현재 위치: WiKi Security Spirit » 보안 하드닝 가이드 » Citrix XenServer 보안가이드라인

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판이전 판
다음 판		이전 판
guide:xenserver_5.6 [2013/08/13 09:50] wiki1122guide:xenserver_5.6 [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1
줄 42: 줄 42:
 아래의 내용은 /etc/passwd 파일의 샘플이며, 필드구분이":"이며, 세번째 필드가 "0" 이면 슈퍼유저 권한이며, "0"이외의 계정은 일반계정으로 보면 됨. 그리고 여섯번째 필드가 해당 계정의 홈 디렉터리 임 아래의 내용은 /etc/passwd 파일의 샘플이며, 필드구분이":"이며, 세번째 필드가 "0" 이면 슈퍼유저 권한이며, "0"이외의 계정은 일반계정으로 보면 됨. 그리고 여섯번째 필드가 해당 계정의 홈 디렉터리 임
  
-{{:guide:xenserver_001.png|}}+{{:guide:xenserver_001.png?nolink|}}
  
   ① : 사용자 계정을 나타낸다.    ① : 사용자 계정을 나타낸다. 
줄 71: 줄 71:
   * "/etc/passwd" 파일의 접근권한을 확인하여 파일의 권한이 root 소유의 "644(rw-r--r--)" 이면 양호.   * "/etc/passwd" 파일의 접근권한을 확인하여 파일의 권한이 root 소유의 "644(rw-r--r--)" 이면 양호.
  
-{{:guide:xenserver_002.png|}}+{{:guide:xenserver_002.png?nolink|}}
    
 ■ 명령어 ■ 명령어
줄 92: 줄 92:
   * "/etc/group" 파일의 접근권한을 확인하여 파일의 권한이 root 소유의 "644(rw-r--r--)" 이면 양호.   * "/etc/group" 파일의 접근권한을 확인하여 파일의 권한이 root 소유의 "644(rw-r--r--)" 이면 양호.
  
-{{:guide:xenserver_003.png|}}+{{:guide:xenserver_003.png?nolink|}}
    
 ■ 명령어 ■ 명령어
줄 125: 줄 125:
 패스워드 길이는 8자 이상 이고, 최대 사용 기간을 70일(10주) 이하이며, 최소 사용 기간을 7일(1주) 이상으로 설정되어 있으면 양호 (업체에 따라 규칙이 다를 수 있음.) 패스워드 길이는 8자 이상 이고, 최대 사용 기간을 70일(10주) 이하이며, 최소 사용 기간을 7일(1주) 이상으로 설정되어 있으면 양호 (업체에 따라 규칙이 다를 수 있음.)
  
-{{:guide:xenserver_004.png|}}+{{:guide:xenserver_004.png?nolink|}}
    
 ■ 명령어  ■ 명령어 
줄 185: 줄 185:
 아래의 내용은 /etc/passwd 파일의 샘플이며, 필드구분이 ":"이며, 마지막 필드가 "nologin"(또는 /bin/false) 이면 계정에 대해 기능이 없는 쉘이 적용된 상태임.\\ 아래의 내용은 /etc/passwd 파일의 샘플이며, 필드구분이 ":"이며, 마지막 필드가 "nologin"(또는 /bin/false) 이면 계정에 대해 기능이 없는 쉘이 적용된 상태임.\\
    
-{{:guide:xenserver_005.png|}}+{{:guide:xenserver_005.png?nolink|}}
  
   ① : 사용자 계정을 나타낸다.    ① : 사용자 계정을 나타낸다. 
줄 219: 줄 219:
   * 취약한 /etc/pam.d/su 설정 예) : 주석(#)   * 취약한 /etc/pam.d/su 설정 예) : 주석(#)
  
-{{:guide:xenserver_006.png|}}+{{:guide:xenserver_006.png?nolink|}}
  
 ■ 명령어  ■ 명령어 
줄 230: 줄 230:
 auth       required   /lib/security/pam_wheel.so debug group=wheel\\ auth       required   /lib/security/pam_wheel.so debug group=wheel\\
  
-{{:guide:xenserver_007.png|}}+{{:guide:xenserver_007.png?nolink|}}
    
 2. wheel group 생성\\ 2. wheel group 생성\\
줄 258: 줄 258:
   * 현재 시스템의 UMASK 를 확인하여 "022" 또는 "027"이며, 계정의 Start Profile에 UMASK가 설정되어 있으면 양호   * 현재 시스템의 UMASK 를 확인하여 "022" 또는 "027"이며, 계정의 Start Profile에 UMASK가 설정되어 있으면 양호
  
-{{:guide:xenserver_008.png|}}+{{:guide:xenserver_008.png?nolink|}}
  
 ■ 명령어  ■ 명령어 
줄 338: 줄 338:
   * "/usr/bin/xsconsole" 파일이 root 소유이며, 타 사용자 쓰기권한이 없으면 양호.   * "/usr/bin/xsconsole" 파일이 root 소유이며, 타 사용자 쓰기권한이 없으면 양호.
    
-{{:guide:xenserver_009.png|}}+{{:guide:xenserver_009.png?nolink|}}
  
 ■ 명령어   ■ 명령어  
줄 408: 줄 408:
   * /etc/profile 파일의 권한을 root(또는 bin) 소유의 타사용자의 쓰기권한이 없으면 양호.   * /etc/profile 파일의 권한을 root(또는 bin) 소유의 타사용자의 쓰기권한이 없으면 양호.
  
-{{:guide:xenserver_010.png|}} +{{:guide:xenserver_010.png?nolink|}} 
  
 ■ 명령어   ■ 명령어  
줄 431: 줄 431:
   * /etc/hosts 파일의 권한을 root (또는 bin) 소유의 타사용자의 쓰기권한이 없으면 양호.   * /etc/hosts 파일의 권한을 root (또는 bin) 소유의 타사용자의 쓰기권한이 없으면 양호.
  
-{{:guide:xenserver_011.png|}} +{{:guide:xenserver_011.png?nolink|}} 
  
 ■ 명령어   ■ 명령어  
줄 452: 줄 452:
   * /etc/issue 파일의 권한을 root (또는 bin) 소유의 타사용자의 쓰기권한이 없으면 양호.   * /etc/issue 파일의 권한을 root (또는 bin) 소유의 타사용자의 쓰기권한이 없으면 양호.
  
-{{:guide:xenserver_012.png|}}  +{{:guide:xenserver_012.png?nolink|}}  
  
 ■ 명령어   ■ 명령어  
줄 473: 줄 473:
 가. User별 홈 디렉터리의 타 사용자의 쓰기권한이 없으면 양호. 가. User별 홈 디렉터리의 타 사용자의 쓰기권한이 없으면 양호.
    
-{{:guide:xenserver_013.png|}} +{{:guide:xenserver_013.png?nolink|}} 
  
 ■ 명령어   ■ 명령어  
줄 480: 줄 480:
 나. ".profile", ".kshrc", ".cshrc", ".bashrc", ".bash_profile", ".login", ".exrc", ".netrc", ".dtprofile", ".Xdefaults" 등 환경변수 파일의 타 사용자의 쓰기권한이 없으면 양호. 나. ".profile", ".kshrc", ".cshrc", ".bashrc", ".bash_profile", ".login", ".exrc", ".netrc", ".dtprofile", ".Xdefaults" 등 환경변수 파일의 타 사용자의 쓰기권한이 없으면 양호.
    
-{{:guide:xenserver_014.png|}} +{{:guide:xenserver_014.png?nolink|}} 
  
 ■ 명령어   ■ 명령어  
줄 510: 줄 510:
   * "/usr/bin/xsconsole, /usr/lib/xsconsole, /opt, /sbin, /etc, /bin, /usr/bin, /usr/sbin 디렉터리의 권한을 root(또는 bin) 소유의 타 사용자의 쓰기권한이 없으면 양호.   * "/usr/bin/xsconsole, /usr/lib/xsconsole, /opt, /sbin, /etc, /bin, /usr/bin, /usr/sbin 디렉터리의 권한을 root(또는 bin) 소유의 타 사용자의 쓰기권한이 없으면 양호.
    
-{{:guide:xenserver_015.png|}} +{{:guide:xenserver_015.png?nolink|}} 
  
 ■ 명령어   ■ 명령어  
줄 533: 줄 533:
   * echo $PATH로 확인(root 계정만 해당됨) 하여 현재 디렉터리를 나타내는 "." 맨 앞이나 중간에 위치하면 취약.   * echo $PATH로 확인(root 계정만 해당됨) 하여 현재 디렉터리를 나타내는 "." 맨 앞이나 중간에 위치하면 취약.
  
-{{:guide:xenserver_016.png|}}  +{{:guide:xenserver_016.png?nolink|}}  
  
 ■ 명령어   ■ 명령어  
줄 552: 줄 552:
   * 서비스 파일의 권한을 root(또는 bin) 소유의 타 사용자의 쓰기권한이 없으면 양호.   * 서비스 파일의 권한을 root(또는 bin) 소유의 타 사용자의 쓰기권한이 없으면 양호.
  
-{{:guide:xenserver_017.png|}} +{{:guide:xenserver_017.png?nolink|}} 
  
 ■ 명령어   ■ 명령어  
줄 581: 줄 581:
   * [표1. 기타 중요파일]을 참고하여, 파일 중에서 root(또는 bin) 소유의 타 사용자의 쓰기권한이 없으면 양호.   * [표1. 기타 중요파일]을 참고하여, 파일 중에서 root(또는 bin) 소유의 타 사용자의 쓰기권한이 없으면 양호.
  
-{{:guide:xenserver_018.png|}}  +{{:guide:xenserver_018.png?nolink|}}  
  
 ■ 명령어   ■ 명령어  
줄 612: 줄 612:
   * SSH로 접속하여 설정된 Banner가 보이면 양호   * SSH로 접속하여 설정된 Banner가 보이면 양호
  
-{{:guide:xenserver_019.png|}}  +{{:guide:xenserver_019.png?nolink|}}  
  
   * SFTP로 접속하여 설정된 Banner가 보이면 양호   * SFTP로 접속하여 설정된 Banner가 보이면 양호
  
-{{:guide:xenserver_020.png|}}  +{{:guide:xenserver_020.png?nolink|}}  
  
 === 설정방법 === === 설정방법 ===
줄 657: 줄 657:
 1. "/etc/profile" 파일에 Session timoeout이 설정되어 있는지 확인함. 1. "/etc/profile" 파일에 Session timoeout이 설정되어 있는지 확인함.
  
-{{:guide:xenserver_021.png|}}  +{{:guide:xenserver_021.png?nolink|}}  
    
 ■ 명령어   ■ 명령어  
줄 664: 줄 664:
 2. xsconsole 의 Auto–Logout Time이 설정되어 있는지 확인함. 2. xsconsole 의 Auto–Logout Time이 설정되어 있는지 확인함.
  
-{{:guide:xenserver_022.png|}}  +{{:guide:xenserver_022.png?nolink|}}  
    
 ■ 명령어   ■ 명령어  
줄 683: 줄 683:
   # xsconsole   # xsconsole
  
-{{:guide:xenserver_023.png|}}  +{{:guide:xenserver_023.png?nolink|}}  
    
 Step2. Login 후 나타나는 [Change Auto-Logout Timeout] 화면에서 "Timeout"을 설정함. Step2. Login 후 나타나는 [Change Auto-Logout Timeout] 화면에서 "Timeout"을 설정함.
    
-{{:guide:xenserver_024.png|}}  +{{:guide:xenserver_024.png?nolink|}}  
  
 ==== 3.3. root 계정의 ssh 및 sftp 접근 제한(중요도 : 상) ==== ==== 3.3. root 계정의 ssh 및 sftp 접근 제한(중요도 : 상) ====
줄 851: 줄 851:
 ※ 관리용 원격 접근 제한은 보안담당자 및 담당 매니저와의 협의 필요 ※ 관리용 원격 접근 제한은 보안담당자 및 담당 매니저와의 협의 필요
  
-{{:guide:xenserver_025.png|}}  +{{:guide:xenserver_025.png?nolink|}}  
    
 ■ 명령어   ■ 명령어  
줄 863: 줄 863:
   # xsconsole   # xsconsole
  
-{{:guide:xenserver_026.png|}}  +{{:guide:xenserver_026.png?nolink|}}  
  
  
 Step 2. Login 후 나타나는 [Management Interface Configuration] 화면에서 "Disable Management Interface"를 선택하여 관리용도로 원격에서의 접근을 차단함. Step 2. Login 후 나타나는 [Management Interface Configuration] 화면에서 "Disable Management Interface"를 선택하여 관리용도로 원격에서의 접근을 차단함.
    
-{{:guide:xenserver_027.png|}}  +{{:guide:xenserver_027.png?nolink|}}  
  
  
줄 882: 줄 882:
 ※ 관리용 원격 접근 제한은 보안담당자 및 담당 매니저와의 협의 필요 ※ 관리용 원격 접근 제한은 보안담당자 및 담당 매니저와의 협의 필요
    
-{{:guide:xenserver_028.png|}}  +{{:guide:xenserver_028.png?nolink|}}  
  
 ■ 명령어   ■ 명령어  
줄 894: 줄 894:
   # xsconsole   # xsconsole
  
-{{:guide:xenserver_029.png|}}  +{{:guide:xenserver_029.png?nolink|}}  
  
 Step 2. Login 후 나타나는 [Configure Remote Shell] 화면에서 "Disable"를 선택하여 원격에서의 Shell 접근 차단을 설정함. Step 2. Login 후 나타나는 [Configure Remote Shell] 화면에서 "Disable"를 선택하여 원격에서의 Shell 접근 차단을 설정함.
  
-{{:guide:xenserver_030.png|}}  +{{:guide:xenserver_030.png?nolink|}}  
  
 ==== 4.3. Guest VM 네트워크 분리(중요도 : 상) ==== ==== 4.3. Guest VM 네트워크 분리(중요도 : 상) ====
줄 912: 줄 912:
 Step 1. 현재 사용중인 전체 네트워크를 확인하여 VLAN으로 설정되어 있는 네트워크를 확인함. Step 1. 현재 사용중인 전체 네트워크를 확인하여 VLAN으로 설정되어 있는 네트워크를 확인함.
    
-{{:guide:xenserver_031.png|}}  +{{:guide:xenserver_031.png?nolink|}}  
  
 Step 2. 확인된 VLAN이 네트워크 분리가 필요한 Guest OS에 설정되어 있으면 "양호" Step 2. 확인된 VLAN이 네트워크 분리가 필요한 Guest OS에 설정되어 있으면 "양호"
    
-{{:guide:xenserver_032.png|}}  +{{:guide:xenserver_032.png?nolink|}}  
  
 === 설정방법 === === 설정방법 ===
줄 922: 줄 922:
 Step 1. XenCenter에서 [XenServer]를 선택 한 후 [Network] 메뉴에서 "Network"의 [Add Network]를 선택함. Step 1. XenCenter에서 [XenServer]를 선택 한 후 [Network] 메뉴에서 "Network"의 [Add Network]를 선택함.
  
-{{:guide:xenserver_033.png|}}  +{{:guide:xenserver_033.png?nolink|}}  
  
 Step 2. 네트워크 생성 화면에서 "External Network"를 선택한 후 [Next]를 선택함. Step 2. 네트워크 생성 화면에서 "External Network"를 선택한 후 [Next]를 선택함.
    
-{{:guide:xenserver_034.png|}}  +{{:guide:xenserver_034.png?nolink|}}  
  
 Step 3. 생성하려는 VLAN의 이름, 설명을 입력 한 후 [Next]를 선택함. Step 3. 생성하려는 VLAN의 이름, 설명을 입력 한 후 [Next]를 선택함.
  
-{{:guide:xenserver_035.png|}}  +{{:guide:xenserver_035.png?nolink|}}  
  
 Step 4. VLAN을 설정하는 물리적인 NIC 장치를 선택하고, VLAN의 태그를 선택한 후, [Finish]를 선택하여 VLAN을 생성함. Step 4. VLAN을 설정하는 물리적인 NIC 장치를 선택하고, VLAN의 태그를 선택한 후, [Finish]를 선택하여 VLAN을 생성함.
 ※ 이미 사용중인 태그는 설정이 불가능함. ※ 이미 사용중인 태그는 설정이 불가능함.
  
-{{:guide:xenserver_036.png|}}  +{{:guide:xenserver_036.png?nolink|}}  
  
 Step 5. Server Networks에서 생성한 VLAN을 확인할 수 있음. Step 5. Server Networks에서 생성한 VLAN을 확인할 수 있음.
    
-{{:guide:xenserver_037.png|}}  +{{:guide:xenserver_037.png?nolink|}}  
  
 Step 6. 네트워크 분리가 필요한 Guest OS를 선택하고, [Network]를 선택 한 후 [Add Interface]를 선택함.\\ Step 6. 네트워크 분리가 필요한 Guest OS를 선택하고, [Network]를 선택 한 후 [Add Interface]를 선택함.\\
 ※ Guest OS를 종료 되어야 설정이 가능함. ※ Guest OS를 종료 되어야 설정이 가능함.
  
-{{:guide:xenserver_038.png|}}  +{{:guide:xenserver_038.png?nolink|}}  
  
 Step 7. "Network"에서 생성한 VLAN을 선택하고, [Add]를 선택하여, Guest OS의 Network를 VLAN으로 설정함. Step 7. "Network"에서 생성한 VLAN을 선택하고, [Add]를 선택하여, Guest OS의 Network를 VLAN으로 설정함.
    
-{{:guide:xenserver_039.png|}}  +{{:guide:xenserver_039.png?nolink|}}  
  
 Step 8. Virtual Network Interfaces에서 Guest OS에 설정된 네트워크를 확인 할 수 있고, 현재 VLAN으로 설정된 것을 확인 할 수 있음. Step 8. Virtual Network Interfaces에서 Guest OS에 설정된 네트워크를 확인 할 수 있고, 현재 VLAN으로 설정된 것을 확인 할 수 있음.
    
-{{:guide:xenserver_040.png|}}  +{{:guide:xenserver_040.png?nolink|}}  
  
 ===== 5. 로그관리 ===== ===== 5. 로그관리 =====
줄 1020: 줄 1020:
 Step1. XenCenter에서 [XenServer]를 선택 한 후 [Logs] 메뉴에서 로그를 확인 가능함. Step1. XenCenter에서 [XenServer]를 선택 한 후 [Logs] 메뉴에서 로그를 확인 가능함.
    
-{{:guide:xenserver_041.png|}}  +{{:guide:xenserver_041.png?nolink|}}  
  
 Step1. XenCenter의 메뉴에서 [Help]를 선택한 후 [View Application Log files] 메뉴에서 로그를 확인 가능함. Step1. XenCenter의 메뉴에서 [Help]를 선택한 후 [View Application Log files] 메뉴에서 로그를 확인 가능함.
    
-{{:guide:xenserver_042.png|}}  +{{:guide:xenserver_042.png?nolink|}}  
  
-{{:guide:xenserver_043.png|}}  +{{:guide:xenserver_043.png?nolink|}}  
    
 === 설정방법 === === 설정방법 ===
줄 1068: 줄 1068:
   * Remote Log 서버를 사용하지 않고 UDP 514 Port를 사용중이면 취약   * Remote Log 서버를 사용하지 않고 UDP 514 Port를 사용중이면 취약
  
-{{:guide:xenserver_044.png|}}  +{{:guide:xenserver_044.png?nolink|}}  
  
 ■ 명령어   ■ 명령어  
줄 1085: 줄 1085:
 "/etc/sysconfig/syslog" 파일에 "SYSLOGD_OPTIONS"의 "-r" 옵션 삭제 "/etc/sysconfig/syslog" 파일에 "SYSLOGD_OPTIONS"의 "-r" 옵션 삭제
  
-{{:guide:xenserver_045.png|}}  +{{:guide:xenserver_045.png?nolink|}}  
  
 ■ 명령어   ■ 명령어  
줄 1106: 줄 1106:
   # cat /etc/xensource/log.conf | grep "info"   # cat /etc/xensource/log.conf | grep "info"
  
-{{:guide:xenserver_046.png|}}  +{{:guide:xenserver_046.png?nolink|}}  
  
 2. XenCenter 에서 확인 할 경우 2. XenCenter 에서 확인 할 경우
   * XenCenter에서 [XenServer]를 선택 한 후 [Logs] 메뉴에서 "Information" 로그가 설정되어 있으면 "양호"   * XenCenter에서 [XenServer]를 선택 한 후 [Logs] 메뉴에서 "Information" 로그가 설정되어 있으면 "양호"
  
-{{:guide:xenserver_047.png|}}  +{{:guide:xenserver_047.png?nolink|}}  
  
 === 설정방법 === === 설정방법 ===
줄 1121: 줄 1121:
     info;;file:/var/log/xensource.log     info;;file:/var/log/xensource.log
  
-{{:guide:xenserver_048.png|}}   +{{:guide:xenserver_048.png?nolink|}}   
  
 2. XenCenter 에서 확인 할 경우 2. XenCenter 에서 확인 할 경우
   * XenCenter에서 [XenServer]를 선택 한 후 [Logs] 메뉴에서 "Information" 로그를 남기도록 설정함.   * XenCenter에서 [XenServer]를 선택 한 후 [Logs] 메뉴에서 "Information" 로그를 남기도록 설정함.
    
-{{:guide:xenserver_049.png|}}  +{{:guide:xenserver_049.png?nolink|}}  
  
 ==== 5.5. 로그 파일 권한 설정(중요도 : 하) ==== ==== 5.5. 로그 파일 권한 설정(중요도 : 하) ====
줄 1179: 줄 1179:
   * XenCenter의 메뉴에서 [Help]를 선택 한 후 [Check for Updates] 를 선택하여 Updates 를 확인함.   * XenCenter의 메뉴에서 [Help]를 선택 한 후 [Check for Updates] 를 선택하여 Updates 를 확인함.
  
-{{:guide:xenserver_050.png|}}  +{{:guide:xenserver_050.png?nolink|}}  
  
 === 적용방법 === === 적용방법 ===
줄 1186: 줄 1186:
 Step 1. XenCenter의 업데이트 관리자를 이용하여 최신 Updates를 확인한다. Step 1. XenCenter의 업데이트 관리자를 이용하여 최신 Updates를 확인한다.
  
-{{:guide:xenserver_051.png|}}  +{{:guide:xenserver_051.png?nolink|}}  
  
 Step 2. 발표된 Update 중 현재 사용중인 보안 관련 Update 찾음 Step 2. 발표된 Update 중 현재 사용중인 보안 관련 Update 찾음
  
-{{:guide:xenserver_052.png|}}  +{{:guide:xenserver_052.png?nolink|}}  
    
 Step 3. 해당 Update 를 Download Step 3. 해당 Update 를 Download
줄 1241: 줄 1241:
   * "/opt/xensource/packages/iso/" 경로에 최신 보안패치가 적용된 OS Image를 업로드 (확장자 *.iso)하여, Guest OS 생성 시 최신 보안패치가 적용된 OS 및 소프트웨어 설치를 권고함.   * "/opt/xensource/packages/iso/" 경로에 최신 보안패치가 적용된 OS Image를 업로드 (확장자 *.iso)하여, Guest OS 생성 시 최신 보안패치가 적용된 OS 및 소프트웨어 설치를 권고함.
  
-{{:guide:xenserver_053.png|}}   +{{:guide:xenserver_053.png?nolink|}}   
  
 2. Guest OS에 OS 및 소프트웨어 배포 후 2. Guest OS에 OS 및 소프트웨어 배포 후

추적: