728x90 IT Infra & OS & Security33 [보안] 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 [Unix-보안] 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 - 사용자 쉘 환경 파일에 others 권한중 읽기 권한이 설정되어 있으면 사용자 정보가 유출 될 위협이 존재 - 불필요한 정보유출은 해커들이 공격을 손쉽게 하는 정보로 이용 ■ 취약점 - 사용자의 .csh(bash)rc, .login, .profile 파일의 권한이 잘못 설정되어 있음 -rwxr-xr-x 1 root other 5111 Jul 5 2016 /.profile ■ 조치방법 - 사용자 쉘 관련 파일에서 others 권한제거 # cd /home/xxxx (사용자 홈디렉토리) # chmod 640 [파일명] # ls -alL 2017. 3. 3. [보안] SUID, SGID, Sticky bit 설정 파일 점검 [Unix-보안] SUID, SGID, Sticky bit 설정 파일 점검 SUID(Set Uid) 와 SGID(Set Gid) 가 설정된 파일은 사용자가 특정 명령어를 실행하여 평상시 접근 불가능한 시스템 자원을 접근할 때 사용 ■ 취약점 - 사용자가 특정 시스템 파일과 자원을 제한된 환경에서 사용할 수 있지만, 이로 인한 보안상 위협이 존재 - 특히 root 소유의 파일인 경우, 버퍼 오버플로우 공격 등으로 root 권한을 획득할 수 있는 위협이 존재 ■ 조치방법 - SETUID 비트 설정이 불필요하다고 판단되는 경우 SETUID 비트 제거 - 일부 응용프로그램 설치시 SETUID 비트가 설정된 경우에는 확인 후 SETUID 비트 제거 # chmod u-s [TARGET] 2017. 3. 2. [보안] 일반사용자의 Sendmail 실행 방지 [Unix-보안] 일반사용자의 Sendmail 실행 방지 SMTP 서비스는 인터넷에서 메일을 전송하는 프로토콜 ■ 취약점 - 쉘 접근이 가능한 일반사용자가 sendmail에 -q 옵션을 사용하여 큐에 있는 메시지의 드롭이 가능 ■ 조치방법 - SMTP 서비스 시작시 -q 옵션을 사용할 수 없게 설정 - 큐 옵션 제거 방법 1. sendmail.cf 파일에 다음 내용 추가 $ vi /etc/mail/sendmail.cf O PrivacyOptions=noexpn, novrfy, authwarnings, restrictqrun (restrictqrun 추가) 2. Sendmail을 재실행 2017. 3. 1. [보안] Sendmail 서비스 거부 방지 설정 [Unix-보안] Sendmail 서비스 거부 방지 설정 네트워크 회선 용량 및 서버 처리 용량 초과로 인한 메일 서비스 거부 및 시스템 다운을 방지하기 위해 적절한 설정 필요 ■ 취약점 - 설정미비 #O MaxMessageSize=0 #O MaxDaemonChildren=0 #O ConnectionRateThrottle=0 #O MaxHeadersLength=32768 ■ 조치방법 - 설정파일 수정을 통한 서비스 거부 방지 설정 1. vi /etc/sendmail.cf 또는 /etc/mail/sendmail.cf 2. 다음 값들을 설정 또는 주석처리 해제 O MaxDaemonChildren=12 $ 최대 child 프로세스 수 O ConnectionRateThrottle=12 $ 초당 수용 가능한 클라.. 2017. 2. 28. [보안] SMTP 서비스 실행 [Unix-보안] SMTP 서비스 실행 SMTP 서비스는 인터넷에서 메일을 전송하는 SMTP 프로토콜을 기반으로 하는 서비스 ■ 취약점 - 공격자는 SMTP 서비스를 이용하여, SMTP 서비스를 실행 중인 컴퓨터의 정보를 획득하거나 다양한 공격이 가능 ■ 조치방법 - Sendmail의 경우 1. Solaris 5.9이하 $ /etc/init.d/sendmail stop $ vi /etc/services 다음과 같이 smtp 서비스 관련 부분을 주석 처리 # smtp 25/tcp mail /etc/services 파일을 저장 다음과 같이 inetd를 재 실행 $ pkill -HUP inetd $mv /etc/rc2.d/S88sendmail /etc/rc2.d/DISABLED_S88sendmail 2. So.. 2017. 2. 27. [보안] IP 라우팅 서비스 제한 미비 [Unix-보안] IP 라우팅 서비스 제한 미비 IP 포워딩은 동일 시스템에 있는 두 개 이상의 네트워크 인터페이스간의 IP 패킷들을 라우팅 ■ 취약점 - IP 포워딩 및 소스 라우팅 기능이 설정되어 있는 경우 시스템 성능 저하 발생 가능성 존재 ■ 조치방법 - 라우팅 불가능 설정 방법 1. 다음 명령 실행 $ ndd -set /dev/ip ip_forwarding 0 $ ndd -set /dev/ip ip_forward_src_routed 0 2. 부팅시 항상 적용될 수 있도록 아래 설정파일의 해당 항목 수정 $ vi /etc/rc.config.d/nddconf ※ 아래 항목은 안전하게 설정된 /etc/rc.config.d/nddconf 파일의 예 TRANSPORT_NAME[1]=ip NDD_NAME[.. 2017. 2. 26. [보안] cron 파일 소유자 및 권한 설정 [Unix-보안] cron 파일 소유자 및 권한 설정 cron은 일정한 시간에 맞추어 정해진 명령을 수행시키는 데몬으로 cron 서비스에 대한 접근 통제가 필요 ■ 취약점 - 주기적인 명령어 실행으로 침입에 악용되거나 정보가 노출될 위협이 존재 ■ 조치방법 - cron 서비스를 이용할 필요가 있는 계정에 대해서만 서비스 이용 허가 - cron.allow 파일에 등록된 계정만 crontab을 사용할 수 있음 - 설정 파일을 통해 수정 가능 1. cron 서비스 이용 허가 # vi /var/adm/cron/cron.allow 이용 가능하도록 설정할 계정 입력 2017. 2. 25. [보안] tftp, talk 서비스 비활성화 [Unix-보안] tftp, talk 서비스 비활성화 TFTP(Trivial File Transfer Protocol) 서비스는 UDP를 이용하여 X-터미널 등과 같이 하드디스크가 없는 클라이언트의 네트워크 부팅을 위해 사용 ■ 취약점 - TFTP를 이용하면 인증절차 없이 시스템에 접근하여 임의의 파일 획득이 가능 - 특히, TFTP 디렉토리가 루트("/")로 설정되어 있으면 시스템 파일 획득이 가능 - Talk 서비스는 사회공학적인 공격에 사용될 수 있으며, 대화내용이 네트워크상에서 평문으로 전송 ■ 조치방법 - 네트워크 부팅 기능을 사용하지 않는다면 TFTP 서비스를 중단 - 업무상 실제 사용하지 않거나 필요하지 않은 서비스를 중지 1. 서비스 중지 방법 1) 현재 동작중인 프로세스 중지 # ps -.. 2017. 2. 24. [보안] automountd 제거 [Unix-보안] automountd 제거 ■ 취약점 - automountd 서비스는 일반적으로 UDP나 TCP프로토콜을 통해서 패킷을 받아들일 수 없지만 rpc.statd가 포워딩 해주는 TLI프로토콜을 통해서는 패킷을 받아들이며 공격자는 이를 이용하여 자신이 실행시키고자 하는 명령어를 rpc.statd에 패킷형태로 보내 실행이 가능 ■ 조치방법 - automountd 서비스를 미사용시, 서비스 실행을 중지 1. 현재 동작중인 프로세스 중지 # ps -ef | grep # kill -9 2. 서비스 실행 중지 # vi /etc/inetd.conf 관련 행 주석처리 3. 열려진 포트가 있는 경우 닫음 # vi /etc/services 관련 행 주석처리 4. 관련 스크립트가 존재하는 경우 스크립트 이름 변.. 2017. 2. 23. [보안] NFS 서비스 비활성화 [Unix-보안] NFS 서비스 비활성화 ■ 취약점 - NFS 서비스는 원격지의 시스템에 위치한 파일을 마치 자신의 컴퓨터에 있는 것처럼 검색하고, 마음대로 저장하거나 수정하도록 해주는 서비스로 이를 이용하여 다양한 공격이 가능 ■ 조치방법 - NFS 서비스를 미사용시, NFS 서비스 실행을 중지 1) $stopsrc -g nfs 2) $vi /etc/inittab 3) 시스템 부팅시 NFS 서비스 실행을 방지하기 위해, /etc/inittab의 NFS 관련 부분을 다음 같이 주석 처리 #rcnfs:2:wait:/etc/rc.nfs > /dev/console 2>&1 # Start NFS Daemons 4) /etc/inittab 파일을 저장 2017. 2. 22. [보안] 관리자 UMASK 설정 오류 [Unix-보안] 관리자 UMASK 설정 오류 umask 값은 파일이나 디렉토리 생성 시 기본으로 설정되는 권한을 결정 ■ 취약점 - 관리자가 임의의 파일 또는 디렉토리를 생성했을 때 다른 사용자가 해당파일 또는 디렉토리에 대한 접근이 가능 ■ 조치방법 - 설정 파일 수정을 통한 UMASK 변경 방법 $ vi /etc/security/user root: 로 표시된 라인 아래 다음과 같이 umask 지정 umask = 027 umask 값이 027인지 확인 후 아닐 경우, 각 shell에 따라 로그인시 최종적으로 실행되는 shell script에 umask 027추가 2017. 2. 21. [보안] C 컴파일러 존재 및 권한 설정 오류 [Unix-보안] C 컴파일러 존재 및 권한 설정 오류 시스템에 C 컴파일러가 존재 ■ 취약점 - 공격자가 시스템에 침입 후 공격 코드가 들어있는 소스 파일을 컴파일, 실행파일을 생성하여 시스템 공격(관리자 권한 획득, 서비스 거부 유발 등)에 악용 가능 ■ 조치방법 - 개발에 이용되는 경우 컴파일러에 대한 접근 통제 설정 1) $ vi /etc/group 2) 컴파일러를 사용할 수 있는 그룹을 만들고 사용자를 지정 3) chgrp 4) chmod 550 - 개발에 이용되지 않는 경우 컴파일러 제거 또는 관리자 이외의 사용자에 대한 실행 권한 제거 $ chmod 700 2017. 2. 20. 이전 1 2 3 다음 728x90