로그인이 필요없는 계정을 이용해 시스템에 접근하여 사용자의 명령어를 해석하고 악용할 가능성이 있으므로,
/bin/false 쉘(shell)을 부여해 로그인을 금지하는 항목.
양호: 로그인이 필요하지 않은 계정에 /bin/false(nologin) 쉘이 부여되어 있는 경우
취약: 로그인이 필요하지 않은 계정에 /bin/false(nologin) 쉘이 부여되지 않은 경우
조치방법:
로그인이 필요하지 않은 계정을 식별해 /bin/false(nologin) 쉘을 부여해서 로그인을 못하게 막아둔다.
(하인리히의 1:29:300 법칙은 대부분 옳다...!)
불필요하게 활성화된 계정이 있느냐 확인. false / nologin 으로 확인할 수 있다.
쉘이 부여되어 있는 계정 중에 있느냐. 10번과 사실상 같음.
root, ec2-user 양호. (서버 자체 생성)
sia <0 이런 식만 확인 필요. 계정 갯수 많으면 확인.
???: 쉘이 뭔가여? ------> 여기참고
(쉘(shell): 대화형 사용자 인터페이스. OS 가장 외곽에 존재하여 사용자의 명령어를 이해하고 하드웨어/시스템과 교류하여 필요한 부분을 실행할 수 있도록 하는 대화창 역할을 함.)
기억력이 안좋은 dilly: false는 뭐고 nologin은 뭐드라 -----> 여기참고
Comments
Post a Comment