작업 환경
- VMware Workstation Pro (17.6.2 ver)
- Server
- Rocky_Linux(8.10 ver) : NAT
| U-49 (하) | 1. 계정관리 > 1.10 불필요한 계정 제거 |
| 취약점 개요 | |
| 점검 내용 | 시스템 계정 중 불필요한 계정(퇴직, 전직, 휴직 등의 이유로 사용하지 않는 계정 및 장기적으로 사용하지 않는 계정 등)이 존재하는지 점검 |
| 점검 목적 | 불필요한 계정이 존재하는지 점검하여 관리되지 않은 계정에 의한 침입에 대비하는지 확인하기 위함 |
| 보안 위협 | 로그인이 가능하고 현재 사용하지 않는 불필요한 계정은 사용중인 계정보다 상대적으로 관리가 취약하여 공격자의 목표가 되어 계정이 탈취될 수 있음 ※ 퇴직, 전직, 휴직 등의 사유발생시 즉시 권한을 회수 |
| 판단 기준 | 양호 : 불필요한 계정이 존재하지 않는 경우 취약 : 불필요한 계정이 존재하는 경우 |
| 참고 | Default 계정: OS나 Package 설치 시 기본적으로 생성되는 계정(예 lp, uucp, nuucp 등) 불필요한 default 계정 삭제 시 업무 영향도 파악 후 삭제 권고 |
파일 확인법
1. /etc/passwd 파일을 통해 확인
cat /etc/passwd
cat /etc/passwd | grep -E "lp|uucp|nuucp"
/sbin/nologin 설정이 되어 있으므로 보안상 양호
2. Log를 통한 확인
cat /var/log/wtmp
cat /var/log/authlog
cat /var/log/sulog
/var/log/authlog , var/log/sulog 파일 미존재
LINUX
- Step 1) 서버에 등록된 불필요한 사용자 계정 확인
- Step 2) userdel 명령으로 불필요한 사용자 계정 삭제
- userdel <user_name>
※ /etc/passwd 파일에서 계정 앞에 #을 삽입하여도 주석처리가 되지 않으므로 조치 시에는 반드시 계정을 삭제하도록 권고함
참고
📌 /var/log/wtmp 란?
- 로그인/로그아웃 기록, 시스템 부팅/종료, runlevel 변경을 기록하는 log 파일
- 데이터 형식 : 바이너리(binary) → 사람이 직접 열면 깨져 보임
- 분석 명령 : who, last, lastb 등을 사용해야 함
확인하는 방법
1. 최근 로그인/로그아웃 기록 보기
last- 자동으로 /var/log/wtmp 파일을 해석해서 출력한다
2. 부팅/종료 기록만 보기
last reboot
3. 실패한 로그인 시도 보기
lastb- 자동으로 /var/log/btmp 파일을 해석해서 출력한다
※ last /var/log/wtmp 와 last 는 다르다
- last /var/log/wtmp 로 작성 시 /var/log/wtmp 을 사용자명으로 인식
- last 로 작성 시 기본값으로 /var/log/wtmp 파일에서 전체 사용자 로그를 출력
'주요정보통신기반시설가이드 > LINUX 취약점 점검' 카테고리의 다른 글
| [U-51(하)] 1. 계정관리 > 1.12 계정이 존재하지 않는 GID 금지 (0) | 2025.05.02 |
|---|---|
| [U-50(하)] 1. 계정관리 > 1.11 관리자 그룹에 최소한의 계정 포함 (0) | 2025.05.02 |
| [U-48(중)] 1. 계정관리 > 1.9 패스워드 최소 사용기간 설정 (0) | 2025.05.02 |
| [U-47(중)] 1. 계정관리 > 1.8 패스워드 최대 사용기간 설정 (0) | 2025.05.02 |
| [U-46(중)] 1. 계정관리 > 1.7 패스워드 최소 길이 설정 (0) | 2025.05.02 |