728x90 IT Infra & OS & Security/Unix24 [보안] 웹 서버 HTTP Trace 기능 지원 [Unix-보안] 웹 서버 HTTP Trace 기능 지원 HTTP Trace 기능은 웹 서버가 웹 브라우져(클라이언트)에서 보낸 내용을 받아 이를 다시 웹 브라우져에게 되돌려 주는 것으로, 공격자는 HTTP Trace 기능을 이용하여 HTTP 헤더에 있는 포함된 쿠키 혹은 인증 데이타를 획득하거나, Cross Site Scripting 공격을 할 수 있는 위협이 존재 ■ 취약점 - 웹 서버가 HTTP Trace 기능을 지원함 HTTP Trace 기능 지원 (port 80) ■ 조치방법 - 웹 서버가 HTTP Trace 기능을 지원하지 않도록 설정 - SUN ONE 웹서버 4.1 1. 다음과 같은 내용의 소스코드(reject_trace.c) 작성 $include ""nsapi.h"" NSAPI_PUBLIC.. 2017. 4. 2. [보안] xterm 실행 파일 권한 설정 [Unix-보안] xterm 실행 파일 권한 설정 X windows는 관련 보안 취약점이 지속적으로 다수 발생 RedHat의 경우 X windows 관련 package를 설치하지 않아도 X font server 서비스 Daemon인 xfs가 수행되고 있는 경우 존재 공격자는 xfs의 보안 취약성을 이용, 시스템에 접근하여 크래킹을 하거나 웹을 통해 접근 후 웹쉘을 사용하지 않고, xterm을 이용하여 시스템에 접근할 수 있는 위협이 존재 ■ 취약점 - xterm 실행 파일의 권한이 불필요하게 설정되어 있음 $ ls -aldL /usr/bin/xterm -rwxr-xr-x 1 root root 261116 Jul 14 2004 /usr/bin/xterm ■ 조치방법 - xterm 실행파일의 권한을 600으.. 2017. 4. 1. [보안] Anonymous FTP 비활성화 [Unix-보안] Anonymous FTP 비활성화 FTP 서비스는 인터넷에서 파일을 교환하기 위한 표준 프로토콜을 기반으로 하는 서비스 ■ 취약점 - 모든 사용자가 FTP 서비스를 이용할 수 있도록 익명(Anonymous) FTP 기능을 제공하여, 공격자가 악성 코드를 업로드 할 수 있는 위협이 존재 ■ 조치방법 - 익명 FTP 서비스 미사용시, 익명 FTP 서비스의 실행을 중지 - ProFTP 사용시 1. /etc/proftpd.conf 파일 오픈 2. 모든 Anonymous 섹션(과 사이 부분)을 삭제하거나 또는 주석 처리 3. Standalone 모드로 실행중인 경우 ftp 데몬 재시작 - wu-ftp 사용시 1. /etc/ftpaccess 파일 오픈 2. class 설정 부분에서 anonymou.. 2017. 3. 31. [보안] 존재하지않는 GID를 가진 디렉토리 및 파일 [Unix-보안] 존재하지않는 GID를 가진 디렉토리 및 파일 초기 프로그램 설치때 사용되었던 계정을 삭제하였으나, 삭제된 계정으로 기설치 및 작업한 디렉토리, 파일 등이 시스템상에 존재 ■ 취약점 - 사용하지 않는 디렉토리나 파일의 존재는 시스템 자원의 낭비 및 관리의 부재 발생 ■ 조치방법 - 디렉토리가 필요한지 확인한 후, 필요한 디렉토리일 경우 그룹을 상황에 맞게 설정(응용프로그램에서 사용시 현재상태를 유지) - 디렉토리 및 파일을 원래 사용자의 그룹권한으로 변경 1. 존재하지 않는 GID를 가진 파일 검색 $ find / -type f -a -nogroup -exec ls -alLd {} \\; 2. 해당 파일의 그룹 변경 $ chgrp - 불필요한 디렉토리 및 파일 삭제 $ rmdir 또는 $.. 2017. 3. 30. [보안] 존재하지않는 UID를 가진 디렉토리 및 파일 [Unix-보안] 존재하지않는 UID를 가진 디렉토리 및 파일 초기 프로그램 설치때 사용되었던 계정을 삭제하였으나, 삭제된 계정으로 기설치 및 작업한 디렉토리, 파일 등이 시스템상에 존재 ■ 취약점 - 사용하지 않는 디렉토리나 파일의 존재는 시스템 자원의 낭비 및 관리의 부재 발생 ■ 조치방법 - 디렉토리가 필요한지 확인한 후, 필요한 디렉토리일 경우 소유자를 상황에 맞게 설정(응용프로그램에서 사용시 현재상태를 유지) - 디렉토리 및 파일을 원래 사용자의 소유권한으로 변경 1. 존재하지 않는 UID를 가진 파일 검색 $ find / -type f -a -nouser -exec ls -alLd {} \\; 2. 해당 파일의 소유자 변경 $ chown - 불필요한 디렉토리 및 파일 삭제 $ rmdir 또는 .. 2017. 3. 6. [보안] ftpusers 파일 안에 시스템 계정 미존재 [Unix-보안] ftpusers 파일 안에 시스템 계정 미존재 - ftp 운영시 신뢰할 수 있는 사용자에 대한 사용 제한 필요 - 운영시 ftp가 반드시 필요한 사용자이외 사용자는 ftpusers 파일에 등록해야함 ■ 취약점 - ftpusers 파일 안에 시스템 계정이 존재하지 않으면, 이를 이용하여 해킹에 사용될 수 있는 도구들을 업로드 하거나 시스템의 중요정보를 획득할 수 있는 위협이 존재 ■ 조치방법 - /etc/ftpusers ( 혹은 /etc/ftpd/ftpusers )파일 존재 확인 $cd /etc $ls -alL | grep ftpusers - /etc/ftpusers ( 혹은 /etc/ftpd/ftpusers ) 파일 미존재시 ftpusers 파일 생성 $cd /etc $touch ftp.. 2017. 3. 5. [보안] 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 [Unix-보안] 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 - 사용자 쉘 환경 파일에 others 권한중 읽기 권한이 설정되어 있으면 사용자 정보가 유출 될 위협이 존재 - 불필요한 정보유출은 해커들이 공격을 손쉽게 하는 정보로 이용 ■ 취약점 - 사용자의 .csh(bash)rc, .login, .profile 파일의 권한이 잘못 설정되어 있음 -rwxr-xr-x 1 root other 5111 Jul 5 2016 /.profile ■ 조치방법 - 사용자 쉘 관련 파일에서 others 권한제거 # cd /home/xxxx (사용자 홈디렉토리) # chmod 640 [파일명] # ls -alL 2017. 3. 3. [보안] SUID, SGID, Sticky bit 설정 파일 점검 [Unix-보안] SUID, SGID, Sticky bit 설정 파일 점검 SUID(Set Uid) 와 SGID(Set Gid) 가 설정된 파일은 사용자가 특정 명령어를 실행하여 평상시 접근 불가능한 시스템 자원을 접근할 때 사용 ■ 취약점 - 사용자가 특정 시스템 파일과 자원을 제한된 환경에서 사용할 수 있지만, 이로 인한 보안상 위협이 존재 - 특히 root 소유의 파일인 경우, 버퍼 오버플로우 공격 등으로 root 권한을 획득할 수 있는 위협이 존재 ■ 조치방법 - SETUID 비트 설정이 불필요하다고 판단되는 경우 SETUID 비트 제거 - 일부 응용프로그램 설치시 SETUID 비트가 설정된 경우에는 확인 후 SETUID 비트 제거 # chmod u-s [TARGET] 2017. 3. 2. [보안] 일반사용자의 Sendmail 실행 방지 [Unix-보안] 일반사용자의 Sendmail 실행 방지 SMTP 서비스는 인터넷에서 메일을 전송하는 프로토콜 ■ 취약점 - 쉘 접근이 가능한 일반사용자가 sendmail에 -q 옵션을 사용하여 큐에 있는 메시지의 드롭이 가능 ■ 조치방법 - SMTP 서비스 시작시 -q 옵션을 사용할 수 없게 설정 - 큐 옵션 제거 방법 1. sendmail.cf 파일에 다음 내용 추가 $ vi /etc/mail/sendmail.cf O PrivacyOptions=noexpn, novrfy, authwarnings, restrictqrun (restrictqrun 추가) 2. Sendmail을 재실행 2017. 3. 1. [보안] Sendmail 서비스 거부 방지 설정 [Unix-보안] Sendmail 서비스 거부 방지 설정 네트워크 회선 용량 및 서버 처리 용량 초과로 인한 메일 서비스 거부 및 시스템 다운을 방지하기 위해 적절한 설정 필요 ■ 취약점 - 설정미비 #O MaxMessageSize=0 #O MaxDaemonChildren=0 #O ConnectionRateThrottle=0 #O MaxHeadersLength=32768 ■ 조치방법 - 설정파일 수정을 통한 서비스 거부 방지 설정 1. vi /etc/sendmail.cf 또는 /etc/mail/sendmail.cf 2. 다음 값들을 설정 또는 주석처리 해제 O MaxDaemonChildren=12 $ 최대 child 프로세스 수 O ConnectionRateThrottle=12 $ 초당 수용 가능한 클라.. 2017. 2. 28. [보안] SMTP 서비스 실행 [Unix-보안] SMTP 서비스 실행 SMTP 서비스는 인터넷에서 메일을 전송하는 SMTP 프로토콜을 기반으로 하는 서비스 ■ 취약점 - 공격자는 SMTP 서비스를 이용하여, SMTP 서비스를 실행 중인 컴퓨터의 정보를 획득하거나 다양한 공격이 가능 ■ 조치방법 - Sendmail의 경우 1. Solaris 5.9이하 $ /etc/init.d/sendmail stop $ vi /etc/services 다음과 같이 smtp 서비스 관련 부분을 주석 처리 # smtp 25/tcp mail /etc/services 파일을 저장 다음과 같이 inetd를 재 실행 $ pkill -HUP inetd $mv /etc/rc2.d/S88sendmail /etc/rc2.d/DISABLED_S88sendmail 2. So.. 2017. 2. 27. [보안] IP 라우팅 서비스 제한 미비 [Unix-보안] IP 라우팅 서비스 제한 미비 IP 포워딩은 동일 시스템에 있는 두 개 이상의 네트워크 인터페이스간의 IP 패킷들을 라우팅 ■ 취약점 - IP 포워딩 및 소스 라우팅 기능이 설정되어 있는 경우 시스템 성능 저하 발생 가능성 존재 ■ 조치방법 - 라우팅 불가능 설정 방법 1. 다음 명령 실행 $ ndd -set /dev/ip ip_forwarding 0 $ ndd -set /dev/ip ip_forward_src_routed 0 2. 부팅시 항상 적용될 수 있도록 아래 설정파일의 해당 항목 수정 $ vi /etc/rc.config.d/nddconf ※ 아래 항목은 안전하게 설정된 /etc/rc.config.d/nddconf 파일의 예 TRANSPORT_NAME[1]=ip NDD_NAME[.. 2017. 2. 26. 이전 1 2 다음 728x90