[U-01(상)] 1. 계정관리 > 1.1 root 계정 원격 접속 제한

작업 환경

• VMware Workstation Pro (17.6.2 ver)
• Server 
  • Rocky_Linux(8.10 ver) : NAT

U-01 (상)	1. 계정관리 > 1.1 root 계정 원격 접속 제한
취약점 개요
점검 내용	시스템 정책에 root 계정의 원격터미널 접속차단 설정이 적용되어 있는지 점검
점검 목적	관리자 계정 탈취로 인한 시스템 장악을 방지하기 위해 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하기 위함
보안 위협	root 계정은 운영체제의 모든 기능을 설정 및 변경이 가능하여(프로세스, 커널변경 등) root 계정을 탈취하여 외부에서 원격을 이용한 시스템 장악 및 각종 공격으로(무작위 대입 공격) 인한 root 계정 사용 불가 위협
판단 기준	양호 : 원격 터미널 서비스를 사용하지 않거나, 사용 시 root 직접 접속을 차단한 경우 취약 : 원격 터미널 서비스 사용 시 root 직접 접속을 허용한 경우

 

LINUX [Telnet 사용시]

• Step 1) "/etc/pam.d/login" 파일에서 auth required pam_securetty.so 추가
• Step 2) "/etc/securetty" 파일에서 pts/0 ~ pts/x 관련 설정이 존재하지 않음(예외파일이므로, 없으면 루트접속 차단)
  
  • pts(pseudo-terminal, 가상터미널) : 로컬 텍스트 콘솔을 의미한다. (Telnet, SSH, 터미널 등)

/etc/pam.d/login

/etc/securetty

 

LINUX [SSH 사용시]

• Step 1) "/etc/ssh/sshd_config" 파일 열기
• Step 2) 아래와 같이 주석제거 또는, 신규 삽입(44번째 줄)
  • (수정 전) #PermitRootLogin Yes
  • (수정 후) PermitRootlogin No
  • 수정 후에는 'systemctl restart sshd' 로 ssh 서비스 재구동 필수

수정 전

수정 후

 

---

위 취약점 점검/분석은
root로 직접 접근하는 방법은 문제가 없겠지만
내부 계정으로 접근한 후 su - 로 우회하여  root 에 접근할 수 있다.