root 권한은 매우 위험합니다..

안녕하십니까?

리눅스서버보안관리실무(http://superuser.co.kr/linuxsecurityadmin/) 저자 홍석범입니다.

어떠한 OS이든, 프로그램이든 취약성을 가지고 있다는 것을 잘 아실 것입니다. 만약 공격자가 root로 작동하는 특정 데몬의 취약성을 이용할 경우 해당 권한을 획득하거나 해당 권한으로 명령어를 실행하거나 파일을 삭제하는등의 작업을 할 수 있기 때문입니다.

아래는 다소 오래되긴 하였지만, root로 작동하는 특정 데몬의 취약성(buffer overflow)을 이용하여 원격지에서 임의의 명령어(백도어 설치)를 실행하는 것을 알 수 있습니다. 만약 이 데몬이 root가 아닌 nobody 권한으로 작동하고 있었다면 백도어를 생성할 수 없으므로 아래의 공격은 성공하지 못할 것입니다.

04f0  82 10 20 0b 91 d0 20 08 2f 62 69 6e 2f 6b 73 68   .. ... ./bin/ksh
0500  20 20 20 20 2d 63 20 20 65 63 68 6f 20 22 69 6e       -c  echo "in
0510  67 72 65 73 6c 6f 63 6b 20 73 74 72 65 61 6d 20   greslock stream
0520  74 63 70 20 6e 6f 77 61 69 74 20 72 6f 6f 74 20   tcp nowait root
0530  2f 62 69 6e 2f 73 68 20 73 68 20 2d 69 22 3e 2f   /bin/sh sh -i">/
0540  74 6d 70 2f 78 3b 2f 75 73 72 2f 73 62 69 6e 2f   tmp/x;/usr/sbin/
0550  69 6e 65 74 64 20 2d 73 20 2f 74 6d 70 2f 78 3b   inetd -s /tmp/x;
0560  73 6c 65 65 70 20 31 30 3b 2f 62 69 6e 2f 72 6d   sleep 10;/bin/rm
0570  20 2d 66 20 2f 74 6d 70 2f 78 20 41 41 41 41 41    -f /tmp/x AAAAA
0580  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
0590  41 41 41 41 41 41 41 41 41 41 41 41 41 41 41 41   AAAAAAAAAAAAAAAA
05a0  41 41 41 41 41 41 41 41                           AAAAAAAA

또 다른 예로  웹서버를 예로 들어 아파치가 nobody나 apache가 아닌 root로 작동한다고 가정해 봅시다. 어떤 유저가 아래와 같은 test.cgi 스크립트를 작성하여 서버에 업로드후 웹에서 http://server.com/test.cgi 로 실행하였다면 이 cgi는 웹서버 유저인 root로 작동하게 됩니다. 따라서 웹 서버의 모든 데이터를 삭제하게 되겠지요.. 물론 nobody로 작동하고 있었다면 nobody 권한으로 삭제할 수 있는 데이터만 삭제하게 될 것입니다.  

#!/usr/bin/perl

`rm -rf /`;

이해가 되셨는지요?

그리고, 디렉토리 구조등 리눅스 자체에 대해 알고 싶으시면 박성수님의 "리눅스 서버관리 실무 바이블"을 보시면 많은 도움이 되실 것입니다.

감사합니다.