취약점 항목	웹 프로세스 권한 제한
점검 결과			위험도	상	Code	WA2-02
취약점 개요	•Unix/Linux 시스템의 경우 Web 서버 데몬이 root 권한으로 운영될 경우 Web Application의 취약점 또는, 버퍼 오버플로우(Buffer Overflow)로 인하여 root 권한을 획득할 수 있으므로 서버 데몬이 root 권한으로 운영되지 않도록 관리하여야 함.
보안 대책
판단 기준	양호	Apache 데몬이 root 권한으로 구동되지 않는 경우
	취약	Apache 데몬이 root 권한으로 구동되는 경우
조치 방법	▶ Apache 데몬을 root 가 아닌 별도 계정으로 구동 1.데몬 User & Group 변경 # vim /etc/apache2/envvars User & Group 부분에 root가 아닌 별도 계정으로 변경 export APACHE_RUN_USER=[root가 아닌 별도 계정명] export APACHE_RUN_GROUP=[root가 아닌 별도 계정명] 2. Apache 서비스 재시작

 

● 서버 데몬을 구동시킬 수 있는 별도의 계정 설정 방법

apache2.conf 파일을 보면 아래와 같은 데몬 구동 user 및 group 의 설정값을 볼 수 있다

# These need to be set in /etc/apache2/envvars User ${APACHE_RUN_USER} Group ${APACHE_RUN_GROUP}

 

/etc/apache2/envvars 경로로 이동하여 아래와 같이 root가 아닌 별도의 계정으로 설정해주면 된다

 

# Since there is no sane way to get the parsed apache2 config in scripts, some
# settings are defined via environment variables and then used in apache2ctl,
# /etc/init.d/apache2, /etc/logrotate.d/apache2, etc.
export APACHE_RUN_USER=[root가 아닌 별도의 계정명 입력]
export APACHE_RUN_GROUP=[root가 아닌 별도의 그룹명 입력]