[Linux] 1. 계정 관리 > 1.1 root 계정 원격 접속 제한

점검 내용

• 시스템 정책에 root 계정의 원격 터미널 접속차단 설정이 적용되어 있는지 점검

 

점검 목적

• 관리자 계정 탈취로 인한 시스템 장악을 방지하기 위해 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하기 위함

 

보안위협

• root 계정은 운영체제의 모든 기능을 설정 및 변경이 가능하여(프로세스, 커널 변경 등) root 계정을 탈취하여 외부에서 원격을 이용한 시스템 장악 및 각종 공격으로(무작위 대입 공격) 인한 root 계정 사용 불가 위협

 

판단기준

판단기준
양호	원격 터미널 서비스를 사용하지 않거나, 사용 시 root 직접 접속을 차단한 경우
취약	원격 터미널 서비스 사용 시 root 직접 접속을 허용한 경우

 

조치방법

• 원격 접속 시 root 계정으로 바로 접속할 수 없도록 설정 파일 수정

OS 별 점검 파일 위치 및 점검 방법
Solaris	[Telnet] #vim /etc/default/login CONSOLE=/dev/console 내용을 주석 해제 또는 추가 [SSH] #vim /etc/ssh/sshd_config PermitRootLogin no 내용을 주석 해제 또는 추가
Linux	[Telnet] #vim /etc/securetty pts/0 ~ pts/x 내용을 주석 처리 또는 삭제 #vim /etc/pam.d/login auth required /lib/pam.d/pam_securetty.so 내용을 주석 해제 또는 추가 👾 /etc/securetty : Telnet 접속 시 root 접근 제한 설정 파일 "/etc/securetty" 파일 내 pts/x 내용이 존재하는 경우 PAM 모듈 설정과 관계 없이 가상 터미널을 통해 root 계정 접속을 허용하므로 pts/x 내용 제거 필요 [SSH] #vim /etc/ssh/sshd_config PermitRootLogin no 내용을 주석 해제 또는 추가
AIX	[Telnet] #vim /etc/security/user rlogin=false 내용을 주석 해제 또는 추가 [SSH] #vim /etc/ssh/sshd_config PermitRootLogin no 내용을 주석 해제 또는 추가
HP-UX	[Telnet] #vim /etc/securetty console 내용을 주석 해제 또는 추가 [SSH] #vim /etc/ssh/sshd_config PermitRootLogin no 내용을 주석 해제 또는 추가

 

Linux - Telnet 조치 화면 

• 조치 전 root 접속이 가능한 화면

• /etc/pam.d/login 파일 수정

• /etc/securetty 파일 수정

• root 접속 시 실패하는 화면

Linux - SSH 조치 화면 

• /etc/ssh/sshd_config 파일 설정
  PermitRootLogin prohibit-password가 디폴트이다. 패스워드로는 접속이 불가하고 키 파일로만 접속이 가능하게하는 옵션이지만
  root로의 접속 자체를 차단하는게 항목의 요구사항으로 생각되어 PermitRootLogin No 로 명시해줘야할거같다.

PermitRootLogin 옵션
Yes	Root로 접속 허용
No	Root로 접속 차단
Prohibit-password	Root로 패스워드 접속은 차단, 키 파일로 접속은 허용

점검 스크립트

#1 계정관리 > root 계정 원격 접속 제한
SSH_SERVICE_STATUS=$(service ssh status | grep Active | awk '{print $2}')

# SSH Service 동작 확인
if [ $SSH_SERVICE_STATUS == "active" ]; then
    echo "SSH SERVICE IS ACTIVE"
        #csse insensitive 확인 필요
        if [ "$(cat /etc/ssh/sshd_config | grep ^PermitRootLogin -m 1 | awk '{print $2}')" == "no" ]; then
            echo "[양호] ssh root 접속이 불가합니다."
        else
            echo "[취약] ssh root 접속 가능합니다."
        fi
else
    echo "SSH SERVICE IS NOT ACTIVE"
fi
#Telnet Service 확인
if [ -z $(grep "^pts/\?" /etc/securetty) ]; then
    echo "[양호] Telnet root 접속이 불가합니다."
else
    echo "[취약] Telnet root 접속이 가능합니다."
fi