[보안취약점] U-65. 서비스관리-at 파일 소유자 및 권한 설정

핵심 : at파일 일반 사용자 금지, 권한 640

■ 점검항목

- 공격자가 획득한 사용자 계정을 등록하여 불법적인 예약 파일 실행할 수 있으므로 

- at 명령어 사용자 제한은 at.allow파일과 at.deny 파일에서 할 수 있으므로 해당 파일에 대한 접근 제한이 필요

■ 점검기준

양호 : at 명령어 일반 사용자 금지 및 at 관련 파일 권한 640 이하인 경우

■ 점검방법

▷ at 명령어 일반 사용자 권한 확인

# ls -al /usr/bin/at

▷ /etc/at.allow, /etc/at.deny 파일의 소유자 및 권한 확인

# ls -al /etc/at.allow

# ls -al /etc/at.deny

■ 대응방안

▷ at 명령어 일반 사용자 권한 삭제, SUID 설정 제거

# ls -l /usr/bin/at
# chmod 750 /usr/bin/at

▷ /etc/at.allow, /etc/at.deny 파일 소유자 및 권한 변경

# chown root /etc/at.allow
# chmod 640 /etc/at.allow
# chown root /etc/at.deny
# chmod 640 /etc/at.deny