엔지니어 은성의 성장록

■ 점검항목 설명 vrfy, expn 명령어를 통하여 사용자 계정의 존재 유무 확인할 수 있고 외부 정보 유출할 수 있으므로 두 명령어를 사용하지 못하게 옵션을 설정해야 한다. vrfy : SMTP 클라이언트가 SMTP 서버에 특정 아이디엔 대한 메일이 있는지 검증하기 위해 보내는 명령어 EXPN : 메일 전송 시 포워딩하기 위한 명령어를 말함 ■ 점검기준 양호 : SMTP 서비스를 미사용하고 noxpn, novrfy 옵션이 설정되어 있는 경우 ■ 점검방법 - SMTP 설정 파일 경로 및 확인 옵션 # vi /etc/mail/sendmail.cf O PrivacyOptions = authwarnigs 취약 # O PrivacyOptions=authwarnings, goaway 취약 ■ 대응방안 (1) v..

핵심 : at파일 일반 사용자 금지, 권한 640 ■ 점검항목 - 공격자가 획득한 사용자 계정을 등록하여 불법적인 예약 파일 실행할 수 있으므로 - at 명령어 사용자 제한은 at.allow파일과 at.deny 파일에서 할 수 있으므로 해당 파일에 대한 접근 제한이 필요 ■ 점검기준 양호 : at 명령어 일반 사용자 금지 및 at 관련 파일 권한 640 이하인 경우 ■ 점검방법 ▷ at 명령어 일반 사용자 권한 확인 # ls -al /usr/bin/at ▷ /etc/at.allow, /etc/at.deny 파일의 소유자 및 권한 확인 # ls -al /etc/at.allow # ls -al /etc/at.deny ■ 대응방안 ▷ at 명령어 일반 사용자 권한 삭제, SUID 설정 제거 # ls -l /u..

■ 점검항목 설명 /home 이외에 사용자의 홈 디렉터리 존재 여부를 점검하여 비인가자가 시스템 명령어의 무단 사용 방지 홈 디렉터리: 사용자가 로그인한 후 작업을 수행하는 디렉터리 일반 사용자의 홈 디렉터리 위치 : /home/user명 ■ 점검기준 양호 홈 디렉터리가 존재하지 않는 계정이 발견되지 않는 경우 취약 홈 디렉터리가 존재하지 않는 계정이 발견된 경우 ■ 점검방법 사용자 계정 별 홈 디렉터리 지정 여부 확인! # cat /etc/passwd # ls -al /home/test1 /home/test1 not found ■ 대응방안 # vi /etc/passwd test:x:501:501::/:bin/bash (홈 디렉터리가 /로 설정된 경우) test:x:501:501::/home/test:/..

■ 점검항목 설명 관리자가 임의의 디렉터리 생성했을 때 다른 사용자가 해당 파일 또는 디렉터리에 대한 접근이 가능하기 때문에 잘못 설정된 UMASK 값으로 인해 신규 파일에 대한 과도한 권한 부여되는 것을 방지 ※ UMASK가 무엇인가요? 컴퓨터에서 새로 만들어진 파일 권한을 어떻게 설정할지 제어하는 마스크 설정을 결정하는 명령어 ■ 점검기준 양호 : UMASK 설정이 022 이상으로 설정되어있는 경우 ■ 점검방법 ▷ 시스템 환경 파일 내 umask 값확인 - sh,ksh,bash을 사용하는 경우 # cat /etc/profile(.profile) -csh, tcsh을 사용하는 경우 # cat /etc/csh.login ■ 대응방안 - 시스템 환경 파일의 umask 값 변경 -sh, ksh, bash을 ..

■ 점검항목 설명 로그인이 불필요한 쉘 설정을 제거, 로그인이 필요하지 않은 계정을 통해 시스템 명령어를 실행하지 못하게 해야 한다. 쉘 : 대화형 사용자 인터페이스 운영체제 중 가장 외곽 계층에 존재하여 사용자의 명령어를 이해하고 실행함 ■ 점검기준 양호: 로그인이 필요하지 않은 계정에 /bin/false (/sbin/nologin) 쉘이 부여되어 있는 경우 ■ 점검방법 ▷ 명령을 통한 점검 # vi /etc/passwd daemon:x:1:1::/:/sbin/ksh ■ 대응방안 ▷ 로그인이 필요하지 않은 계정에 대해/bin/false (/sbin/nologin) 쉘 부여 # vi /etc/passwd 로그인 쉘 부분인 계정 맨 마지막에 /bin/false (/sbin/nologin 설정) (수정 전)..

■ 점검항목 설명 시스템 관리자 그룹에 최소한 (root계정과 시스템 관리에 허용된 계정)의 계정만이 존재해야한다. ■ 점검기준 양호 : 관리자 그룹에 불필요한 계정이 등록되어 있지 않은 경우 ■ 점검방법 ▷ 관리자 그룹에 관리자 계정 외에 불필요한 계정 포함 유무 점검 # cat -b /etc/group ■ 대응방안 - root 그룹에 등록된 불필요한 계정 삭제 # vi /etc/group (수정 전) root : ! : 0 : root,igloosec (수정 후) root : ! : 0 : root

■ 점검항목 설명 패스워드 최소 사용 기간이 설정되어 있지 않은 경우 사용자에게 익숙한 패스워드로 즉시 변동이 가능하며, 이를 재 사용함으로써 원래 암호를 같은 날 다시 사용할 수 있으며, 패스워드 변경 정책에 따른 주기적인 패스워드 변경이 무의미해질 수 있으며, 이로 인해 조직의 계정 보안성을 낮출 수 있기 때문에 최소 사용기간 설정을 적용해야 한다. ■ 점검기준 양호 : 패스워드 최소 사용기간이 1일 이상 설정되어 있는 경우 ■ 점검방법 # /etc/login.def 파일 내 PASS_MIN_DAYS 설정 확인 ■ 대응방안 /etc/login.defs 파일 내 PASS_MIN_DAYS 설정 수정 또는 추가

■ 점검항목 설명 - 공격자의 무작위 대입, 사전 공격 기법 등을 통해서 비밀번호 추측이 가능하며 유추된 비밀번호를 통해 시스템에 무단으로 접속하여 악의적인 행위를 할 수 있다. ■ 점검기준 - 양호 기준 : 최소 길이가 8자리 이상으로 설정 ■ 점검방법 - /etc/login.def 파일 내 설정 확인 # cat /etc/login.defs | grep -i PASS_MIN_LEN - pam 모듈 사용 시 /etc/pam.d/system-auth 설정 확인 # cat /etc/pam.d/system-auth password requisite pam_cracklib.so minlen=5 ■ 대응방안 ▷ /etc/login.defs 파일 내 설정 수정 또는 추가 # vi /etc/login.defs PAS..