- 분류 전체보기 (217)
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
Tags
- SFTP
- u-08
- U-28
- U-27
- u-07
- U-26
- U-30
- 리눅스보안
- u-02
- Burp Suite
- u-09
- U-31
- 버프스위트
- u-11
- U-29
- u-13
- u-14
- U-25
- U-24
- u-03
- U-33
- pam_tally2.so
- 정보보안기사실기
- U-32
- AWS
- KISA가이드
- 버프슈트
- u-06
- burpsuite
- u-12
Archives
- Yesterday
- Today
- Total
반응형
[U-30] UMASK 설정 관리 (중요도 : 중) 본문
728x90
반응형
★ 주요정보통신기반시설 가이드 [U-30] 유닉스/리눅스 보안 설정
항목 중요도 : 상 (파일 및 디렉터리 생성 권한 통제)
1. 항목 개요 및 보안 위협
![[U-30] UMASK 설정 관리 (중요도 : 중)](https://blog.kakaocdn.net/dna/bOR7ap/dJMcachFdZR/AAAAAAAAAAAAAAAAAAAAAJE3DpsUHVgHnDGq6BTuQYTwfWhK5myAOFd61g5kSHQa/img.png?credential=yqXZFxpELC7KVnFOS48ylbz2pIh7yKj8&expires=1772290799&allow_ip=&allow_referer=&signature=UJMRD1RCAOzOS0gqPSBDxuiipqA%3D)
출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드
[ 점검 내용 ] : 시스템의 기본 UMASK 값이 022 이상으로 설정되어, 신규 생성되는 파일이나 디렉터리에 불필요한 그룹/일반 사용자 쓰기 권한이 부여되지 않도록 관리하고 있는지 점검합니다.
[ 보안 위협 ] : UMASK 값이 000이나 002 등 취약하게 설정된 경우, 생성되는 모든 파일이 과도한 권한을 가지게 됩니다. 이는 비인가자가 중요 데이터를 수정, 삭제하거나 악성 코드를 삽입할 수 있는 환경을 제공하게 됩니다.
2. [실습] OS별 UMASK 설정 점검 및 조치
■ SOLARIS, LINUX, AIX, HP-UX (공통 프로파일)
점검 파일: /etc/profile
# vi /etc/profile
umask 022
export umask■ OS별 개별 설정 파일
| 운영체제 | 설정 파일 경로 | 권장 설정 값 |
|---|---|---|
| SOLARIS | /etc/default/login | UMASK=022 |
| LINUX | /etc/login.defs | UMASK 022 |
| AIX | /etc/security/user | default: umask = 022 |
| HP-UX | /etc/default/securitz | UMASK=022 |
■ FTP 서비스 UMASK 설정
# [vsFTP] /etc/vsftpd.conf
local_umask=022
# [ProFTP] /etc/proftpd.conf
Umask 022[취약 결과 예시]
# umask
0002 (일반 사용자에게 쓰기 권한이 허용되는 상태)[양호 결과 예시]
# umask
0022 (파일 644, 디렉터리 755 생성)3. 법적 근거 및 관련 지침
⚖️ 관련 법령 정보 (국가 법령 정보 센터)
- 정보통신기반보호법 제9조(취약점 분석·평가): 서버의 보안 설정(권한 관리) 오류로 인한 위협 분석 평가를 의무화합니다.
- 정보통신기반시설 보호지침 제16조(설정관리): 기본 파일 생성 권한 등 시스템 설정의 안전한 유지를 요구합니다.
4. 오늘 공부하며 정리한 핵심 포인트
- Masking의 원리: UMASK는 부여할 권한을 정하는 것이 아니라, 제거할 권한을 지정하는 것입니다. 022는 '그룹과 기타 사용자의 쓰기(2)' 권한을 빼겠다는 뜻입니다.
- 중복 확인 필수: `/etc/profile` 외에도 OS별 전용 파일(login.defs 등)이 존재하므로, 모든 경로에서 설정이 일치하는지 확인해야 합니다.
다음 공부 기록 예고 : [U-31] 홈디렉토리 소유자 및 권한 설정 (중요도 : 중)
728x90
반응형
'서버 보안 가이드 > 01. OS (유닉스 리눅스)' 카테고리의 다른 글
| [U-31] 홈디렉터리 소유자 및 권한 설정 (중요도 : 중) (0) | 2026.02.06 |
|---|---|
| [U-29] hosts.lpd 파일 소유자 및 권한 설정 (중요도 : 하) (0) | 2026.02.04 |
| [U-28] 접속 IP 및 포트 제한 (중요도 : 상) (0) | 2026.02.03 |
| [U-27] $HOME/.rhosts, hosts.equiv 사용 금지 (중요도 : 상) (0) | 2026.02.02 |
| [U-26] /dev에 존재하지 않는 device 파일 점검 (중요도 : 상) (0) | 2026.01.31 |
'서버 보안 가이드/01. OS (유닉스 리눅스)' Related Articles
more
Comments