주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Unix 점검 항목
■ 취약점 개요
○ 점검개요 : 안전하지 않은 NIS 서비스의 비활성화, 안전한 NIS+ 서비스의 활성화 여부 점검
○ 점검목적 : 안전하지 않은 NIS 서비스를 비활성화 하고 안전한 NIS+ 서비스를 활성화하여 시스템 보안수준을 향상
○ 보안위협 : 보안상 취약한 서비스인 NIS를 사용하는 경우 비인가자가 타 시스템의 root 권한 획득이 가능하므로 사용하지 않는 것이 가장 바람직하나 만약 NIS를 사용해야 하는 경우 사용자 정보보안에 많은 문제점을 내포하고 있는 NIS보다 NIS+를 사용하는 것을 권장
○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등
○ 판단기준
- 양호 : NIS 서비스가 비활성화 되어 있거나, 필요 시 NIS+를 사용하는 경우
- 취약 : NIS 서비스가 활성화 되어 있는 경우
■ 점검방법
○ LINUX, AIX, HP-UX, SOLARIS(5.9 이하 버전)
NIS, NIS+ 서비스 구동 확인
#ps -ef | egrep “ypservlypbind|ypxfrd|rpc.yppasswdd|.pc.ypupdated”
root 3809 3721 0 08:44: 40 ? 0: 00 /usr/lib/nis/ypserv
○ SOLARIS(5.10 이하 버전)
서비스 데몬 구동 여부 확인
#svcs -a | grep nis
○ LINUX (Xinetd 일 경우)
디렉터리 내 서비스별 파일 비활성화 여부 확인
#vi /etc/xinetd.d/[서비스별 파일명]
※ 불필요한 “NIS” 서비스가 활성화된 경우 조치방안에 따라 서비스 데몬을 중지한다.
■ NIS 관련 서비스 데몬
|
ypserv |
master와 slave 서버에서 실행되며 클라이언트로부터의 ypbind 요청에 응답 |
|
ypbind |
모든 NIS 시스템에서 실행되며 클라이언트와 서버를 바인딩하고 초기화 |
|
rpcyppasswdd |
사용자들이 패스워드를 변경하기 위해 사용 |
|
ypxfrd |
NIS 마스터 서버에서만 실행되며 고속으로 NIS 맵 전송 |
|
rpc.ypupdated |
NIS 마스터 서버에서만 실행되며 고속으로 암호화하여 NIS 맵 전송 |
■ 조치방안
○ LINUX, AIX, HP-UX, SOLARIS 5.9 이하 버전
1. NFS 서비스 데몬 중지
#kill -9 [PID]
2. 시동 스크립트 삭제 또는, 스크립트 이름 변경
ㆍ위치 확인
#ls -al /etc/rc.d/rc*.d/* | egrep “ypserv|ypbind|ypxfrd|rpc.yppasswdd|rpc.ypupdated’’
ㆍ이름 변경
#mv /etc/rc.d/rc2.d/S73ypbind /etc/rc.d/rc2.d/_S73ypbind
○ HP-UX
1. NFS 서비스 데몬 중지
#kill -9 [PID]
2. 시동 스크립트 삭제 또는, 스크립트 이름 변경
ㆍ위치 확인
#ls -al /etc/rc.d/rc.d/* | egrep “ypserv|ypbind|ypxfrd|rpc.yppasswdd|rpc.ypupdated’’
ㆍ/etc/rc.config.d/namesvrs 파일에서 NIS_MASTER_SERVER, NIS_SLAVE_SERVER, NIS_CLIENT 값을 0으로 설정
NIS_MASTER_SERVER=0
NIS_SLAVE_SERVER= 0
NIS CLIENT SERVER=0
○ SOLARIS(5.10 이상 버전)
1. NIS 관련 서비스 데몬 확인
online 16:44:06 svc:/network/nis/client:default
online 16:44:07 svc:/network/nis/passwd:default
online 16:44:07 svc:/network/nis/server:default
online 16:44:07 svc:/network/nis/update:default
online 16:44:07 svc:/network/nis/xfr:default
2. svcadm disable “중지하고자 하는 데몬” 명령으로 서비스 데몬 중지
#svcadm disable svc:/network/nis/server:default
#svcadm disable svc:/network/nis/client:default
#svcadm disable svc:/network/nis/passwd:default
#svcadm disable svc:/network/nis/update:default
#svcadm disable svc:/network/nis/xfr:default
※ NIS 사용이 반드시 필요한 경우 NIS+를 사용을 권장한다.
■ 조치 시 영향
일반적인 경우 무관
■ NIS 주 서버
○ NIS 주 서버는 정보표를 소유하여 NIS 대응 파일들로 변환하고, 이 대응 파일들이 네트워크를 통해 제공됨으로써 모든 컴퓨터에 정보가 갱신되도록 하며 네트워크를 통한 공유로부터 관리자와 사용자들에게 일관성 있는 시스템 환경을 제공
'취약점 진단 가이드 > UNIX 서버 진단 가이드' 카테고리의 다른 글
| U-47(상) Sendmail 버전 점검 (0) | 2021.01.25 |
|---|---|
| U-46(상) tfp, talk 서비스 비활성화 (0) | 2021.01.25 |
| U-44(상) RPC 서비스 확인 (0) | 2021.01.23 |
| U-43(상) automountd 제거 (0) | 2021.01.22 |
| U-42(상) NFS 서비스 접근 통제 (0) | 2021.01.22 |