정보보안 스토리

2. 파일시스템 10. xsconsole 파일 권한 설정 가. 상세 설명 xsconsole 파일에 대한 접근권한을 제한하고 있는지 점검한다. xsconsole은 XenServer Configuration 프로그램을 실행시켜주는 역할을 한다. xsconsole의 접근권한 설정이 잘못 설정되어 있을 경우 비 인가된 공격자가 설정을 변경할 수 있다. 나. 진단기준 양호 : /usr/bin/xsconsole 파일의 소유자가 root이고, 타사용자의 쓰기 권한이 없는 경우 취약 : /usr/bin/xsconsole 파일의 소유자가 root이고, 타사용자의 쓰기 권한이 있는 경우 다. 진단방법 ■ /usr/bin/xsconsole 파일의 접근권한 확인 # ls –al /usr/bin/xsconsole 라. 조치방안..

2. 파일시스템 09. 사용자 UMASK(User Mask) 설정 가. 상세 설명 SUID(Set User-ID)와 SGID(Set Group-ID)가 설정된 파일의 경우, 특히 root 소유의 파일인 경우, Bufferoverflow 공격과 Local 공격에 많이 사용되는 매우 보안상 관리가 필요한 파일들로 이들 파일들의 주기적인 관리가 필요하다. 보안에 취약한 root 소유의 setuid 파일들의 경우에는 꼭 필요한 파일을 제외하고는 그 외 setuid, setgid 파일에 대하여 setuid, setgid 속성을 제거해주고, 잘못 설정되어 보안 위협이 되고 있는지 주기적인 점검 및 관리가 요구된다. 나. 진단기준 양호 : 불필요한 SUID, SGID가 설정되어 있지 않은 경우 취약 : 불필요한 SU..

2. 파일시스템 08. 사용자 UMASK(User Mask) 설정 가. 상세 설명 시스템 내에서 유저가 새로이 생성하는 파일의 접근 권한은 UMASK에 따라 달라진다. 현재의 유저에게 설정된 UMASK를 조회하려면, 명령 프롬프트에서 “umask"를 수행하면 된다. 그리고 니MASK 값이 "022"이기를 권장한다. UMASK값 "022"는 "rw-r--r--“ 접근권한으로 파일이 생성된다. 나. 진단기준 양호 : 현재 시스템의 UMASK가 022 또는 027로 설정되어 있으며 Start Profile에 UMASK가 설정되어 있는 경우 취약 : 현재 시스템의 UMASK가 설정되어 있지 않거나 022 또는 027가 아닌 경우 다. 진단방법 ■ UMASK 확인 1) /etc/pam.d/su 파일을 아래와 같이..

1. 계정관리 07. SU(select user)사용 제한제한 가. 상세 설명 권한이 없는 일반 사용자가 su 명령을 사용한 Password Guessing을 통해 root 권한을 획득할 수 있다. 나. 진단기준 양호 : /etc/pam.d/su 파일에 auth required pam_wheel.so use_uid 라인에 주석(#)이 없고 /etc/group 파일의 wheel 그룹에 계정이 제한되어 있는 경우 취약 : /etc/pam.d/su 파일에 auth required pam_wheel.so use_uid 라인에 주석(#)이 없고 /etc/group 파일의 wheel 그룹에 계정이 제한되어 있는 경우 다. 진단방법 ■ /etc/pam.d/su에서 주석 여부 확인 # cat /etc/pam.d/su ..

1. 계정관리 06. 로그인이 불필요한 계정 shell 제한 가. 상세 설명 접근이 거의 필요하지 않은 사용자들에게는 쉘을 제한함으로써 비인가적인 시스템 사용을 방지하여 침해의 가능성을 줄일 수 있다. 나. 진단기준 양호 : 시스템 계정 중 로그인이 불필요한 계정에 대해 shell이 제한되어 있는 경우 취약 : 시스템 계정 중 로그인이 불필요한 계정에 대해 shell이 제한되어 있지 않은 경우 다. 진단방법 ■ /etc/passwd 파일의 계정 별 shell 확인 # cat /etc/passwd (예시) nobody:x:65534:65534:nobody:/nonexistent:/bin/sh ※ 실행 쉘이 불필요한 계정 및 로그인이 필요하지 않은 계정에 nologin shell 부여 (daemon, bin..

1. 계정관리 05. 패스워드 사용규칙 적용 가. 상세 설명 패스워드 추측공격을 피하기 위하여 패스워드 최소길이가 설정되어 있는지 점검한다. 패스워드 최소길이가 설정되어 있지 않거나 짧게 설정되어 있을 경우 취약한 패스워드를 사용함으로 인해 악의적인 사용자가 패스워드를 쉽게 유추할 수 있다. 나. 진단기준 양호 : 패스워드 정책에 따른 설정이 적용되어 있는 경우 취약 : 패스워드 정책에 따른 설정이 적용되어 있지 않은 경우 다. 진단방법 ■ 패스워드 최대 사용기간, 최소 사용기간, 최소길이 설정 확인 (단위: 일) # cat /etc/login.defs | grep –i “PASS_MAS_DAYS” # cat /etc/login.defs | grep –i “PASS_MIN_DAYS” # cat /etc/..

1. 계정관리 04. group 파일 권한 설정 가. 상세 설명 Group 파일을 일반사용자가 접근하여 변조하게 되면 인가되지 않은 사용자가 root 그룹으로 등록되어 인가되지 않은 사용자의 root 권한 획득이 가능하다. Group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타사용자의 쓰기 권한을 제한하여야 한다. 나. 진단기준 양호 : /etc/group 파일의 소유자가 root(또는 bin)이고 권한이 644(rw-r--r--)인 경우 취약 : /etc/group 파일의 소유자가 root(또는 bin)가 아니거나 타사용자에게 쓰기 권한 및 접근 권한이 존재할 경우 다. 진단방법 ■ /etc/group 파일의 접근권한 확인 # ls –al /etc/group 라. 조치방안 ■ ..

1. 계정관리 01. passwd 파일 권한 설정 가. 상세 설명 “/etc/passwd” 파일의 접근권한을 제한하고 있는지 점검한다. 파일의 설정 상의 문제점이나 파일 permission 등을 점검하여 관리자의 관리상의 실수나 오류로 발생 할 수 있는 침해사고（일반 사용자 권한 /root 권한 획득）의 위험성을 점검한다. 나. 진단기준 양호 : 패스워드 파일의 소유자가 root이고 권한이 644(rw-r—r--)인 경우 취약 : 패스워드 파일의 소유자가 root가 아니거나 타사용자에게 쓰기 권한 및 접근권한이 존재할 경우 다. 진단방법 ■ /etc/passwd 파일의 접근권한 확인 # ls –al /etc/passwd 라. 조치방안 ■ /etc/passwd 파일의 권한 변경 # chmod 644 /et..

1. 계정관리 01. Default 계정 관리 가. 상세 설명 시스템 관리자는 root계정을 포함하여 모든 계정의 의심가는 디렉터리 및 파일을 정기적으로 조사하여 삭제하며, 주기적으로 불필요한 사용자 계정을 조사하여 제거하는 것이 보안상 필요하다. 나. 진단기준 양호 : root 및 시스템 계정(darmon, bin, adm, uucp, nuucp, lp, hpdb 등)을 제외하고 UID가 0인 계정이 존재하지 않는 경우 취약 : root 및 시스템 계정(darmon, bin, adm, uucp, nuucp, lp, hpdb 등)을 제외하고 UID가 0인 계정이 존재하는 경우 다. 진단방법 ■ /etc/passwd 파일의 필드 3번째 값 확인(UID=0 인지 확인) # cat /etc/passwd (예시..

1. 계정관리 01. Default 계정 관리 가. 상세 설명 시스템에서 이용하지 않는 Default 계정 및 의심스러운 특이한 계정의 존재 유무를 검사하여 삭제한다. 대부분의 시스템에서 사용하지 않는 것이 확실한 아래의 계정들과 의심스러운 계정을 삭제하도록 하며 일반적으로 로그인이 필요치 않은 시스템 계정들은 로그인을 금지시킨다. OS나 Package 설치 시 Default로 생성되는 계정은 대부분 Default 패스워드를 사용하는 경우가 많으며 패스워드 추측공격에 악용될 수 있다. 나. 진단기준 양호 : 0S 나 Package 설치 시 기본으로 생성되는 불필요한 계정이 존재하지 않을 경우 취약 : 0S 나 Package 설치 시 기본으로 생성되는 불필요한 계정이 존재할 경우 다. 진단방법 ■ lp, ..