SRV-025 취약한 hosts.equiv 또는 .rhosts 설정 존재
【 상세설명 】
hosts.equiv, .rhosts 파일 내에 등록된 시스템이나 사용자는 시스템 접근 시 인증 절차 없이 r 계열 명령어(rexec, rlogin등)를 사용이 가능함. 특히 hosts.equiv, .rhosts 파일 내에 `+ +` 구문 존재 시 시스템 root를 제외한 모든 사용자가 인증절차 없이 r 계열 명령어를 실행할 수 있는 등 보안 수준이 낮으므로 이러한 설정이 존재하는지 점검
【 판단기준 】
- 양호 : /etc/hosts.equiv, 각 계정들의 $HOME/.rhosts 파일이 없을 경우 혹은 신뢰된 호스트들의 목록만 가지고 있을 경우
- 취약 : /etc/hosts.equiv 또는 각 계정들의 $HOME/.rhosts 파일에 '+' 설정이나 불필요한 계정/호스트 IP가 존재할 경우
【 판단방법 】
1. r계열 서비스 실행 여부 확인
※ r계열 서비스(rexec, rlogin, rshell)가 모두 비활성화되어 있으면 "양호"
2. "/etc/hosts.equiv", "$HOME/.rhosts" 파일 존재 유무 확인
3. "/etc/hosts.equiv", "$HOME/.rhosts" 파일에서 '+' 와 같은 취약한 설정이나 불필요한 계정/호스트 IP 설정 확인
■ Linux, AIX, HP-UX, SOLARIS
# cat /etc/services | egrep "shell|rshell|exec|rexec|login|rlogin"
exec 512/tcp
login 513/tcp
shell 514/tcp cmd syslog # no passwords used
...
# netstat -tlnp | egrep "512|513|514"
tcp6 0 0 :::512 :::* LISTEN
tcp6 0 0 :::513 :::* LISTEN
tcp6 0 0 :::514 :::* LISTEN
...
# ls -al /etc/hosts.equiv
-rw-r--r--. 1 root root 5 Aug 8 15:51 /etc/hosts.equiv
# ls -al $HOME/.rhosts
-rw-r--r--. 1 root root 5 Aug 8 15:51 $HOME/.rhosts
# cat /etc/hosts.equiv
# cat $HOME/.rhosts
192.168.0.10
192.168.0.11 +
192.168.0.12 user_name
+ user_name
+ +
※ /etc/hosts.equiv, $HOME/.rhosts 파일 설정
- “192.168.0.10” : 192.168.0.10 호스트의 모든 계정 접속 허용
- “192.168.0.11 +” : 192.168.0.11 호스트의 모든 계정 접속 허용
- “192.168.0.12 user_name” : 192.168.0.12 호스트의 user_name 계정만 접속 허용
- “+ user_name” : 모든 호스트의 user_name 계정만 접속 허용
- “+ +” : 모든 호스트의 모든 계정 접속 허용
- "+" 옵션 대신 "-" 옵션을 사용하면 차단 정책 등록 가능
【 조치방법 】
1. "/etc/hosts.equiv", "$HOME/.rhosts" 파일에서 '+' 와 같은 취약한 설정이나 불필요한 계정/호스트 IP 설정 제거
2. 업무상 불필요한 경우 r계열 서비스(rexec, rlogin, rshell) 중지
2024-01-13 : (조치과정 삭제)
'인프라 진단 > 전자금융기반시설(서버) - Linux' 카테고리의 다른 글
| SRV-026 root 계정 원격 접속 제한 미비 (0) | 2024.01.01 |
|---|---|
| SRV-022 계정의 비밀번호 미설정, 빈 암호 사용 관리 미흡 (0) | 2024.01.01 |
| SRV-021 FTP 서비스 접근 제어 설정 미비 (0) | 2024.01.01 |