주요정보통신기반시설 관리기관은 -정보통신기반 보호법- 제9조에 따라, 주요정보통신기반시설로 신규 지정된 후 6개월이내, 그리고 매년 취약점 분석/평가를 실시하여야 한다. 취약점 분석/평가는 453개의 관리적/물리적/기술적 점검항목에 대한 주요정보통신기반시설의 취약여부를 점검하여, 악성코드 유포, 해킹 등 사이버 위협 대응을 위한 종합적 개선과정이다.
주요정보통신기반시설 취약점 Unix 점검 항목
■ 취약점 개요
○ 점검개요 : 시스템에서 최신 패치가 적용되어 있는지 점검
○ 점검목적 : 주기적인 패치 적용을 통하여 보안성 및 시스템 안정성을 확보
○ 보안위협 : 최신 보안패치가 적용되지 않을 경우, 이미 알려진 취약점을 통하여 공격자에 의해 시스템 침해사고 발생 가능성이 존재
○ 점검대상 : SOLARIS, LINUX, AIX, HP-UX 등
○ 판단기준
- 양호 : 패치 적용 정책을 수립하여 주기적으로 패치관리를 하고 있으며, 패치 관련 내용을 확인하고 적용했을 경우
- 취약 : 패치 적용 정책을 수립하지 않고 주기적으로 패치관리를 하지 않거나 패치 관련 내용을 확인하지 않고 적용하지 않았을 경우
■ 점검방법
○ LINUX, AIX, HP-UX, SOLARIS
패치 적용 정책 수립 여부 및 정책에 따른 패치 적용 여부 확인
■ 조치방안
○ SOLARIS
Step 1 |
“showrev –p” 서버에 적용되어 있는 패치 리스트 확인 |
Step 2 |
아래 사이트에 접속하여 패치를 찾아 적용 ㆍ패치를 검색하는 방법 1) Patches & Updates(패치 및 업데이트) 탭을 클릭 2) Patch Search(표H치 검색) 섹션에서 Product or the Family (Advanced Search)(제품 또는 제품군(고급 검색)) 옵션을 클릭 3) 제품으로 Solaris Operating System(Solaris 운영 체제)을 선택 4) 릴리스로 Solaris xx Operating System(Solaris xx 운영 체제)을 선택 5) 유형으로 Patch(패치) 또는 Patchset(패치 세트) 또는 둘 다 선택 6) Search(검색)을 클릭 후 파일 다운로드 ㆍ패치 적용 방법 MOS(My Oracle Support) 웹 사이트에서 패치 파일(119784-17.zip)을 다운로드 했다고 가정 1) 슈퍼유저 권한 획득 2) 패치 파일을 임시 디렉터리에 복사 #cp /<patch download location>/119784-17.zip /tmp 3) 패치 파일의 압축 풀기 #cd /tmp #unzip 119784-17.zip 4) 패치를 적용 #patchadd 119784-17 5) (옵션)패치가 적용되었는지 확인 #patchadd -p | grep 119784-17 ※패치 시 주의점 patchadd -M 명령이 개선되어 더 이상 정확한 설치 순서로 패치ID를 지정할 필요가 없고 디렉터리의 모든 패치가 시스템에 설치 |
○ LINUX(Red Hat 일 경우)
- LINUX는 서버에 설치된 패치 리스트의 관리가 불가능하므로 rpm 패키지 별 버그가 Fix된 최신 버전 설치가 필요
- LINUX는 오픈되고, 커스터마이징 된 0S이므로 LINUX를 구입한 벤더에 따라 rpm 패키지가 다를 수 있으며, 아래의 사이트는 Red Hat LINUX 에 대한 버그 Fix 관련 사이트
Step 1 |
다음의 사이트에서 해당 버전을 찾음 http://www.redhat.com/security/updates/ http://www.redhat.com/security/updates/eol/(Red Hat LINUX 9 이하 버전) |
Step 2 |
발표된 Update 중 현재 사용 중인 보안 관련 Update 찾아 해당 Update Download |
Step 3 |
Update 설치 #rpm —Uvh <pakage-name> |
○ AIX
Step 1 |
“oslevel -s, instfix-i |grep ML, instfix -i |grep ML, instfix -i |grep SP”로 서버에 적용되어 있는 패치 리스트 확인 |
Step 2 |
아래 사이트에 접속하여 패치를 찾아 적용 http://techsupport.services.ibm.com/server/mlfixes/43/ ㆍ패치 적용 방법 1) 패치를 다운로드 후 서버에 파일 업로드 한 뒤 “installp”를 이용하여 OS패치 설치 #smitty installp 2) install Software 선택 후 INPUT device / directory for software에서 패치파일 업로드 한 경로 입력 3) SOFTWARE to install 항목은 all-latest 선택 4) PREVIEW only?(install operation will NOT occur) 항목을 yes로 설정할 경우 실제 설치가 아닌 사전 설치가 진행되고 문제 발생 시 Failed 결과값 출력함 5) COMMIT software updates? 항목을 no로 설정할 경우 Apply설치가 진행되고 향후 이전버전의 OS Patch 단계로 롤백이 가능. YES로 설정 시 롤백 불가 6) ACCEPT new license agreements? 항목은 YES로 설정해야만 설치 진행 ※ 패치 시 문제가 발생한 경우 Apply 설치에 한해 기본버전으로 재설정 가능 |
○ HP-UX
Step 1 |
‘swlist -l product’로 서버에 적용된 패치 리스트 확인 |
Step 2 |
아래 사이트에 접속하여 패치를 찾아 적용 http://techsupport.services.ibm.com/server/mlfixes/43/ ㆍ패치를 검색하는 방법 1) 유지보수 및 지원(hp 제품) 에서 "개별패치"를 선택 2) patch database main에서 원하는 패치 database를 선택(여기서 firmware 부분 선택) 3) search for patches 에서 원하는 항목을 선택(여기서 CPU 선택) 4) 검색할 키워드에서 원하는 항목을 선택 후 search 클릭 5) most recently에서 체크박스에 체크하고 add to selected patch list 버튼 클릭 6) selected patch list가 나오면 패치의 체크박스 선택 후 download patch 버튼 클릭 후 다운로드(설치되는 방법을 보고 싶다면 패치이름의 링크 클릭) ㆍ패치 적용 방법 1) patch 파일을 /tmp 밑에 다운로드 받음 - 파일명을 patch_10으로 가정 2) HP-UX에서 shell archive를 품 #sh patch_10 - patch_10.depot와 patch_10.text가 생성 3) patch_10.depot 설치 #swinstall -s /tmp/patch_10. depot (경로는 절대경로를 써야함) tswinstall ?x autoreboot=true ?x patch_match_target=true \ -s /tmp/patch_10.depot |
■ 조치 시 영향
일반적인 경우 무관
'취약점 진단 가이드 > UNIX 서버 진단 가이드' 카테고리의 다른 글
U-73(하) 정책에 따른 시스템 로깅 설정 (0) | 2021.02.10 |
---|---|
U-72(상) 로그의 정기적 검토 및 보고 (0) | 2021.02.09 |
U-70(중) Apache 웹 서비스 정보 숨김 (0) | 2021.02.08 |
U-69(중) expn, vrfy 명령어 제한 (0) | 2021.02.08 |
U-68(중) NFS 설정파일 접근권한 (0) | 2021.02.07 |