엔지니어 은성의 성장록

■ 점검항목 - SNMP 서비스로 정보 불법 유출 및 불법 수정이 발생 - 불필요한 SNMP 서비스 비활성화 SNMP : TCP/IP 기반 네트워크 상의 각 호스트에서 정기적으로 여러 정보를 자동 수집하여 네트워크 관리하기 위한 프로토콜 원칙적으로 SNMP 서비스 이용 금지! ■ 점검기준 양호 : SNMP 서비스를 사용하지 않을때 ■ 점검방법 ▷ 프로세스 명령어 확인 # ps -ef | grep snmpd ■ 대응방안 # service snmpd stop

■ 점검항목 설명 비인가자의 ftpusers 파일 수정을 막아 비인가자들의 ftp 접속을 차단하기 위해 ftpusers 파일 소유자 및 권한 관리 ■ 점검기준 양호 : ftpusers 파일 소유자가 root이고 권한이 640 이하인 경우 ■ 점검방법 명령을 통한 점검 (vsFTP) /etc/vsftpd/ftpusers ■ 대응방안 # chown root /etc/vsftpd/ftpusers # chmod 640 /etc/vsftpd/ftpusers # ls -al /etc/vsftpd/ftpusers

■ 점검항목 설명 telnet 서비스는 Password 인증 방식 사용 시 데이터를 평문으로 송수신하기 때문에 인증 시 아이디/패스워드가 외부로 노출될 위협이 존재하기 때문에 사용하지 않는 Telnet 서비스를 차단하고 SSH 프로토콜 사용해야 한다. ■ 점검기준 원격 접속 시 : SSH 프로토콜을 사용하는 경우 -> 양호 원격 접속 시 Telnet, FTP 등 안전하지 않은 프로토콜을 사용하는 경우 -> 취약 ■ 점검방법 ▷inetd 실행 중인 경우 Telnet 및 FTP 서비스 활성화 확인 - Telnet 서비스 확인(취약) # vi /etc/inetd.conf - FTP 서비스 확인(취약) ▷ xinetd 실행 중인 경우 Telnet 및 FTP 서비스 활성화 확인 # vi /etc/inetd.con..

■ 점검항목 설명 공격자는 숨겨진 파일 및 디렉터리를 통해 시스템 정보 획득, 파일 임의변경 등 할 수 있으므로 숨겨진 파일 및 디렉터리 중 의심스러운 내용은 정상 사용자가 아닌 공격자에 의해 생성되었을 가능성이 높음으로 이를 발견하여 제거해야 한다. ■ 점검기준 양호 : 불필요하거나 의심스러운 숨겨진 파일 및 디렉터리를 삭제한 경우 ■ 점검방법 ▷특정 디렉터리 내 불필요한 파일 점검 # ls -al [디렉터리명] ▷ 전체 숨김 디렉터리 및 숨김 파일 점검 # find / -type f -name ".*" (파일 점검) # find / -type d -name ".*" (디렉터리 점검) ■ 대응방안 ▷ 숨겨진 파일 존재 파악 후 불법적이거나 의심스러운 파일 삭제 # rm -rf [삭제할 파일] ▷ 마지막..

■ 점검항목 설명 hosts.lpd 파일 접근권한이 적절하지 않을 경우 비인가자가 /etc/hosts.lpd 파일을 수정하여 사용자의 서비스를 방해할 수 있으며, 호스트 정보를 획득할 수 있기 때문에 비인가자의 hosts.lpd 변조를 막기 위해 hosts.lpd 파일 삭제 또는 소유자 및 권한 관리를 해야 한다. ※ hosts.lpd 파일 : 로컬 프린트 서비스를 사용할 수 있는 허가된 호스트 정보를 담고 있는 파일 ■ 점검기준 양호 hostd.lpd 파일 삭제 불가피하게 사용할때 소유자 root, 권한이 600 취약 hosts.lpd 파일 삭제 X 파일의 소유자가 root가 아니고 권한이 600이 아닌 경우 ■ 점검방법 /etc/hosts.lpd 파일 소유자 및 권한 설정 # ls -alL /etc/..

■ 점검항목 설명 Session timeout값이 설정되지 않은 경우 유후 시간 내에 비인가자의 시스템 접근으로 인해 불필요한 내부 정보의 노출 위험이 존재하기 때문에 사용자의 고의 또는 실수로 시스템에 계정이 접속된 상태로 방치됨을 차단해야 한다. 세션 : 프로세스 사이 통신을 수행하기 위해서 메시지 교환을 통해 서로를 인식한 이후부터 통신을 마칠 때까지의 시간 ■ 점검기준 양호: Session Timeout이 600초(10분) 이하로 설정되어있는 경우 ■ 점검방법 ▷ 환경 파일의 설정값 확인 -> sh, ksh, bash를 사용하는 경우 # cat /etc/profile #TIMEOUT=0 (단위 초) ->csh, tcsh을 사용하는 경우 # cat /etc/csh.login #cat /etc/. l..

■ 점검항목 설명 - 비밀번호가 임의의 경로로 유출되어있을 경우 비밀번호 최대 사용기간이 설정되어 있지 않으면 언제든지 시스템에 접속할 수 있으므로 비밀번호의 최대 사용기간을 제한해야 한다. ■ 점검기준 양호 : 비밀번호 최대 사용 기간이 90일 (12주) 이하로 설정되어 있을 경우 ■ 점검방법 ▷ /etc/login.def 파일의 PASS_MAX_DAYS 설정이 '90' 이하 인지 확인 ▷ /etc/passwd 파일에서 7번째 필드의 Shell 값으로 로그인이 가능한 계정 여부 확인 ▷ /etc/shadow 파일의 2번째 필드가 * 또는!!로 설정된 계정은 로그인 불가하며 로그인 가능한 계정에 대해 다섯 번째 필드가 '90'이하로 설정되어 있는지 확인 ■ 대응방안 ▷ /etc/login.defs 파일의..

■ 점검항목 설명 - su 관련 그룹만 su 명령어 사용 권한이 부여되어 있는지 점검하여 su 그룹에 포함되지 않은 일반 사용자의 su 명령 사용 차단 ■ 위험성 - su 명령어를 모든 사용자가 사용하도록 설정되어 있는 경우 - root 권한을 얻기 위해 패스워드 무작위 공격, 패스워드 추측 공격을 시도하여 root 계정 패스워드 유출될 가능성 있음. ■ 점검기준 양호 : su 명령어를 특정 그룹에 속한 사용자만 사용하도록 제한되어 있는 경우 ■ 점검방법 ▷ PAM 모듈을 이용해 su 명령어 그룹을 제한 - 허용 그룹 su 설정 여부 확인 # cat /etc/pam.d/su - su 명령어를 사용 가능한 그룹 및 실행 권한 확인 # ls -al /bin/su - "wheel" 그룹 내 구성원 존재 여부 ..