System Story

A. 점검 내용 사용자 계정 정보가 저장된 파일 ( ex> /etc/passwd ) 에 root ( UID = 0 ) 계정과 동일한 UID (User Identification ) 를 가진 계정이 존재하는지 점검 B. 점검 목적 root 계정과 동일한 UID 가 존재하는지 점검하여 root 권한이 일반 사용자 계정이나 비인가자의 접근 위협에 안전하게 보호되고 있는지 확인하기 위함 C. 보안 위협 root 계정과 동일 UID 계정이 존재하여 비인가자에 노출되었을 경우 root 계정 권한과 동일한 권한으로 시스템에 로그인 하여 시스템 계정 정보 유출, 환경설정 파일 및 디렉토리 변조 및 삭제 등의 행위를 하여 시스템 가용성 ( 서비스 다운, 악성코드 유포지 감염 ) 에 영향을 미칠 수 있는 위협이 존재한다...

A. 점검 내용 시스템에서 최신패치가 적용되어 있는지 점검 B. 점검 목적 주기적인 패치 적용을 통해여 보안성 및 시스템 안정성을 확보함 C. 보안 위협 최신 보안패치가 적용되지 않을 경우, 이미 알려진 취약점을 통하여 공격자에 의해 시스템 침해사고 발생 가능성이 존재함한다. D. 대응 방안 a. Redhat 사이트에서 해당 버전을 찾음 http://www.redhat.com/security/updates/ http://www.redhat.com/security/updates/eol/ Life Cycle and Update Policies - Red Hat Customer Portal The Red Hat Customer Portal delivers the knowledge, expertise, and ..

A. 점검 내용 불필요한 RPC 서비스의 실행 여부 점검 B. 점검 목적 다양한 취약성 (버퍼 오버플로우, DOS, 원격실행 등) 이 존재하는 RPC 서비스를 점검하여 해당 서비스를 비활성화 하도록 함 C. 보안 위협 버퍼 오버플로우 (Buffer Overflow), DOS, 원격실행 등의 취약성이 존재하는 RPC 서비스를 통해 비인가자의 root 권한 획득 및 침해사고 발생 위험이 있으므로 서비스를 중지하여야 한다. D. 대응 방안 a. "etc/xinetd.d" 디렉토리 내 서비스별 파일 비활성화 여부 확인 $ vi /etc/xinetd.d/[서비스별 파일명] 불필요한 RPC 서비스 : rpc.cmsd, rpc.ttdbserverd, sadmind, ruserd, walld, sprayd, rstat..

A. 점검 내용 automoutd 서비스 데몬의 실행 여부 점검 B. 점검 목적 로컬 공격자가 automountd 데몬에 RPC (Remote Procedure Call) 를 보낼 수 있는 취약점이 존재하기 때문에 해당 서비스가 실행 중일 경우 서비스를 중지시키기 위함 C. 보안 위협 파일 시스템의 마운트 옵션을 변경하여 root 권한을 획득할 수 있으며, 로컬 공격자가 automountd 프로세스 권한으로 임의의 명령을 실행할 수 있다. D. 대응 방안 a. automountd 서비스 데몬 확인 $ ps -ef | grep automount (or autofs) b. automountd 서비스 데몬 중지 $ kill -9 [PID] c. 시동 스크립트 삭제 또는 스크립트 이름 변경 $ ls -al /e..

A. 점검 내용 NFS (Network File System) 사용 시 허가된 사용자만 접속할 수 있도록 접근 제한 설정 적용 여부 점검 B. 점검 목적 접근권한이 없는 비인가자의 접근을 통제함 C. 보안 위협 접근 제한 설정이 적절하지 않을 경우 인증절차 없이 비인가자의 디렉토리나 파일의 접근이 가능하며, 해당 공유 시스템에 원격으로 마운트 하여 중요 파일을 변조하거나 유출할 위험이 있다. D. 대응 방안 a. everyone 으로 시스템 마운트 금지 $ showmount -e [hostname] 명령어로 확인 b. /etc/exports 파일에 접근 가능한 호스트명 추가 c. NFS 서비스 재구동 $ /etc/exportfs -u $ /etc/exportfs -a 참고 주요 정보통신 기반시설 기술적 ..

A. 점검 내용 사용하지 않는 Dos 공격에 취약한 서비스의 실행 여부 점검 B. 점검 목적 시스템 보안성을 높이기 위해 취약점이 많이 발표된 echo, discard, daytime, chargen, ntp, snmp 등 서비스를 중지함 C. 보안 위협 해당 서비스가 활성화 되어 있는 경우 시스템 정보 유출 및 Dos(서비스 거부 공격)의 대상이 될 수 있다. D. 대응 방안 a. NFS 서비스 데몬 확인 (NFS 동작 SID 확인) $ ps -ef | egrep "nfs|statd|lockd" b. NFS 서비스 데몬 중지 $ kill -9 [PID] c. 시동 스크립트 삭제 or 스크립트 이름 변경 $ ls -al /etc/rc.d/rc*.d/* | grep nfs ex> $ mv /etc/rc.d..

A. 점검 내용 Cron 관련 파일의 권한 적절성 점검 B. 점검 목적 비인가자가 allow, deny 파일에 접근할 수 없도록 설정하고 있는지 점검하는 것을 목적으로 함 C. 보안 위협 root 외 일반사용자에게도 crontab 명령어를 사용할 수 있드록 할 경우, 고의 또는 실수로 불법적인 예약 파일 실행으로 시스템 피해를 일으킬 수 있다. D. 대응 방안 a. Cron 관련 파일 권한 확인 $ ls -al # cron 접근제어 파일 소유자가 root 이고, 권한이 640 이하인 경우 양호 b. Cron 관련 파일의 소유자 및 권한 변경 $ chown root $ chmod..

A. 점검 내용 'r' command 서비스 비활성화 여부 점검 # 'r' command : 인증 업싱 관리자의 원격접속을 가능하게 하는 명령어들로 rsh(remsh), rlogin, rexec 등이 있다. B. 점검 목적 'r' command 사용을 통한 원격 접속은 NET Backup 이나 다른 용도로 사용되기도 하나, 인증 없이 관리자 원격접속이 가능하여 이에 대한 보안위협을 방지하고자 함 C. 보안 위협 서비스 포트가 열려있을 경우, 비인가자에 의한 중요 정보 유출 및 시스템 장애 발생 등 침해사고의 원인이 될 수 있다. D. 대응 방안 a. rsh, rlogin, rexec (shell, login, exec) 서비스 구동 확인 $ls -alL /etc/xinetd.d/* | egrep "rsh..