분류
U-16(위) – 파일 및 디렉토리 관리
기준일
2021년 3월
내용 확인
존재하지 않는 장치 파일 확인
검사 목적
실제로 존재하지 않는 장치를 찾아 제거하여 루트 파일 시스템 손상 및 다운타임과 같은 문제를 방지하기 위해
보안 위협
공격자는 서버 관리자가 쉽게 찾을 수 없도록 루트킷 구성 파일을 /dev의 장치 파일로 위장하기 위해 여러 가지 방법을 사용합니다.
참조
※ /dev 디렉토리: 논리적 장치 파일을 포함하는 /dev 디렉토리는 /devices 디렉토리에 있는 물리적 장치 파일에 대한 심볼릭 링크입니다. 예를 들어 rmt0을 rmto로 잘못 입력하면 새로운 rmto 파일이 생성되고, 디바이스 이름을 잘못 입력하면 루트 파일 시스템에서 오류가 보고될 때까지 /dev 디렉토리에 파일이 계속 생성됩니다.
※ /dev 디렉토리에 불필요한 디바이스 파일이 있을 경우 삭제를 권장합니다.
목표
유닉스, 리눅스 등 서버.
심사기준
OK: 존재하지 않는 장치 파일이 dev에 있는 파일 이후에 제거된 경우
취약점: 개발 파일을 비활성화하거나 존재하지 않는 장치 파일을 무시하는 경우
행동
주 번호 또는 부 번호가 없는 장치 파일 제거
실행
1) /dev 디렉토리 파일 확인
#find /dev -type f -exec ls -l {} \;
2) 디바이스에 메이저, 마이너 번호가 없으면 삭제합니다.