🛡️ U-51 (하) | 1. 계정관리 > 계정이 존재하지 않는 GID 금지
🔍 점검내용
사용자 계정이 존재하지 않는 그룹 ID(GID)를 참조하고 있는지 여부를 점검
🎯 점검목적
유효하지 않은 그룹 ID를 사용하는 계정을 제거하거나 수정함으로써 시스템 접근 제어 오류나 보안상의 허점을 사전에 방지하기 위함
⚠️ 보안위협
존재하지 않는 GID를 참조하는 계정은 그룹 권한이 비정상적으로 적용될 수 있으며, 권한 우회, 보안 감사 누락 등으로 이어질 수 있음
📚 참고
- ※ /etc/passwd 파일의 네 번째 필드(GID)와 /etc/group의 그룹 ID 목록을 비교하여 점검
- ※ 시스템 계정 관리 시 사용자와 그룹 정보의 일관성 유지가 필수
🖥️ 대상
SOLARIS, LINUX, AIX, HP-UX 등
✅ 판단기준
- 양호
- 모든 계정의 GID가 /etc/group에 존재하는 유효한 그룹 ID인 경우
- 취약
- GID가 /etc/group 파일에 존재하지 않는 값을 참조하고 있는 계정이 있는 경우
🛠️ 조치방법
유효하지 않은 GID를 가진 계정을 점검하고, 올바른 GID로 수정하거나 불필요한 경우 해당 계정을 삭제
반응형
⚙️ 조치 시 영향
실제 사용 중인 계정일 경우 GID 수정 시 파일 소유권 문제가 발생할 수 있으므로, 사용 용도를 먼저 확인해야 함
📋 점검 및 조치사례 (Linux)
🔍 유효하지 않은 GID 탐지 스크립트
awk -F: 'NR==FNR {gid[$3]; next} $4 && !($4 in gid) {print $1 " -> GID: " $4}' /etc/group /etc/passwd※ /etc/passwd의 GID 필드가 /etc/group에 존재하지 않으면 출력됨
🔧 계정의 GID 수정
usermod -g [유효한GID] [사용자명]🗑️ 불필요한 계정 삭제
userdel [사용자명]※ 사용하지 않는 계정일 경우 삭제 처리