U-09 계정이 존재하지 않는 GID 금지

가이드라인 원문

상세 설명

1. 판단 기준

기본 판단 기준

• 양호: 시스템 관리나 운용에 불필요한 그룹이 제거된 경우
• 취약: 시스템 관리나 운용에 불필요한 그룹이 존재하는 경우

경계 케이스 (Edge Case) 처리 방법

권장 설정값

2. 점검 방법

Solaris, Linux, AIX, HP-UX 점�

시스템에는 사용자 계정이 없는 불필요한 그룹이 존재하지 않는지 확인해야 합니다.

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15

# 1. 모든 그룹 목록 확인
cat /etc/group

# 2. 사용자가 없는 그룹 확인
for group in $(awk -F: '{print $1}' /etc/group); do
    if ! grep -q "^$group:" /etc/passwd; then
        echo "Group '$group' has no user account"
    fi
done

# 3. 구성원이 없는 그룹 확인
awk -F: '$4 == "" {print $1":"$3}' /etc/group

# 4. 특정 그룹의 소유 파일 확인
find / -type f -group unused 2>/dev/null

양호 출력 예시:

1
2

# 구성원이 없는 그룹 확인
(출력 없음)

취약 출력 예시:

1
2
3
4
5
6
7
8

# 사용자가 없는 그룹
Group 'unused' has no user account
Group 'oldproject' has no user account

# 구성원이 없는 그룹
unused:1002
oldproject:1003
temp:1004

GID 충돌 확인

1
2
3
4

# 사용되지 않는 GID 확인
awk -F: '{print $4}' /etc/passwd | sort -u > /tmp/used_gids.txt
awk -F: '{print $3}' /etc/group | sort -u > /tmp/all_gids.txt
comm -13 /tmp/used_gids.txt /tmp/all_gids.txt

3. 조치 방법

Solaris, Linux, HP-UX 설정

1. 제거할 그룹 확인

   1	groupdel unusedgrp # 존재하지 않는 그룹으로 테스트

2. 불필요한 그룹 제거

   1 2	groupdel unused groupdel oldproject

3. 여러 그룹 일괄 제거

   1 2 3 4 5 6 7

   while read groupname; do if groupdel "$groupname" 2>/dev/null; then echo "[SUCCESS] $groupname 그룹 제거 완료" else echo "[FAIL] $groupname 그룹 제거 실패" fi done < /tmp/groups_to_remove.txt

AIX 설정

1. SMIT를 통한 그룹 제거 (권장)

   1	smit remove_group

2. chgroup 명령어로 제거

   1	chgroup -R -f unused

4. 참고 자료

• Red Hat - Managing Groups in Linux
• Ubuntu - User and Group Management
• CIS Benchmark - Ensure no unnecessary accounts exist
• NIST AC-2(2) - Employ automated mechanisms to manage group accounts

5. 스크립트

• 취약점 점검 스크립트
  • 이 스크립트는 KISA 주요정보통신기반시설 기술적 취약점 분석·평가 가이드라인(2026)을 준수하여 제작된 자동 점검 도구입니다. 복잡한 단일 파일 방식이 아닌 모듈화된 구조로 설계되어 유지보수가 쉽고 확장이 용이합니다.
  • 다양한 환경에서 테스트를 진행했으나, 혹시 점검 로직에 이슈가 발견되거나 개선이 필요한 경우 적극적인 제보를 부탁드립니다.