[보안점검] /etc/hosts 권한

DNS 서비스의 아버지 겪인 /etc/hosts 또한 IP 와 domain 이 쌍을 이루어 domain 을 활용할 수 있게 된다.

 

특히나 Web/Was 서비스가 다른 서버로 접근할 때 이중화 또는 내부 IP에 접근할 때 /etc/hosts 의 도메인을 사용함으로써 기억하기 어려운 IP 보다 domain 으로 대체하여 사용하는데 큰 이점을 준다.

 

KISA의 보안 권고 사항에는 /etc/hosts 의 소유자 즉 root 만 read,write 권한을 주고 그외 권한을 주지 않는 chmod 600 /etc/hosts 가 권고 사항이다.

 

그래 이러한 권고를 통해 다른 계정이 필요 이상으로 hosts 파일의 내용을 읽거나, 수정하지 못하도록 막는 것은 매우 좋은 생각이다.

 

해당 시스템이 악의적인 사용자가 원하는 방향으로 연결되지 않도록 막는 것고 불필요한 정보 유출을 막는 것이 절대 잘못된 것은 아니니깐.

 

그런데 이 KISA 의 권고를 따르다 낭패를 보는 초보 엔지니어 혹은 관리자들이 많다.

 

정확히 어떠한 서비스 였는지는 기억나지 않지만 , jeus, webtob 와 같은 web/was 솔루션을 사용 할때 /etc/hosts 의 정보를 읽고 프로세스 로직이 동작하는 솔루션들이 있다.

 

이러한 솔루션들에게 읽기권한 조차 없는(보통 이런 솔루션을 root 권한으로 실행시키지 않으니 말이다) /etc/hosts 파일을 참조하지 못하니 서비스 장애가 발생한다.

 

그러다 보니 KISA 권고와는 다르게 644를 사용하는게 일반적인 것 같다.

 

물론 lsof 나 fuser 와 같은 프로그램을 통해 /etc/hosts 를 참조하고 있는 프로세스가 있는지 확인해보며 600 으로 보안을 강화할 것인지, 꼼꼼히 알아볼 수 도 있을 것이지만, 잠재적인 가능성을 생각해보았을 때

 

보안을 강화하는게 아무리 강조해도 지나치지 않을 수 있으나, /etc/hosts 파일에서는 조금은 숨통을 쉬게 해주는것도 나쁘지 않아보인다.

 

물론 이는 지극히 개인적인 주관이기에, 개인의 판단과 시스템의 상황에 알맞게 적용해본다.

 

최소한 666는 아니길 빈다.