[U-32] 홈 디렉터리로 지정한 디렉터리의 존재 관리 (중요도 : 중)

★ 주요정보통신기반시설 가이드 [U-32] 유닉스/리눅스 보안 설정

항목 중요도 : 중 (계정 관리 및 환경 설정 무결성)

• 1. 항목 개요 및 보안 위협
• 2. [실습] 홈 디렉터리 존재 여부 점검 및 조치
• 3. 법적 근거 및 관련 지침
• 4. 오늘 공부하며 정리한 핵심 포인트

 

1. 항목 개요 및 보안 위협

출처 : 2026 주요정보통신기반시설 기술적 취약점 분석·평가 방법 상세가이드

[ 점검 내용 ] : 사용자 계정 설정 파일인 /etc/passwd에 정의된 홈 디렉터리가 시스템 내에 실제로 존재하는지 점검합니다.

[ 보안 위협 ] : 홈 디렉터리가 존재하지 않는 계정은 정상적인 로그인이 불가능하거나, 로그인 시 루트 디렉터리(/)로 접속되는 등 환경 설정 오류를 유발합니다. 또한 관리되지 않는 불필요한 계정이 방치되어 공격자의 침투 경로로 악용될 수 있습니다.

 

2. [실습] 홈 디렉터리 존재 여부 점검 및 조치

■ SOLARIS, LINUX, AIX, HP-UX 공통

Step 1) 사용자별 홈 디렉터리 설정 확인

# cat /etc/passwd

Step 2) 불필요한 계정 삭제 (디렉터리 미존재 시)

* 홈 디렉터리가 없는데 사용하지 않는 계정이라면 보안을 위해 삭제합니다.

# userdel <사용자 이름>

Step 3) 사용 중인 계정의 홈 디렉터리 수정 및 생성

# vi /etc/passwd
# 예시: example:x:1000:1000::/home/example:/bin/bash

[취약 결과 예시]

# cat /etc/passwd | grep testuser
testuser:x:1001:1001::/home/nonexistent:/bin/bash
# ls -d /home/nonexistent
ls: cannot access /home/nonexistent: No such file or directory
(설정된 경로에 디렉터리가 존재하지 않는 경우)

[양호 결과 예시]

# ls -d /home/example
drwx------ 2 example group 4096 Feb 02 12:00 /home/example
(모든 사용자 계정에 대해 홈 디렉터리가 실제 물리적으로 존재하는 경우)

 

3. 법적 근거 및 관련 지침

⚖️ 관련 법규 정보 (국가 법령 정보 센터)

• 정보통신기반보호법 제9조(취약점 분석·평가): 불필요한 계정 및 설정 오류로 인한 보안 약점을 주기적으로 점검해야 합니다.
• 정보통신기반시설 보호지침 제16조(설정관리): 시스템 계정 및 환경 설정 파일의 무결성을 유지해야 합니다.

 

4. 오늘 공부하며 정리한 핵심 포인트

• 계정 정리의 우선순위: 홈 디렉터리가 없는 계정은 대부분 '방치된 계정'일 확률이 높습니다. 사용 목적을 확인한 뒤 불필요하다면 즉시 삭제하는 것이 좋습니다.
• 보안 사고 예방: 홈 디렉터리가 없으면 로그인 시 시스템이 기본적으로 루트(/)나 임시 위치를 할당하려 시도할 수 있는데, 이는 비인가자의 활동 범위를 넓히는 결과를 초래할 수 있습니다.

다음 공부 기록 예고 : [U-33] 숨겨진 파일 및 디렉토리 검색 및 제거 (중요도 : 하)