* description : 톰캣 보안패치 ( Tomcat )
* author : 김토피아
* email : kimmk@repia.com
* lastupdate : 2023-07-06
====== 취약점 내용 ======
항목명 : 로그 디렉토리/파일 권한 설정 \\
중요도 : 중
항목개요 : 로그 파일에는 공격자에게 유용한 정보가 들어있어 권한 관리가 필요하므로 일반 사용자에 의한 정보 유출이 불가능하도록 권한 설정을 강화해야 함
===== 판단기준 =====
사전 지식: [[https://conory.com/blog/19194|파일 권한(permission)에 대한 정보 ]]
양호: WAS 서버 전용 계정 소유이고, 로그 파일 권한이 640(-rw-r- - - - -) 인 경우 \\
취약: WAS 서버 전용 계정 소유가 아니거나, 로그 파일 권한이 640(-rw-r- - - - -) 이 아닌 경우 \\
===== 처리방법 =====
1. 기존 로그파일의 권한 변경
shell> cd /usr/local/tomcat/logs
shell> chmod 640 *
shell> ls -al
-rw-r----- 1 search search 8153 7월 6 14:34 catalina.out
2. tomcat 설정 변경
shell> cd /usr/local/tomcat/bin/
shell> vi catalina.sh
아래의 문장을 찾아서 UMASK의 값이 0027 인지 확인 후 수정 또는 저장 후 tomcat 재시작
# Set UMASK unless it has been overridden
if [ -z "$UMASK" ]; then
UMASK="0027"
fi
umask $UMASK
===== 취약점 조치에 대하여 640을 못하는 경우 =====
TOMCAT으로 검색서비스를 제공하는 경우 80(http), 443(https) 포트의 경우 root만 사용하기 때문에 tomcat의 프로세스가 root로 실행 됨 \\
검색엔진은 root 계정으로 동작하지 않기 때문에 파일 권한 및 디렉토리 권한이 없는 경우 LogDayProc가 사용자 검색어 로그({RSA_ROOT}/logs/search_log)/의 파일들을 읽지 못하여 \\
검색 통계가 동작하지 않음 \\
644의 최소한의 권한도 허용하지 않는다면 apache와 tomcat을 연동하고 tomcat의 실행 계정을 검색엔진 계정과 동일한 계정으로 실행하여야 함. \\
apache와 tomcat의 연동은 검색엔진의 작업이 아니고 고객과 주관사에서 지원 받아야 하는 작업임
===== Ref =====
{{tag>김토피아 취약점 }}