SRV-131 SU 명령 사용가능 그룹 제한 미비

SRV-131 SU 명령 사용가능 그룹 제한 미비

【 상세설명 】
su(set user or superuser or switch user) 명령은 로그아웃 하지 않고 다른 사용자로 전환할 수 있게 해주는 명령으로, 관리자 비밀번호를 알고 있을 때 이 명령을 통해 관리자 권한을 획득(관리자로 전환) 가능하므로 su 명령을 사용할 수 있는 그룹을 설정하여 해당 그룹에 속한 사용자에게만 명령을 허용하고 있는지 여부를 점검 

【 판단기준 】
  [Linux]
    - 양호 : /etc/pam.d/su 파일에 auth required pam_wheel.so use_uid 라인이 존재하는 경우
    - 취약 : /etc/pam.d/su 파일에 auth required pam_wheel.so use_uid 라인이 존재하지 않거나 주석 처리 되어 있는 경우

  [AIX]
    - 양호 : root : "sugroups" 에 su 를 허용할 그룹 지정 시 양호 (root: 가 없을 시 default 설정 확인)
    - 취약 : root : "sugroups" 에 ALL 이면 취약 (root: 가 없을 시 default 설정 확인)

  [HP-UX]
    - 양호 : /etc/default/security 파일에서 SU_ROOT_GROUP 파라미터에 su 명령어를 사용할 그룹이 지정되어 있을 시 
    - 취약 : /etc/default/security 파일에서 SU_ROOT_GROUP 파라미터에 su 명령어를 사용할 그룹이 지정되어 있지 않거나 ALL 이면 취약

  [SOLARIS]
    - 양호 : /usr/bin/su 명령어에 others 실행 권한이 없고, 소유자 그룹이 적절하게 설정된 경우
    - 취약 : /usr/bin/su 명령어에 others 실행 권한이 있거나, 소유자 그룹이 부적절하게 설정된 경우

【 판단방법 】
  ■ Linux
  1. su 명령어 파일 4750(-rwsr-x---) 권한 확인
  2. pam_wheel.so 라이브러리 설정 확인
  3. wheel 그룹 및 wheel 그룹 계정 설정 확인

      # ls -alL /bin/su
      # ls -alL /usr/bin/su
          -rwsr-xr-x. 1 root root 34904 Jun 20  2018 /bin/su

      # cat /etc/pam.d/su | grep pam_wheel.so
          #auth           sufficient      pam_wheel.so trust use_uid
          #auth           required        pam_wheel.so use_uid

      # cat /etc/group | grep wheel
          wheel:x:10:

  ■ AIX
  1. su 명령어 파일 4750(-rwsr-x---) 권한 확인
  2. "sugroup" 설정 확인
      ※ "root: " 섹션에 설정이 없을 시 "default" 섹션 설정 확인
  3. "sugroup" 에 설정된 그룹 및 그룹 내 계정 설정 확인

      # ls -alL /bin/su
      # ls -alL /usr/bin/su
          -r-sr-xr-x    1 root     security      40278 Oct 15 2019  /bin/su

      # cat /etc/security/user
          default:
                  admin = false
                  login = true
                  su = true
          ...
                  sugroups = ALL
          ...
          root:
                  admin = true
                  SYSTEM = "compat"
                  registry = files
                  loginretries = 0
                  account_locked = false
                  ...

      # cat /etc/group | grep wheel
          wheel:!:204:

    ※ default 설정 보다 각 계정별 정책 우선 적용
    ※ "su = false" 설정이 존재하는 계정은 "su" 명령어 사용 불가

  ■ HP-UX
  1. su 명령어 파일 4750(-rwsr-x---) 권한 확인
  2. "SU_ROOT_GROUP" 그룹 설정 확인
  3. "SU_ROOT_GROUP" 에 설정된 그룹 및 그룹 내 계정 설정 확인

      # ls -alL /bin/su
      # ls -alL /usr/bin/su
          -r-sr-xr-x   1 root       bin          45056 Aug  1  2005 /bin/su

      # cat /etc/default/security | grep SU_ROOT_GROUP
          # SU_ROOT_GROUP=wheel

      # cat /etc/group | grep wheel
          wheel::101:

  ■ SOLARIS
  1. su 명령어 파일 4750(-rwsr-x---) 권한 확인
  2. su 명령어 파일 소유 그룹 및 그룹 계정 설정 확인

      # ls -alL /bin/su
      # ls -alL /usr/bin/su
          -r-sr-xr-x   1 root     sys        37236 2018년  8월 11일 /bin/su

      # cat /etc/group | grep sys
          sys::3:root,bin,adm

【 조치방법 】
  ■ Linux
  1. (wheel 그룹이 존재하지 않는 경우) wheel 그룹 생성 
  2. su 명령어 파일 그룹 변경 
  3. su 명령어 파일 권한 설정(other 실행 권한 제거)
  4. wheel 그룹에 su 명령 허용 계정 등록 
  5. (PAM 모듈 사용 시) pam_wheel.so 라이브러리 설정

  2024-01-13 : (조치과정 삭제)