2026 주정통 가이드라인

[2026 주요정보통신기반시설] U-01 root 계정 원격 접속 제한

시스템 정책에 root 계정의 원격 터미널 접속 차단 설정이 적용 여부 점검

U-01 root 계정 원격 접속 제한

가이드라인 원문

항목내용
항목코드U-01
점검내용시스템 정책에 root 계정의 원격 터미널 접속 차단 설정이 적용 여부 점검
점검대상SOLARIS, LINUX, AIX, HP-UX 등
양호기준원격 터미널 서비스를 사용하지 않거나, 사용 시 root 직접 접속을 차단한 경우
취약기준원격 터미널 서비스 사용 시 root 직접 접속을 허용한 경우
조치방법원격 접속 시 root 계정으로 접속할 수 없도록 설정 파일 내용 수정

상세 설명

1. 판단 기준

기본 판단 기준

  • 양호: 원격 터미널 서비스를 사용하지 않거나, 사용 시 root 직접 접속을 차단한 경우
  • 취약: 원격 터미널 서비스 사용 시 root 직접 접속을 허용한 경우

경계 케이스 (Edge Case) 처리 방법

상황판단 기준설명
PermitRootLogin prohibit-password부분 양호키 기반 인증만 허용, 완전 차단 권장
PermitRootLogin forced-commands-only부분 양호지정 명령어만 실행, 완전 차단 권장
Telnet 서비스 사용 중취약암호화되지 않은 프로토콜로 root 접속 허용
SSH 서비스 미사용양호원격 접속 경로 자체가 없음

권장 설정값

환경항목권장 설정비고
Linux/UnixSSH PermitRootLoginno완전 차단
Solaris/etc/default/login CONSOLE/dev/console콘솔만 허용
AIX/etc/security/user rloginfalseroot 원격 접속 차단
HP-UX/etc/securettytty만 포함pts 항목 제거

2. 점검 방법

Linux/Unix SSH 점검

SSH는 원격 접속의 표준 프로토콜로, root 계정의 직접 접속을 차단해야 무차별 대입 공격으로부터 시스템을 보호할 수 있습니다.

1
2

# SSH 설정 파일에서 root 접속 허용 여부 확인
cat /etc/ssh/sshd_config | grep -E "^PermitRootLogin"

양호 출력 예시:

1

PermitRootLogin no

취약 출력 예시:

1

PermitRootLogin yes

Telnet 점검 (Linux)

Telnet은 암호화되지 않은 프로토콜로, 원천적으로 사용을 권장하지 않습니다.

1
2
3
4
5
6

# Telnet 서비스 실행 여부 확인
systemctl status telnet.socket
netstat -tlnp | grep :23

# securetty 파일 확인
cat /etc/securetty

양호 출력 예시 (pts 항목 없음):

1
2
3
4
5

console
tty1
tty2
# pts/0
# pts/1

취약 출력 예시:

1
2
3
4

console
tty1
pts/0
pts/1

3. 조치 방법

Linux SSH 설정

  1. SSH 설정 파일 백업

    1

    cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak.$(date +%Y%m%d)

  2. PermitRootLogin 설정 변경

    1

    vi /etc/ssh/sshd_config

    변경 전: PermitRootLogin yes 변경 후: PermitRootLogin no

  3. 설정 문법 확인 및 서비스 재시작

    1
2

    sshd -t
systemctl restart sshd

Linux Telnet 설정

  1. Telnet 서비스 비활성화 (권장)

    1
2

    systemctl stop telnet.socket
systemctl disable telnet.socket

  2. 사용 시 securetty 파일 수정

    1
2

    vi /etc/securetty
# pts/0, pts/1 등 주석 처리 또는 삭제

Solaris SSH 설정

  1. SSH 설정 파일 수정

    1
2

    vi /etc/ssh/sshd_config
PermitRootLogin no

  2. 서비스 재시작

    1

    svcadm restart svc:/network/ssh:default

AIX 설정

  1. SSH 설정 수정

    1
2

    vi /etc/ssh/sshd_config
PermitRootLogin no

  2. Telnet 차단 설정

    1
2
3

    vi /etc/security/user
root:
        rlogin = false

  3. 서비스 재시작

    1
2

    stopsrc -s sshd
startsrc -s sshd

HP-UX 설정

  1. SSH 설정 수정

    1
2

    vi /opt/ssh/etc/sshd_config
PermitRootLogin no

  2. securetty 파일 확인

    1
2

    vi /etc/securetty
# 콘솔(tty)만 허용, pts 항목 제거

  3. 서비스 재시작

    1
2

    /sbin/init.d/sshd stop
/sbin/init.d/sshd start

4. 참고 자료

5. 스크립트

  • 취약점 점검 스크립트
    • 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
    • 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.
© 2025 - 2026 코딩이 싫은 거북이
Hugo로 만듦
JimmyStack 테마 사용 중