[보안취약점] U-39. 서비스관리-웹서비스 링크 사용금지 여부

■ 점검항목 설명

- 시스템 자체에 root 디렉터리에 /에 링크를 걸면 웹 서버 구동 사용자 권한으로 모든 파일 시스템에 접근할 수 있게 되어  /etc/passwd 파일과 같은 민감한 파일을 누구나 열람할 수 있게 된다. 

무분별한 심볼릭 링크, aliases 사용 제한으로 시스템 권한의 탈취를 방지해야 한다.

■ 점검기준

양호	심볼릭 링크, aliases 사용을 제한한 경우
취약	심볼릭 링크, aliases 사용을 제한하지 않은 경우

■ 점검방법

경로 - /etc/httpd/conf

양호
- 설정 파일의 모든 디렉터리 옵션 값에 FollowSymLinks가 존재하지 않는 경우
- 설정 파일의 모든 디렉터리의 옵션 값에 -FollowSymLinks가 존재하는 경우

취약
1. 모든 디렉터리의 option 값에 FollowSymLinks가 포함된 설정이 하나라도 존재하는 경우
2. 디렉터리의 options 값이 빈 값인 설정이 하나라도 존재하는 경우
3. 모든 설정 파일에서 Directory Options 지시자가 존재하지 않는 경우

■ 대응방안 

▷ 설정 파일의 모든 Directory의 Options 값에 FollowSymLinks 제거하거나, -FollowSymLinks를 추가 

▷ httpd 재시작

# service httpd restart