엔지니어 은성의 성장록

■ 점검항목 설명 vrfy, expn 명령어를 통하여 사용자 계정의 존재 유무 확인할 수 있고 외부 정보 유출할 수 있으므로 두 명령어를 사용하지 못하게 옵션을 설정해야 한다. vrfy : SMTP 클라이언트가 SMTP 서버에 특정 아이디엔 대한 메일이 있는지 검증하기 위해 보내는 명령어 EXPN : 메일 전송 시 포워딩하기 위한 명령어를 말함 ■ 점검기준 양호 : SMTP 서비스를 미사용하고 noxpn, novrfy 옵션이 설정되어 있는 경우 ■ 점검방법 - SMTP 설정 파일 경로 및 확인 옵션 # vi /etc/mail/sendmail.cf O PrivacyOptions = authwarnigs 취약 # O PrivacyOptions=authwarnings, goaway 취약 ■ 대응방안 (1) v..

■ 점검항목 설명 ftp 계정은 로그인이 필요하지 않은 계정으로 쉘을 제한하여 해당 계정으로의 시스템 접근 차단 ■ 점검기준 양호 : ftp 계정에 /bin/false나 /sbin/nologin 쉘이 부여되어 있는 경우 ■ 점검방법 # cat /etc/passwd | grep ftp ■ 대응방안 /bin/false나 /sbin/nogin이 아닐 경우 아래의 보안설정 방법에 따라 설정을 변경함 # vi /etc/passwd sbin/bash -> /bin/false 또는 /sbin/nologin으로 수정

■ 점검항목 설명 telnet 서비스는 Password 인증 방식 사용 시 데이터를 평문으로 송수신하기 때문에 인증 시 아이디/패스워드가 외부로 노출될 위협이 존재하기 때문에 사용하지 않는 Telnet 서비스를 차단하고 SSH 프로토콜 사용해야 한다. ■ 점검기준 원격 접속 시 : SSH 프로토콜을 사용하는 경우 -> 양호 원격 접속 시 Telnet, FTP 등 안전하지 않은 프로토콜을 사용하는 경우 -> 취약 ■ 점검방법 ▷inetd 실행 중인 경우 Telnet 및 FTP 서비스 활성화 확인 - Telnet 서비스 확인(취약) # vi /etc/inetd.conf - FTP 서비스 확인(취약) ▷ xinetd 실행 중인 경우 Telnet 및 FTP 서비스 활성화 확인 # vi /etc/inetd.con..

■ 점검항목 설명 /home 이외에 사용자의 홈 디렉터리 존재 여부를 점검하여 비인가자가 시스템 명령어의 무단 사용 방지 홈 디렉터리: 사용자가 로그인한 후 작업을 수행하는 디렉터리 일반 사용자의 홈 디렉터리 위치 : /home/user명 ■ 점검기준 양호 홈 디렉터리가 존재하지 않는 계정이 발견되지 않는 경우 취약 홈 디렉터리가 존재하지 않는 계정이 발견된 경우 ■ 점검방법 사용자 계정 별 홈 디렉터리 지정 여부 확인! # cat /etc/passwd # ls -al /home/test1 /home/test1 not found ■ 대응방안 # vi /etc/passwd test:x:501:501::/:bin/bash (홈 디렉터리가 /로 설정된 경우) test:x:501:501::/home/test:/..

■ 점검항목 설명 시스템 관리자 그룹에 최소한 (root계정과 시스템 관리에 허용된 계정)의 계정만이 존재해야한다. ■ 점검기준 양호 : 관리자 그룹에 불필요한 계정이 등록되어 있지 않은 경우 ■ 점검방법 ▷ 관리자 그룹에 관리자 계정 외에 불필요한 계정 포함 유무 점검 # cat -b /etc/group ■ 대응방안 - root 그룹에 등록된 불필요한 계정 삭제 # vi /etc/group (수정 전) root : ! : 0 : root,igloosec (수정 후) root : ! : 0 : root

■ 점검항목 설명 패스워드 최소 사용 기간이 설정되어 있지 않은 경우 사용자에게 익숙한 패스워드로 즉시 변동이 가능하며, 이를 재 사용함으로써 원래 암호를 같은 날 다시 사용할 수 있으며, 패스워드 변경 정책에 따른 주기적인 패스워드 변경이 무의미해질 수 있으며, 이로 인해 조직의 계정 보안성을 낮출 수 있기 때문에 최소 사용기간 설정을 적용해야 한다. ■ 점검기준 양호 : 패스워드 최소 사용기간이 1일 이상 설정되어 있는 경우 ■ 점검방법 # /etc/login.def 파일 내 PASS_MIN_DAYS 설정 확인 ■ 대응방안 /etc/login.defs 파일 내 PASS_MIN_DAYS 설정 수정 또는 추가

■ 점검항목 설명 - 비밀번호가 임의의 경로로 유출되어있을 경우 비밀번호 최대 사용기간이 설정되어 있지 않으면 언제든지 시스템에 접속할 수 있으므로 비밀번호의 최대 사용기간을 제한해야 한다. ■ 점검기준 양호 : 비밀번호 최대 사용 기간이 90일 (12주) 이하로 설정되어 있을 경우 ■ 점검방법 ▷ /etc/login.def 파일의 PASS_MAX_DAYS 설정이 '90' 이하 인지 확인 ▷ /etc/passwd 파일에서 7번째 필드의 Shell 값으로 로그인이 가능한 계정 여부 확인 ▷ /etc/shadow 파일의 2번째 필드가 * 또는!!로 설정된 계정은 로그인 불가하며 로그인 가능한 계정에 대해 다섯 번째 필드가 '90'이하로 설정되어 있는지 확인 ■ 대응방안 ▷ /etc/login.defs 파일의..

■ 점검항목 설명 - 공격자의 무작위 대입, 사전 공격 기법 등을 통해서 비밀번호 추측이 가능하며 유추된 비밀번호를 통해 시스템에 무단으로 접속하여 악의적인 행위를 할 수 있다. ■ 점검기준 - 양호 기준 : 최소 길이가 8자리 이상으로 설정 ■ 점검방법 - /etc/login.def 파일 내 설정 확인 # cat /etc/login.defs | grep -i PASS_MIN_LEN - pam 모듈 사용 시 /etc/pam.d/system-auth 설정 확인 # cat /etc/pam.d/system-auth password requisite pam_cracklib.so minlen=5 ■ 대응방안 ▷ /etc/login.defs 파일 내 설정 수정 또는 추가 # vi /etc/login.defs PAS..