SRV-045 (Apache) 웹 서비스 프로세스 권한 제한 미비

SRV-045 (Apache) 웹 서비스 프로세스 권한 제한 미비

【 상세설명 】
웹 서버에 대한 요청을 처리하는 프로세스의 권한을 제한하지 않을 경우, 취약점 존재 시 공격자가 해당 서버의 높은 권한을 획득 가능한 위협이 존재함. 웹 서버 요청을 처리하는 프로세스 권한이 적절하게 설정되어 있는지 여부를 점검

【 판단기준 】
- 양호 : 웹 서비스의 요청 처리 프로세스의 실행 계정이 적절하게 설정되어 있을 경우
- 취약 : 웹 서비스의 요청 처리 프로세스의 실행 계정이 관리자 권한으로 설정된 경우

【 판단방법 】
1. 웹 서비스의 요청 처리 프로세스의 실행 계정과 그룹이 관리자 계정, 그룹이 아닌 웹 서비스 프로세스 전용 실행 계정, 그룹인지 확인
    ※ Default 웹 서비스 프로세스 전용 실행 계정(그룹) : “www-data” 또는 “apache”
2. 웹 서비스 프로세스 전용 실행 계정의 Shell 로그인 제한 설정(/bin/false, /sbin/nologin) 확인
    ※ Default 웹 서비스 프로세스 전용 실행 계정 외 다른 계정을 생성하여 사용하는 경우 Shell 로그인 제한 설정하여 사용

  ■ Linux, AIX, HP-UX, SOLARIS
       # ps -ef | grep apache2
          root       3325     1  0  04:00 ?   00:00:00 /usr/sbin/apache2
          www-data  3327  3325  0  04:00 ?  00:00:00 /usr/sbin/apache2
          …
      # cat /etc/passwd | grep "www-data"
          www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
  또는
      # ps -ef | grep httpd
          root       78559       1  0 May27 ?  00:00:01 /usr/sbin/httpd
          apache     78560   78559  0 May27 ?  00:00:00 /usr/sbin/httpd
          …
      # cat /etc/passwd | grep "apache"
          apache:x:48:48:Apache:/usr/share/httpd:/sbin/nologin

※ Apache 는 80번과 443번 포트를 Listen 포트로 사용하기 위해 부모 프로세스가 root 권한으로 실행되지만 실제 웹 서비스 프로세스 동작은 웹 서비스 프로세스 전용 실행 계정으로 생성된 자식 프로세스에서 이루어짐
※ Well-Known(1 ~ 1023번) 번호 포트는 root 계정으로만 사용 가능

【 조치방법 】
1. (신규 계정 설정 시) 웹 서비스 프로세스 전용 실행 계정 Shell사용 제한(/bin/false, /sbin/nologin) 설정
    ※ Default 웹 서비스 프로세스 전용 실행 계정(그룹) 사용 권장
2. 웹 서비스 설정 파일에서 웹 서비스 프로세스 전용 실행 계정, 그룹  변경
3. 웹 서비스 재시작

2024-01-13 : (조치과정 삭제)