강화 시 불필요한 계정은 삭제하는 것이 좋습니다.
- 이 계정에는 프로세스 및 데몬 계정이 포함되어 있습니까?
- 불필요한 사용자 계정으로 인한 보안 문제는 무엇입니까?
- 공격자가 불필요한 계정을 손상시켜 시스템을 손상시킬 수 있습니까?
답변1
배경
보안 문제를 다룰 때 이러한 조언을 제공하는 주된 이유는 보안을 강화하는 핵심 요소 중 하나가 "공격 표면"을 줄이는 것이기 때문입니다. 즉, 시스템에서 경로를 제거하면 시스템의 전반적인 잠재력이 감소합니다.
예를 들어
이것이 왜 보안에 중요한지 설명할 때 저는 집에 비유하는 것을 좋아합니다. 집을 더 안전하게 만드는 방법에 대해 생각하고 있다면 분명한 것부터 시작하겠습니다. 문과 창문에 대해 이야기해 보세요. 문이 10개 있는 집을 지을 필요가 없고 문이 2개만 필요하다면 문이 2개만 있는 집이 문이 10개 있는 집보다 보안 측면에서 더 안전할 수 있습니다.
다음으로 고려하고 싶은 것은 문의 유형과 고정 방법입니다. 철제 스크린도어인가요, 아니면 광물성 도어인가요? 잠그는 방법과 기타 다양한 기능은 집 전체를 "더 안전하게" 만드는 방법에 영향을 미칩니다.
이 접근 방식을 보안에 적용
시스템 보안에서도 마찬가지입니다. 따라서 불필요한 계정을 제거하는 것은 시스템이 노출되고 손상으로부터 보호될 가능성을 높이는 또 하나의 단계일 뿐입니다. 이러한 계정이 직접 로그인을 허용하지 않도록 설정되었거나 20자 비밀번호를 사용하는 경우 잠재력이 감소합니다.
또한 LAN의 로컬 IP 주소에서만 로그인을 허용하도록 설정하거나 다른 방법을 적용하여 계정을 잠그면(예: SSH를 통해서만 사용) 계정이 손상될 위험이 줄어듭니다. 너무 취약한 것으로 간주됩니다.
주요 보안 개념
다음 아이디어를 염두에 두세요.
- 보안은 의도하지 않은 방식으로 시스템이 사용되는 것을 손상시키지 않으면서 가능한 가장 안전한 방법으로 시스템을 사용할 수 있도록 시스템 설정에 따른 장단점의 균형을 맞추는 것입니다.
- 보안은 양파 껍질과 같습니다. 우리는 잠재적인 공격자가 실수를 저지르고 우리 시스템을 손상시키려는 시도를 포기할 수 있도록 가능한 한 많은 것을 추가하려고 노력하고 있습니다.
다른 질문
Q1.이 계정에는 프로세스 및 데몬 계정이 포함되어 있습니까?
예, 계정을 보호/비활성화/삭제하라는 조언이 제공되면 데몬에서 사용하는 것과 같은 사용자 계정 및 시스템 계정에 대해 이야기하는 것입니다.
더 이상 시스템에 물리적으로 액세스할 필요가 없는 사용자에 대해 시스템에 사용자 계정을 유지하고 싶지 않으며 비활성화되거나 제거된 데몬에 대한 계정을 유지하고 싶지도 않습니다.
Q2.불필요한 사용자 계정으로 인한 보안 문제는 무엇입니까?
위에서 설명한대로. 이러한 계정은 잠재적인 보안 위험이 있으며 공격자는 이를 사용하여 액세스할 수 있습니다. 그러나 적절하게 보호하면 그 존재는 크게 줄어듭니다.
Q3.공격자가 불필요한 계정을 손상시켜 시스템을 손상시킬 수 있습니까?
해당 계정에 대한 액세스 권한이 있는 경우에만 가능합니다. 이러한 계정이 직접 로그인을 허용하지 않도록 구성되어 있고 해당 계정에서 실행되는 데몬/서비스가 없는 경우 보안 관점에서 볼 때 실제로 위험이 거의 없습니다.