HV-05: 가상화 장비 사용자 인증 강화
분류: Virtualization
중요도: 상
개요
점검 내용
사용자 계정별 적절한 권한이 부여 여부 점검
점검 목적
가상화 시스템에 등록한 계정들에 용도별 권한을 부여함으로써 권한 없는 사용자의 설정 변경으로 인한 시스템 침입 경로 유출 위험을 줄이고 관리자 계정이 아닌 일반 계정이 공격자에게 탈취되었을 때 가상화 시스템을 장악하지 못하도록 하기 위함
보안 위협
가상화 시스템에 등록된 계정이 모두 관리자 권한으로 부여된 경우 권한 없는 사용자의 의도하지 않은 설정 변경을 통하여 공격자에게 가상화 시스템 침입 경로 제공 위험이 존재함
참고
최고 관리자 권한은 최소한의 계정에만 부여
점검 대상 및 판단 기준
대상
VMware ESXi, vCenter, XenServer, KVM, Nutanix
판단 기준
✅ 양호: 계정별 불필요한 권한이 부여되지 않은 경우
❌ 취약: 계정별 불필요한 권한이 부여된 경우
조치 방법
불필요한 권한이 부여된 계정에 대한 권한 제거
조치 시 영향
일반적 경우 영향 없음
점검 및 조치 사례
VMware ESXi
Step 1) Web 콘솔 페이지 접속
https://<VMware ESXi IP>
Step 2) 호스트 > 작업 > 사용 권한으로 이동
Step 3) 등록된 계정별 사용 권한 확인
[ 등록된 계정별 사용 권한 확인 ]
Step 4) 불필요한 권한이 부여되어 있는 경우 해당 계정 선택
Step 5) 역할에 맞는 권한으로 변경
[ 계정 권한 변경 ]
XenServer
[Active Directory에 가입되어 있지 않은 경우]
Step 1) 호스트에 접속
Step 2) bash 사용자 목록 확인
Step 3) 불필요한 계정 제거
[Active Directory에 가입되어 있는 경우]
Step 4) 호스트에 접속
Step 5) 계정별 부여된 권한 확인
$ xe subject-list uuid ( RO): bb6dd239-1fa9-a06b-a497-3be28b8dca44
subject-identifier ( RO): S-1-5-21-1539997073-1618981536-2562117463-2244
other-config (MRO): subject-name: example01\user_vm_admin;
subject-upn: \ user_vm_admin@XENDT.NET;
subject-uid: 1823475908; subject-gid: 1823474177; \
subject-sid: S-1-5-21-1539997073-1618981536-2562117463-2244;
subject-gecos: \ user_vm_admin;
subject-displayname: user_vm_admin;
subject-is-group: false; \
subject-account-disabled: false;
subject-account-expired: false; \
subject-account-locked: false;subject-password-expired: false
Step 6) 부적절한 권한이 있는 경우 기존의 역할을 제거하고 새로운 역할을 추가
$ xe subject-role-remove uuid=<subject uuid> role-name=<role_name_to_remove>
$ xe subject-role-add uuid=<subject uuid > role-name=<role_name_to_add>
KVM
Step 1) 호스트에 접속
Step 2) bash 계정 목록 확인
Step 3) 불필요한 계정 제거
Nutanix
Step 1) 웹 콘솔에 접속하여 등록된 사용자 계정 및 권한 확인
https://<Nutanix 웹 콘솔 IP>:9440 접속 Settings > Users an Roles > Local User Management 선택
Step 2) 불필요한 권한이 부여되어 있는 경우 해당 계정 선택
Step 3) 불필요한 권한 제거