[U-56 (중)] 2. 파일 및 디렉토리 관리 > 2.17 UMASK 설정 관리

 

 

점검내용

 

시스템 UMASK 값이 022 이상인지 점검

 

 

점검목적

 

잘못 설정된 UMASK 값으로 인해 신규 파일에 대한 과도한 권한 부여되는 것을 방지하기 위함

 

 

보안위협

 

잘못된 UMASK 값으로 인해 파일 및 디렉터리 생성 시 과도하게 퍼미션이 부여될 수 있음

 

 

참고

 

• 시스템 내에서 사용자가 새로 생성하는 파일의 접근권한은 UMASK 값에 따라 정해지며, 계정의 Start Profile 에 명령을 추가하면 사용자가 로그인 한 후에도 변경된 UMASK 값을 적용받게 됨
• Start Profile : /etc/profile, /etc/default/login, .cshrc, .kshrc, .bashrc, .login, .profile 등
• umask : 파일 및 디렉터리 생성 시 기본 퍼미션을 지정해 주는 명령어

 

 

점검대상 및 판단기준

 

■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등

 

■ 판단기준

• 양호 : UMASK 값이 022 이상으로 설정된 경우
• 취약 : UMASK 값이 022 이상으로 설정되지 않은 경우

■  조치방법 : 설정파일에 UMASK 값을 “022”로 설정

 

 

점검 및 조치 사례

 

OS별 점검 파일 위치 및 점검 방법
SOLARIS, LINUX, AIX, HP-UX	#vi /etc/profile UMASK=022
위에 제시한 UMASK 값이 해당 파일에 적용되지 않은 경우 아래의 보안설정방법에 따라 적용함

 

■ SOLARIS

• 방법-1. “/etc/profile” 파일을 이용한 UMASK 설정 변경
  • Step 1) vi 편집기를 이용하여 “/etc/profile” 파일 열기
  • Step 2) 아래와 같이 수정 또는, 신규 삽입

umask 022 export umask

 

• 방법-2. “/etc/default/login” 파일을 이용한 UMASK 설정 변경
  • Step 1) vi 편집기를 이용하여 “/etc/default/login” 파일 열기
  • Step 2) 아래와 같이 수정 또는, 신규 삽입

(수정 전) #UMASK=022
(수정 후) UMASK=022

 

■ LINUX

• Step 1) vi 편집기를 이용하여 “/etc/profile” 파일 열기
• Step 2) 아래와 같이 수정 또는, 신규 삽입

umask 022 export umask

 

■ HP-UX

• 방법-1. “/etc/profile” 파일을 이용한 UMASK 설정 변경
  • Step 1) vi 편집기를 이용하여 “/etc/profile” 파일 열기
  • Step 2) 아래와 같이 수정 또는, 신규 삽입

umask 022 export umask

 

• 방법-2. "/etc/defualt/security" 파일을 이용한 UMASK 설정 변경
  • Step 1) vi 편집기를 이용하여 “/etc/defualt/security” 파일 열기
  • Step 2) default 설정 부분을 아래와 같이 수정 또는, 신규 삽입

(수정 전) # UMASK=022
(수정 후) UMASK=022

 

■ AIX

• 방법-1. “/etc/profile” 파일을 이용한 UMASK 설정 변경
  • Step 1) vi 편집기를 이용하여 “/etc/profile” 파일 열기
  • Step 2) 아래와 같이 수정 또는, 신규 삽입

umask 022 export umask

 

• 방법-2. “/etc/security/user” 파일을 이용한 UMASK 설정 변경
  • Step 1) vi 편집기를 이용하여 “/etc/security/user” 파일 열기
  • Step 2) default 설정 부분을 아래와 같이 수정 또는, 신규 삽입

(수정 전) umask =
(수정 후) umask = 022

 

 

 

조치 시 영향

 

일반적인 경우 영향 없음

 

 

 

 

---

 

 

실습

 

• /etc/profile 파일 점검 => umask 값이 주석처리되어 있음

vi /etc/profile 또는 cat .profile

 

• .bashrc 파일도 살펴볼 것

 

 

진단결과

 

취약 :  UMASK 값이 022 이상으로 설정되지 않은 경우