[인프라] UMASK 설정 관리: Login과 Non-Login (Interactive)

참고 및 출처: 이글루 보안이슈

참고 및 출처: 티스토리(앙금빵님)

 

주통기 항목 - UMASK 설정 관리

점검내용: 시스템 UMASK 값이 022 이상인지 점검

인프라 취약점 진단 시 해당 항목의 판단 과정에서 헷갈리는 점이 있어.. 오랜만에 포스팅한다.

---

Linux/Unix 환경설정 파일은 쉘 모드에 따라 적용되는 파일 종류/순서/과정이 다르다.

	대화형 로그인(Login)	비대화형 로그인Non-Login)
	- /etc/passwd에 등록된 계정으로 로그인 성공 시	- GUI 환경 내 콘솔이나 터미널, xterm과 같은 터미널 프로그램으로 접속 시  - ssh로 리눅스 시스템에 접근한 후, bash쉘 실행 시 - 로그인 쉘에서 파생된 쉘. exit 명령으로 쉘 종료

 

대화형 로그인 모드

대화형 로그인 모드일 때 사용되는 환경설정 파일 흐름도 (출처: 이글루시큐리티)

① /etc/profile: 로그인 후 가장 먼저 실행되는 환경 파일. 모든 시스템 사용자의 환경 및 시작프로그램 적용

② ~/.bash_profile: 사용자 별 환경 및 시작프로그램 구성이 담김

③ ~/.bash_login: 로그인할 때만 실행. ② 파일이 없으면 실행. 

④ ~/.profile: ②, ③ 파일이 없으면 실행

⑤ ~/.bashrc: 사용자 별 별칭 및 함수 저장

⑥ /etc/bashrc: 모든 시스템 사용자에게 적용되는 별칭 및 함수 저장

# UMASK 설정 예시
if [$UID -gt 199] && ["'/usr/bin/id -gn'" = "'/usr/bin/id -un'"]; then 
     UMASK 002
else
     UMASK 022
fi

 

위 여섯개의 환경설정 파일들에 모두 UMASK를 선언할 수 있다. 즉, 선언되는 위치에 따라 다음에 호출되는 파일에 의해 덮어씌워질 수 있다. → 가장 마지막에 선언된 설정이 최종적으로 적용

인프라 취약점 진단 시 스크립트를 돌린 결과로그를 통해 취약/양호 판단을 하는데.  만약 해당 항목에 대한 스크립트가 고도화되지 않은 경우, 오판할 수 있다.

 

[Example]

1. /etc/profile만을 보고 UMASK 설정 관리 항목을 취약 판단했으나, 다른 환경설정 파일 내에 UMASK 설정이 되어있다면 이는 취약하다고 볼 수 없는 것.

2. 반대로 /etc/profile 내 UMASK 설정이 양호하여 양호판단했으나, 다른 설정파일 내 UMASK 설정이 취약하게 설정되어 있다면 양호하다고 볼 수 없다. 덮어씌워지기 때문이다.

 

 

대화형 비로그인 모드

대화형 비로그인 모드일 때 다음과 같은 순서로 환경설정 파일이 실행된다. (bash shell)

① /etc/bashrc

② ./~bashrc

 

bash shell이 아닌 다른 쉘에 대한 환경설정파일 실행 순서는 이글루시큐리티의 게시글(링크)을 확인하자.