U-38(상) r 계열 서비스 비활성화

주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.

주요정보통신기반시설 취약점 Unix 점검 항목

■ 취약점 개요

○ 점검개요 : ‘r’command 서비스 비활성화 여부 점검

○ 점검목적 : ‘r’command 사용을 통한 원격 접속은 NET Backup이나 다른 용도로 사용되기도 하나, 인증 없이 관리자 원격접속이 가능하여 이에 대한 보안위협을 방지

○ 보안위협 : 서비스 포트가 열려있을 경우, 비인가자에 의한 중요 정보 유출 및 시스템 장애 발생 등 침해사고의 원인

○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등

○ 판단기준

- 양호 : 불필요한 r 계열 서비스가 비활성화 되어 있는 경우

- 취약 : 불필요한 r 계열 서비스가 활성화 되어 있는 경우

 

■ 점검방법

○ SOLARIS(5.9 이하 버전)

‘r’command 서비스 활성화 여부 확인

  #vi /etc/inetd.conf

○ AIX

#cat /etc/inetd.conf | grep rlogin

 (# 처리 되어 있으면 비활성화)

#cat /etc/inetd.conf | grep rsh

 (# 처리 되어 있으면 비활성화)

○ HP-UX

#vi /etc/inetd.conf

 (r로 시작하는 필드 존재 시 취약)

○ SOLARIS(5.10 이상 버전)

‘r’command 관련 데몬 확인

  #inetadm | egrep “shell | rlogin | rexec”

○ LINUX (Xinetd 일 경우)

rsh, rlogin, rexec(shell, login, exec) 서비스 구동 확인

  #ls alL /etc/xinetd. d/* | egrep “rsh | rlogin | rexec” | egrep –v “grep|klogin|kshell|kexec”

※ 위에 제시된 파일 내 “r 계열” 서비스가 활성화 된 경우 조치방안에 따라 서비스 중지한다.

■ 조치방안

○ SOLARIS(5.9 이하 버전) HP-UX

1. r 계열 서비스 활성화 여부 확인

  # vi /etc/inetd.conf

2. r로 시작하는 필드 주석처리 후 재가동

  (수정 전)

shell stream tcp nowait root /usr/sbin/in.rshd in.rshd

shell stream tcp6 nowait root /usr/sbin/in.rshd in.rshd

login stream tcp nowait root /usr/sbin/in.rlogin.d in.rlogind

exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd

exec stream tcp6 nowait root /usr/sbin/in.rexecd in.rexecd

  (수정 후)

#shell stream tcp nowait root /usr/sbin/in.rshd in.rshd

#shell stream tcp nowait root /usr/sbin/in.rshd in.rshd

#shell stream tcp6 nowait root /usr/sbin/in.rshd in.rshd

#login stream tcp6 nowait root /usr/sbin/in.rlogind in.rlogind

#exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd

#exec stream tcp6 nowait root /usr/sbin/in.rexecd in.rexecd

SOLARIS의 경우 : #kill -HUP [inetd PID]

HP-UX의 경우 : #inetd -c

○ AIX

1. r 계열 서비스 활성화 여부 확인

  #cat /etc/inetd. conf | grep rlogin

(# 처리 되어 있으면 비활성화)

#cat /etc/inetd. conf | grep rsh

(# 처리 되어 있으면 비활성화)

#cat /etc/inetd. conf | grep exec

(# 처리 되어 있으면 비활성화)

2. “/etc/hosts.equiv” 파일은 TRUSTED 시스템을 등록

3. .rhosts 파일은 사용자 별로 ‘r’command를 통해 접근이 가능하도록 설정($HOME/.rhosts)

○ SOLARIS(5.10 이상 버전)

1. ‘r’command 관련 데몬 확인

svc:/network/login:rlogin

svc:/network/rexec:default

svc:/network/shell:kshell

2. inetadm –d “중지하고자 하는 데몬” 명령으로 데몬 중지

#inetadm -d svc:/network/login:rlogin

#inetadm -d svc:/network/rexec:default

#inetadm -d svc:/network/shell:kshell

○ LINUX (Xinetd 일 경우)

1. vi 편집기를 이용하여 “/etc/xinetd.d/” 디렉터리 내 rlogin, rsh, rexec 파일 열기

2. 아래와 같이 설정(Disable = yes 설정)

ㆍ/etc/xinetd.d/rlogin 파일

ㆍ/etc/xinetd.d/rsh 파일

ㆍ/etc/xinetd.d/rexec 파일

  service rlogin

{

socket —type = stream

wait = no

user = nobody

log on success += USERID

log on failure += USERID

server = /usr/sdin/in.fingerd

disable = yes

}

3. xinetd 서비스 재시작

  #service xinetd restart

 

■ 조치 시 영향

rlogin, rshell, rexec 서비스는 backup 등의 용도로 종종 사용되며 /etc/hosts.equiv 또는, 각 홈 디렉터리 밑에 있는 .rhosts 파일에 설정 유무를 확인하여 해당 파일이 존재하지 않거나 해당파일 내에 설정이 없다면 사용하지 않는 것으로 파악

■ ‘r’command

○ 인증 없이 관리자의 원격접속을 가능하게 하는 명령어들

※ rsh(remsh), rlogin, rexec