주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Unix 점검 항목
■ 취약점 개요
○ 점검개요 : 시스템 정책에 root 계정의 원격 터미널 접속 차단 설정이 적용 되어 있는지 점검
○ 점검목적 : root 계정 원격 접속 차단 설정 여부를 점검하여 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하는지 확인
○ 보안위협 : 각종 공격(무작위 대입 공격, 사전 대입 공격 등)을 통해 root 원격 접속 차단이 적용되지 않은 시스템의 root 계정 정보를 비인가자가 획득할 경우 시스템 계정 정보 유출, 파일 및 디렉터리 변조 등의 행위 침해사고가 발생
○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등
○ 판단기준
- 양호 : 원격 터미널 서비스를 사용하지 않거나, 사용 시 root 직접 접속을 차단한 경우
- 취약 : 원격 터미널 서비스 사용 시 root 직접 접속을 허용한 경우
■ 점검 방법
SOLARIS | #cat /etc/default/login CONSOLE=/dev/console |
LINUX |
#cat /etc/pam.d/login #cat /etc/securetty |
AIX | #cat /etc/security/user rlogin = false |
HP-UX | #cat /etc/securetty console |
■ 조치방안
○ SOLARIS
Step 1 | vi 편집기를 이용하여 “/etc/default/login” 파일 열기 |
Step 2 |
아래와 같이 주석 제거 또는, 신규 삽입 (수정 전)#CONSOLE=/dev/console |
○ LINUX
Step 1 | “/etc/securetty” 파일에서 pts/0 ~ pts/x 설정 제거 또는, 주석 처리 |
Step 2 |
“/etc/pam.d/login” 파일 수정 또는, 신규 삽입 (수정 전)#auth required /lib/security/pam_securetty.so |
※ etc/securetty : Telnet 접속 시 root 접근 제한 설정 파일“/etc/securetty” 파일 내 pts/x 관련 설정이 존재하는 경우 PAM 모듈 설정과 관계없이 root 계정 접속을 허용하므로 반드시 “securetty“ 파일에서 pts/x 관련 설정을 제거해야 한다.
=====================
실제 진단 시 스크립트 결과 내용
-취약-
'Telnet 프로세스 데몬 동작 확인
☞ Telnet Service Disable
SSH 프로세스 데몬 동작 확인
root 1219 1 0 Jun06 ? 00:00:00 /usr/sbin/sshd -D
root 6495 1219 0 15:41 ? 00:00:00 sshd: yxxxx [priv]
yxxx+ 6497 6495 0 15:42 ? 00:00:00 sshd: yxxxx@pts/1
☞ SSH Service Enable
★ root 계정 원격 접속이 제한되지 않음
#PermitRootLogin yes
-양호-
'Telnet 프로세스 데몬 동작 확인
☞ Telnet Service Disable
SSH 프로세스 데몬 동작 확인
root 2974 1 0 2019 ? 00:00:00 /usr/sbin/sshd
root 26282 2974 0 01:15 ? 00:00:00 sshd: sxxxx [priv]
sxxxx 26285 26282 0 01:16 ? 00:00:00 sshd: sxxxx@pts/2
root 26336 2974 0 01:16 ? 00:00:00 sshd: sxxxx [priv]
sxxxx 26339 26336 0 01:16 ? 00:00:00 sshd: sxxxx@notty
☞ SSH Service Enable
★ root 계정 원격 접속이 제한됨
PermitRootLogin no
'취약점 진단 가이드 > UNIX 서버 진단 가이드' 카테고리의 다른 글
U-06(상) 파일 및 디렉터리 소유자 설정 (0) | 2020.08.28 |
---|---|
U-05(상) root홈, 패스 디렉터리 권한 및 패스 설정 (0) | 2020.08.27 |
U-04(상) 패스워드 파일 보호 (0) | 2020.08.26 |
U-03(상) 계정 잠금 임계값 설정 (0) | 2020.08.25 |
U-02(상) 패스워드 복잡성 설정 (0) | 2020.08.24 |