반응형

System/CentOS 21

[보안취약점] root 이외의 UID가 '0' 금지

A. 점검 내용 사용자 계정 정보가 저장된 파일 ( ex> /etc/passwd ) 에 root ( UID = 0 ) 계정과 동일한 UID (User Identification ) 를 가진 계정이 존재하는지 점검 B. 점검 목적 root 계정과 동일한 UID 가 존재하는지 점검하여 root 권한이 일반 사용자 계정이나 비인가자의 접근 위협에 안전하게 보호되고 있는지 확인하기 위함 C. 보안 위협 root 계정과 동일 UID 계정이 존재하여 비인가자에 노출되었을 경우 root 계정 권한과 동일한 권한으로 시스템에 로그인 하여 시스템 계정 정보 유출, 환경설정 파일 및 디렉토리 변조 및 삭제 등의 행위를 하여 시스템 가용성 ( 서비스 다운, 악성코드 유포지 감염 ) 에 영향을 미칠 수 있는 위협이 존재한다...

System/CentOS 2021.01.04

[보안취약점] 최신 보안패치 및 벤더 권고사항 적용

A. 점검 내용 시스템에서 최신패치가 적용되어 있는지 점검 B. 점검 목적 주기적인 패치 적용을 통해여 보안성 및 시스템 안정성을 확보함 C. 보안 위협 최신 보안패치가 적용되지 않을 경우, 이미 알려진 취약점을 통하여 공격자에 의해 시스템 침해사고 발생 가능성이 존재함한다. D. 대응 방안 a. Redhat 사이트에서 해당 버전을 찾음 http://www.redhat.com/security/updates/ http://www.redhat.com/security/updates/eol/ Life Cycle and Update Policies - Red Hat Customer Portal The Red Hat Customer Portal delivers the knowledge, expertise, and ..

System/CentOS 2021.01.04

[보안취약점] RPC 서비스 확인

A. 점검 내용 불필요한 RPC 서비스의 실행 여부 점검 B. 점검 목적 다양한 취약성 (버퍼 오버플로우, DOS, 원격실행 등) 이 존재하는 RPC 서비스를 점검하여 해당 서비스를 비활성화 하도록 함 C. 보안 위협 버퍼 오버플로우 (Buffer Overflow), DOS, 원격실행 등의 취약성이 존재하는 RPC 서비스를 통해 비인가자의 root 권한 획득 및 침해사고 발생 위험이 있으므로 서비스를 중지하여야 한다. D. 대응 방안 a. "etc/xinetd.d" 디렉토리 내 서비스별 파일 비활성화 여부 확인 $ vi /etc/xinetd.d/[서비스별 파일명] 불필요한 RPC 서비스 : rpc.cmsd, rpc.ttdbserverd, sadmind, ruserd, walld, sprayd, rstat..

System/CentOS 2021.01.04

[보안취약점] automountd 제거

A. 점검 내용 automoutd 서비스 데몬의 실행 여부 점검 B. 점검 목적 로컬 공격자가 automountd 데몬에 RPC (Remote Procedure Call) 를 보낼 수 있는 취약점이 존재하기 때문에 해당 서비스가 실행 중일 경우 서비스를 중지시키기 위함 C. 보안 위협 파일 시스템의 마운트 옵션을 변경하여 root 권한을 획득할 수 있으며, 로컬 공격자가 automountd 프로세스 권한으로 임의의 명령을 실행할 수 있다. D. 대응 방안 a. automountd 서비스 데몬 확인 $ ps -ef | grep automount (or autofs) b. automountd 서비스 데몬 중지 $ kill -9 [PID] c. 시동 스크립트 삭제 또는 스크립트 이름 변경 $ ls -al /e..

System/CentOS 2021.01.04

[보안취약점] NFS 접근 통제

A. 점검 내용 NFS (Network File System) 사용 시 허가된 사용자만 접속할 수 있도록 접근 제한 설정 적용 여부 점검 B. 점검 목적 접근권한이 없는 비인가자의 접근을 통제함 C. 보안 위협 접근 제한 설정이 적절하지 않을 경우 인증절차 없이 비인가자의 디렉토리나 파일의 접근이 가능하며, 해당 공유 시스템에 원격으로 마운트 하여 중요 파일을 변조하거나 유출할 위험이 있다. D. 대응 방안 a. everyone 으로 시스템 마운트 금지 $ showmount -e [hostname] 명령어로 확인 b. /etc/exports 파일에 접근 가능한 호스트명 추가 c. NFS 서비스 재구동 $ /etc/exportfs -u $ /etc/exportfs -a 참고 주요 정보통신 기반시설 기술적 ..

System/CentOS 2021.01.04

[보안취약점] NFS 서비스 비활성화

A. 점검 내용 사용하지 않는 Dos 공격에 취약한 서비스의 실행 여부 점검 B. 점검 목적 시스템 보안성을 높이기 위해 취약점이 많이 발표된 echo, discard, daytime, chargen, ntp, snmp 등 서비스를 중지함 C. 보안 위협 해당 서비스가 활성화 되어 있는 경우 시스템 정보 유출 및 Dos(서비스 거부 공격)의 대상이 될 수 있다. D. 대응 방안 a. NFS 서비스 데몬 확인 (NFS 동작 SID 확인) $ ps -ef | egrep "nfs|statd|lockd" b. NFS 서비스 데몬 중지 $ kill -9 [PID] c. 시동 스크립트 삭제 or 스크립트 이름 변경 $ ls -al /etc/rc.d/rc*.d/* | grep nfs ex> $ mv /etc/rc.d..

System/CentOS 2021.01.04

[보안취약점] cron 파일 소유자 및 권한 설정

A. 점검 내용 Cron 관련 파일의 권한 적절성 점검 B. 점검 목적 비인가자가 allow, deny 파일에 접근할 수 없도록 설정하고 있는지 점검하는 것을 목적으로 함 C. 보안 위협 root 외 일반사용자에게도 crontab 명령어를 사용할 수 있드록 할 경우, 고의 또는 실수로 불법적인 예약 파일 실행으로 시스템 피해를 일으킬 수 있다. D. 대응 방안 a. Cron 관련 파일 권한 확인 $ ls -al # cron 접근제어 파일 소유자가 root 이고, 권한이 640 이하인 경우 양호 b. Cron 관련 파일의 소유자 및 권한 변경 $ chown root $ chmod..

System/CentOS 2021.01.04

[보안취약점] r 계열 서비스 비활성화

A. 점검 내용 'r' command 서비스 비활성화 여부 점검 # 'r' command : 인증 업싱 관리자의 원격접속을 가능하게 하는 명령어들로 rsh(remsh), rlogin, rexec 등이 있다. B. 점검 목적 'r' command 사용을 통한 원격 접속은 NET Backup 이나 다른 용도로 사용되기도 하나, 인증 없이 관리자 원격접속이 가능하여 이에 대한 보안위협을 방지하고자 함 C. 보안 위협 서비스 포트가 열려있을 경우, 비인가자에 의한 중요 정보 유출 및 시스템 장애 발생 등 침해사고의 원인이 될 수 있다. D. 대응 방안 a. rsh, rlogin, rexec (shell, login, exec) 서비스 구동 확인 $ls -alL /etc/xinetd.d/* | egrep "rsh..

System/CentOS 2021.01.04

[보안취약점] Anonymous FTP 비활성화

A. 점검 내용 익명 FTP 접속 허용 여부 점검 B. 점검 목적 실행중인 FTP 서비스에 익명 FTP 접속이 허용되고 있는지 확인하여 접속허용을 차단하는 것을 목적으로 함 C. 보안 위협 Anonymous FTP (익명 FTP) 를 사용 시 anonymous 계정으로 로그인 후 디렉토리에 쓰기 권한이 설정되어 있다면 악의적인 사용자가 local exploit을 사용하여 시스템에 대한 공격을 가능하게 한다. D. 대응 방안 a. "/etc/passwd 파일에 ftp 계정 존재 여부 확인 $ cat /etc/passwd | grep "ftp" b. 일반 FTP - Anonymous FTP 접속 제한 설정 "/etc/passwd" 파일에서 ftp 또는 anonymous 계정 삭제 $ userdel ftp c..

System/CentOS 2020.12.31

[보안취약점]Finger 서비스 비활성화

A. 점검 내용 Finger 서비스 비활성화 여부 점검Finger (사용자 정보 확인 서비스) : who 명령어가 현재 사용 중인 사용자들에 대한 간단한 정보만을 보여주는 데 반해 finger 명령은 옵션에 따른 시스템에 등록된 사용자뿐만 아니라 네트워크를 통하여 연결되어 있는 다른 시스템에 등록된 사용자드렝 대한 자세한 정보를 보여줌 B. 점검 목적 Finger (사용자 정보 확인 서비스) 를 통해서 네트워크 외부에서 해당 시스템에 등록된 사용자 정보를 확인할 수 있어 비인가자에게 사용자 정보가 조회 되는 것을 차단하고자 함 C. 보안 위협 비인가자에게 사용자 정보가 조회되어 패스워드 공격을 통한 시스템 권한 탈취 사능성이 있으므로 사용하지 않는다면 해당 서비스를 중지하여야 한다. D. 대응 방안 a...

System/CentOS 2020.12.31
반응형