System Story

A. 점검 내용 사용자 계정 정보가 저장된 파일 ( ex> /etc/passwd ) 에 root ( UID = 0 ) 계정과 동일한 UID (User Identification ) 를 가진 계정이 존재하는지 점검 B. 점검 목적 root 계정과 동일한 UID 가 존재하는지 점검하여 root 권한이 일반 사용자 계정이나 비인가자의 접근 위협에 안전하게 보호되고 있는지 확인하기 위함 C. 보안 위협 root 계정과 동일 UID 계정이 존재하여 비인가자에 노출되었을 경우 root 계정 권한과 동일한 권한으로 시스템에 로그인 하여 시스템 계정 정보 유출, 환경설정 파일 및 디렉토리 변조 및 삭제 등의 행위를 하여 시스템 가용성 ( 서비스 다운, 악성코드 유포지 감염 ) 에 영향을 미칠 수 있는 위협이 존재한다...

A. 점검 내용 불필요한 RPC 서비스의 실행 여부 점검 B. 점검 목적 다양한 취약성 (버퍼 오버플로우, DOS, 원격실행 등) 이 존재하는 RPC 서비스를 점검하여 해당 서비스를 비활성화 하도록 함 C. 보안 위협 버퍼 오버플로우 (Buffer Overflow), DOS, 원격실행 등의 취약성이 존재하는 RPC 서비스를 통해 비인가자의 root 권한 획득 및 침해사고 발생 위험이 있으므로 서비스를 중지하여야 한다. D. 대응 방안 a. "etc/xinetd.d" 디렉토리 내 서비스별 파일 비활성화 여부 확인 $ vi /etc/xinetd.d/[서비스별 파일명] 불필요한 RPC 서비스 : rpc.cmsd, rpc.ttdbserverd, sadmind, ruserd, walld, sprayd, rstat..

A. 점검 내용 NFS (Network File System) 사용 시 허가된 사용자만 접속할 수 있도록 접근 제한 설정 적용 여부 점검 B. 점검 목적 접근권한이 없는 비인가자의 접근을 통제함 C. 보안 위협 접근 제한 설정이 적절하지 않을 경우 인증절차 없이 비인가자의 디렉토리나 파일의 접근이 가능하며, 해당 공유 시스템에 원격으로 마운트 하여 중요 파일을 변조하거나 유출할 위험이 있다. D. 대응 방안 a. everyone 으로 시스템 마운트 금지 $ showmount -e [hostname] 명령어로 확인 b. /etc/exports 파일에 접근 가능한 호스트명 추가 c. NFS 서비스 재구동 $ /etc/exportfs -u $ /etc/exportfs -a 참고 주요 정보통신 기반시설 기술적 ..

A. 점검 내용 Cron 관련 파일의 권한 적절성 점검 B. 점검 목적 비인가자가 allow, deny 파일에 접근할 수 없도록 설정하고 있는지 점검하는 것을 목적으로 함 C. 보안 위협 root 외 일반사용자에게도 crontab 명령어를 사용할 수 있드록 할 경우, 고의 또는 실수로 불법적인 예약 파일 실행으로 시스템 피해를 일으킬 수 있다. D. 대응 방안 a. Cron 관련 파일 권한 확인 $ ls -al # cron 접근제어 파일 소유자가 root 이고, 권한이 640 이하인 경우 양호 b. Cron 관련 파일의 소유자 및 권한 변경 $ chown root $ chmod..

A. 점검 내용 'r' command 서비스 비활성화 여부 점검 # 'r' command : 인증 업싱 관리자의 원격접속을 가능하게 하는 명령어들로 rsh(remsh), rlogin, rexec 등이 있다. B. 점검 목적 'r' command 사용을 통한 원격 접속은 NET Backup 이나 다른 용도로 사용되기도 하나, 인증 없이 관리자 원격접속이 가능하여 이에 대한 보안위협을 방지하고자 함 C. 보안 위협 서비스 포트가 열려있을 경우, 비인가자에 의한 중요 정보 유출 및 시스템 장애 발생 등 침해사고의 원인이 될 수 있다. D. 대응 방안 a. rsh, rlogin, rexec (shell, login, exec) 서비스 구동 확인 $ls -alL /etc/xinetd.d/* | egrep "rsh..

A. 점검 내용 익명 FTP 접속 허용 여부 점검 B. 점검 목적 실행중인 FTP 서비스에 익명 FTP 접속이 허용되고 있는지 확인하여 접속허용을 차단하는 것을 목적으로 함 C. 보안 위협 Anonymous FTP (익명 FTP) 를 사용 시 anonymous 계정으로 로그인 후 디렉토리에 쓰기 권한이 설정되어 있다면 악의적인 사용자가 local exploit을 사용하여 시스템에 대한 공격을 가능하게 한다. D. 대응 방안 a. "/etc/passwd 파일에 ftp 계정 존재 여부 확인 $ cat /etc/passwd | grep "ftp" b. 일반 FTP - Anonymous FTP 접속 제한 설정 "/etc/passwd" 파일에서 ftp 또는 anonymous 계정 삭제 $ userdel ftp c..

A. 점검 내용 허용할 호스트에 대한 접속 IP 주소 제한 및 포트 제한 설정 여부 점검 B. 점검 목적 허용한 호스트만 서비스를 사용하게 하여 서비스 취약점을 이용한 외부자 공격을 방지하기 위함 C. 보안 위협 허용할 호스트에 대한 IP 및 포트제한이 적용되지 않은 경우 Telnet, FTP 같은 보안에 취약한 네트워크 서비스를 통하여 불법적인 접근 및 시스템 침해사고가 발생할 수 있음 D. 대응 방안 a. iptables 명령어를 통해 접속할 IP 및 포트 정책 추가 $ iptables -A INPUT -P -s --dport -j ACCEPT b. iptables 설정 저장 $ service iptables save 참고 주요정보통신기반시설 기술적 취약점 분석 평가 상세가이드

A. 점검 내용 /etc/hosts.eqiv 파일 및 .rhosts 파일 사용자를 root 또는, 해당 계정으로 설정 한 뒤 권한을 600으로 설정하고 해당 파일 설정에 '+' 설정 (모든 호스트 허용) 이 포함되지 않도록 설정되어 있는지 점검 B. 점검 목적 'r' command 사용을 통한 원격 접속은 인증 없이 관리자 원격접속이 가능하므로 서비스 포트를 차단해야 함 C. 보안 위협 rlogin, rsh 등과 같은 'r' command의 보안 설정이 적용되지 않은 경우, 원격지의 공격자가 관리자 권한으로 목표 시스템 상의 임의의 명령을 수행시킬 수 있으며, 명령어 원격 실행을 통해 중요 정보 유출 및 시스템 장애를 유발할 수 있다. 또한 공격자 백도어 등으로도 활용될 수 있다. # 'r' comman..

A. 점검 내용 존재하지 않는 device 파일 존재 여부 점검 B. 점검 목적 실제 존재하지 않는 디바이스를 찾아 제거함으로써 root 파일 시스템 손상 및 다운 등의 무제를 방지하기 위함 C. 보안 위협 공격자는 rootkit 설정 파일들을 서버 관리자가 쉽게 발견하지 못하도록 /dev 에 device 파일인 것처럼 위장하는 수법을 많이 사용한다. D. 대응 방안 a. dev에 존재하지 않는 device 파일 점검 $ find /dev -type f -exec ls -l {} \; b. major, minor number 를 가지지 않는 device일 경우 삭제 참고 주요 정보통신 기반시설 기술적 취약점 분석 평가 상세 가이드

A. 점검 내용 불필요한 world writable 파일 존재 여부 점검 B. 점검 목적 world writable 파일을 이용한 시스템 접근 및 악의적은 코드 실행을 방지하기 위함 C. 보안 위협 시스템 파일과 같은 중요 파일에 world writable 설정이 될 경우, 악의적인 사용자가 해당 파일을 마음대로 파일을 덧붙이거나 지울 수 있게 되어 시스템의 무단 접근 및 시스템 장애를 유발할 수 있다. # world writable : 파일의 내용을 소유자나 그룹 외 모든 사용자에 대한 쓰기가 허용된 파일 D. 대응 방안 a. world writable 파일 존재 여부 확인 $ find / -type f -perm -2 -exec ls -l {} \; # "world writable" 파일 존재 시 사..