 700 /usr/sbin/usernetctl

6) chattr +i /etc/fstab와 같이 속성에 Lock을 걸어 파일을 수정 할 수 없게 한다.

3. 시스템 관련 명령어를 특정 사용자그룹에서만 사용가능 하도록 설정 한다.
- /etc/group을 열어 wheel:x:10:root,kim 와 같이 kim 이라는 계정을 wheel 그룹에 추가 한다.
그러면, root를 포함하여 wheel 그룹에 속한 tt라는 계정만이 위 명령어를 수행할 수 있다
chmod 750 /bin/ps
          /bin/su            root로 전환할 유저를 제한
          /bin/netstat
          /bin/dmesg
          /bin/df
          /usr/bin/who
          /usr/bin/finger
          /usr/bin/last
          /usr/bin/top
          /usr/bin/w

chgrp wheel /bin/ps
            /bin/su
            /bin/netstat
            /bin/dmesg
            /bin/df
            /usr/bin/w
            /usr/bin/who
            /usr/bin/finger
            /usr/bin/last
            /usr/bin/top

출처 : http://www.it-bank.or.kr/boan/boan.htm