|
|
|
TERMINAL 클래스의 기본 액세스가 READ로 설정된 경우에는 loopback 및 localhost 터미널과 스테이션 호스트 이름 사용을 제한해야 합니다. 이러한 터미널의 사용을 허용하면 대상 사용자의 암호를 아는 경우 다른 모든 사용자가 자신의 사용자 ID를 대체할 수 있게 됩니다. 예를 들어 다음과 같은 경우를 생각해 봅시다.
사용자 U는 telnet loopback 명령을 실행하고 사용자 ID를 루트로 지정한 다음 암호를 입력하여 이 액세스 규칙 세트를 바이패스할 수 있습니다. 이제 슈퍼 사용자 로그인이 허용되어선 안될 터미널 T에서 슈퍼 사용자 세션이 시작되었습니다. 이와 비슷하게 사용자는 로컬 호스트 또는 스테이션의 호스트 이름을 사용하여 액세스 규칙을 바이패스할 수 있습니다.
이러한 세 가지 취약점을 제한하려면 다음 정의를 사용합니다.
newres TERMINAL loopback defaccess(N) owner(nobody) newres TERMINAL localhost defaccess(N) owner(nobody) chres TERMINAL hostname defacc(N) owner(nobody)
이 보안 위반을 예방하는 다른 방법은 텔넷, ftp 등에 대한 TCP 요청을 로컬 호스트로부터 제한하는 것입니다.
또한 다른 선택 사항으로는 TERMINAL 그룹의 기본 액세스를 NONE으로 설정한 다음 TERMINAL 및 GTERMINAL 규칙을 지정하는 것입니다.
| Copyright © 2013 CA. All rights reserved. |
|