엔지니어 은성의 성장록

■ 점검항목 허가된 사용자만 접속할 수 있도록 제한 설정 ■ 점검기준 양호: NFS 접근제어 설정 파일의 소유자가 root이고 권한이 644 이하인 경우 ■ 점검방법 /etx/exports/ 파일의 소유자 및 권한 확인 # ls -alL /etc/exports ■ 대응방안 소유자 root, 권한 644 이하로 설정 # chown root /etc/exports # chmod 644 /etc/exports

■ 점검항목 설명 비인가자들에게 서버에 대한 불필요한 정보 제공하지 않고 서버 접속 시 관계자만 접속해야 한다는 경각심 제공 ■ 점검기준 서버 및 Telnet, FTP, SMTP, DNS 서비스에 로그온 메시지가 설정되어 있는 경우 -> 양호 ■ 점검방법 서버, telent, FTP, SMTP 서비스 사용할 때 로그온 메시지 적용 ■ 대응방안 파일 위치 및 조치 방법 서버 # vi /etc/motd telent # cat /etc/issue "경고메세지 입력" FTP # cat /etc/vsftpd/vsftpd.conf ftpd_banner="경고메세지 입력" SMTP # cat /etc/mail/sendmail.cf O SmtpGreetingMessage ="경고메세지 입력" DNS # vi /etc/..

■ 점검항목 설명 해당 파일에 대한 권한 관리가 이루어지지 않으면 비인가자의 FTP 접근을 통해 계정을 등록하고 서버에 접속하여 침해사고 발생, 비인가자들의 ftpusers 파일 수정을 막아 파일 소유자 및 권한을 관리해야 한다. ■ 점검기준 양호 : ftpusers 파일의 소유자가 root이고 권한이 640 이하인 경우 ■ 점검방법 vsFTP ▷ 명령을 통한 점검 # ls -al /etc/vsftpd/ftpusers, /etc/vsftpd/user_list, /etc/vsftpd.ftpusers, /etc/vsftpd.user_list 확인 ■ 대응방안 ▷ FTP 접근 제어 파일의 소유자 및 권한 변경 (소유자 root, 권한 640 이하) # chown root /etc/vsftpd/ftpusers ..

■ 점검항목 설명 ftp 계정은 로그인이 필요하지 않은 계정으로 쉘을 제한하여 해당 계정으로의 시스템 접근 차단 ■ 점검기준 양호 : ftp 계정에 /bin/false나 /sbin/nologin 쉘이 부여되어 있는 경우 ■ 점검방법 # cat /etc/passwd | grep ftp ■ 대응방안 /bin/false나 /sbin/nogin이 아닐 경우 아래의 보안설정 방법에 따라 설정을 변경함 # vi /etc/passwd sbin/bash -> /bin/false 또는 /sbin/nologin으로 수정

■ 점검항목 설명 FTP 서비스는 아이디 및 패스워드가 암호화되지 않은 채로 전송되어 스니핑 가능 취약한 서비스인 FTP 가능한 제한 부득이 사용할 경우 SFTP 사용을 권고함. ■ 점검기준 양호 : FTP 서비스가 비활성화되어있는 경우 ■ 점검방법 -일반 FTP 서비스 비활성화 여부 확인 # cat /etc/inetd.conf | grep ftp - proFTP 서비스 데몬 확인 # ps -ef | grep proftpd - vsftp서비스 데몬 확인 # ps -ef | grep vsftpd ■ 대응방안 -일반 FTP 서비스 중지, 변경 후 ientd 서비스 재시작 # vi /etc/inetd.conf 파일에서 ftp 서비스 라인 주석처리 # ps -ef | grep inetd # kill -HUP [..

■ 점검항목 설명 시스템 관리자 그룹에 최소한 (root계정과 시스템 관리에 허용된 계정)의 계정만이 존재해야한다. ■ 점검기준 양호 : 관리자 그룹에 불필요한 계정이 등록되어 있지 않은 경우 ■ 점검방법 ▷ 관리자 그룹에 관리자 계정 외에 불필요한 계정 포함 유무 점검 # cat -b /etc/group ■ 대응방안 - root 그룹에 등록된 불필요한 계정 삭제 # vi /etc/group (수정 전) root : ! : 0 : root,igloosec (수정 후) root : ! : 0 : root

■ 점검항목 설명 디렉터리 검색 기능 활성화되어있을 경우 WEB 서버 구조 노출뿐만 아니라 백업 파일이나 소스파일 공개되어서는 안 되는 파일이 노출되므로 디렉터리 검색 기능을 비활성화하여야 한다. ■ 점검기준 양호 디렉터리 검색이 불가능한 경우 취약 디렉터리 검색이 가능한 경우 ■ 점검방법 취약한 경우 1. 의 Options 값에 indexes가 포함된 설정이 하나라도 존재하는 경우 2. 의 Options 값에 빈 값 설정이 하나라도 존재하고, 버전이 2.3.11 미만인 경우 3. 모든 설정 파일에서 의 Options 지시자가 존재하지 않고, 버전이 2.3.11 미만인 경우 ■ 대응방안 ▷ 설정 파일의 모든 의 Options 값에 "indexes" 제거하거나 "-indexes"를 추가 ▷ 경로 /etc/..

■ 점검항목 설명 - 비인가자가 NFS 서비스로 인가되지 않은 시스템이 NFS 시스템에 마운트 하여 시스템 접근 파일 변조 등의 위험 - 사용하지 않을 경우 서비스 중지 ※ NFS Network File system : 원격 컴퓨터의 파일 시스템을 로컬 시스템에 마운트 하여 마치 로컬 파일 시스템처럼 사용할 수 있는 프로그램 ※ showmount: NFS 명령으로 지정한 시스템에서 원격으로 파일 시스템을 마운트 한 클라이언트 목록 보여주는 명령어 ※ share : 현재 시스템에 존재하는 파일 시스템을 디렉터리 단위로 공유 ※ exportfs : NFS 서버를 다시 시작하지 않고도 공유 목록을 수정할 수 있는 명령어 ※ cmdisklock : ServiceGuard를 통해 잠긴 클러스터 확인하는 도구 ■ ..