■ 명령어
# cat /etc/passwd | egrep "lp:|uucp:|nuucp:" | grep -v "lpd"
■ 명령어
# userdel lp # userdel uucp # userdel nuucp
< 일반계정 및 일반계정의 디렉터리 구분 * “/etc/passwd “파일내용에서 구분 >
아래의 내용은 /etc/passwd 파일의 샘플이며, 필드구분이”:“이며, 세번째 필드가 “0” 이면 슈퍼유저 권한이며, “0”이외의 계정은 일반계정으로 보면 됨. 그리고 여섯번째 필드가 해당 계정의 홈 디렉터리 임
① : 사용자 계정을 나타낸다. ② : 패스워드가 암호화되어 shadow 파일에 저장되어 있음을 나타낸다. ③ : 사용자 번호로 관리자이므로 0번이다. 일반 사용자의 경우에는 500번부터 시작된다. ④ : 그룹 ID다. 관리자 그룹이므로 0번이다. ⑤ : 실제 이름이다. 시스템 설정에 별다른 영향이 없는 설정이다. 자신의 이름을 입력해주어도 된다. ⑥ : 사용자의 홈 디렉터리를 설정한다. 관리자이므로 홈 디렉터리가 /root다. ⑦ : 사용자의 쉘을 정의한다.
<passwd 파일 필드> loginID:x:UID:GID:comment:home_directory:login_shell
■ 명령어
예) wiki 계정의 UID 를 2002로 바꿀 경우 # usermod –u 2002 wiki
■ 명령어
# ls –al /etc/passwd
■ 명령어
# chmod 644 /etc/passwd # chown root /etc/passwd
Group파일을 일반사용자가 접근하여 변조하게 되면 인가되지 않은 사용자가 root그룹으로 등록되어 인가되지 않은 사용자의 root권한 획득 가능, Group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타사용자의 쓰기권한을 제한하여야 합니다.
■ 명령어
# ls –al /etc/group
■ 명령어
# chmod 644 /etc/group # chown root /etc/group
가. 패스워드 사용규칙
패스워드 길이는 8자 이상 이고, 최대 사용 기간을 70일(10주) 이하이며, 최소 사용 기간을 7일(1주) 이상으로 설정되어 있으면 양호 (업체에 따라 규칙이 다를 수 있음.)
■ 명령어
# cat /etc/login.defs | grep -i "PASS_MAX_DAYS" # cat /etc/login.defs | grep -i "PASS_MIN_DAYS" # cat /etc/login.defs | grep -i "PASS_MIN_LEN"
나. 패스워드 설정
문자/숫자/특수문자 2 종류 이상의 조합으로 8자 이상
1. 패스워드 사용규칙 적용 방법
■ 명령어
#vi /etc/login.defs 를 실행하여 아래와 같은 설정으로 변경 (단위: 주) #vi /etc/login.defs PASS_MIN_LEN 8 PASS_MAX_DAYS 70 PASS_MIN_DAYS 7
2. 패스워드 설정 기준
1) 패스워드는 아래의 4가지 문자 종류 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
(1) 영문 대문자 (26개), 영문 소문자 (26개), 숫자 (10개), 특수문자 (32개)
2) 패스워드는 비 인가자에 의한 추측이 어렵도록 다음의 사항을 반영하여 설계
(1) Null 패스워드 사용 금지
(2) 문자 또는 숫자만으로 구성 금지
(3) 사용자 ID와 동일하거나 유사하지 않은 패스워드 금지
(4) 연속적인 문자/숫자(예. 1111, 1234, abcd) 사용 금지
(5) 주기성 패스워드 재사용 금지
(6) 전화번호, 생일같이 추측하기 쉬운 개인정보 패스워드로 사용 금지
3) SAM 파일에 암호를 저장하기 위해 사용되는 LANMan 알고리즘은 8자 단위로 글자를 나누어 암호화하기 때문에 8의 배수가 되는 암호사용을 권장 (8자의 암호사용 권장)
4) 아래와 같은 암호는 설정 지양
Null, 계정과 동일하거나 유사한 스트링, 지역명, 부서명, 담당자성명, 대표업무명
“root”, “rootroot”, “root123”, “123root”, “admin”, “admin123”, “123admin”, “osadmin”, “adminos”
■ 명령어
# passwd [계정명]
< 실행 쉘이 불필요한 계정 대상 * 로그인이 필요하지 않는 계정에 “nologin”>
[daemon, bin, sys, adm, listen, nobody, nobody4, noaccess, diag, listen, operator, games, gopher 등 일반적으로 uid 100 이하 60000 이상의 시스템 계정들]
아래의 내용은 /etc/passwd 파일의 샘플이며, 필드구분이 “:“이며, 마지막 필드가 “nologin”(또는 /bin/false) 이면 계정에 대해 기능이 없는 쉘이 적용된 상태임.
① : 사용자 계정을 나타낸다. ② : 패스워드가 암호화되어 shadow 파일에 저장되어 있음을 나타낸다. ③ : 사용자 번호로 관리자이므로 0번이다. 일반 사용자의 경우에는 500번부터 시작된다. ④ : 그룹 ID다. 관리자 그룹이므로 0번이다. ⑤ : 실제 이름이다. 시스템 설정에 별다른 영향이 없는 설정이다. 자신의 이름을 입력해주어도 된다. ⑥ : 사용자의 홈 디렉터리를 설정한다. 관리자이므로 홈 디렉터리가 /root다. ⑦ : 사용자의 쉘을 정의한다.
< 쉘 로긴이 필요없는 경우 계정설정 >
■ 명령어
#vi /etc/login.defs 를 실행하여 아래와 같은 설정으로 변경 (단위: 주) # useradd 계정 -c "계정finger정보" -d /home/{계정} -m -s /bin/false
■ 명령어
#vi /etc/passwd를 실행하여 아래와 같은 설정으로 변경 (단위: 주) 예) daemon 계정이 로그인 하지 못하도록 설정 # vi /etc/passwd daemon:x:1:1::/:/sbin/ksh (수정 전) daemon:x:1:1::/:/bin/false (수정 후)
■ 명령어
# cat /etc/pam.d/su | grep -v 'trust' | grep 'pam_wheel.so' | grep 'use_uid'
1. /etc/pam.d/su 파일을 아래와 같이 설정.
auth sufficient /lib/security/pam_rootok.so
auth required /lib/security/pam_wheel.so debug group=wheel
2. wheel group 생성
# groupadd wheel
3. /etc/group 파일에서 wheel 그룹에 su 명령어를 사용할 사용자를 추가.
# usermod –G wheel username
■ 명령어
# vi /etc/pam.d/su (주석 제거) auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so debug group=wheel # groupadd wheel # usermod –G wheel username
■ 명령어
# umask # cat /etc/profile | grep -i "umask"
■ 명령어
# umask 022 # vi /etc/profile umask 022 행 추가
[표1. 불필요한 Setuid. Setgid 목록]
XenServer | ||
---|---|---|
/sbin/dump | /usr/bin/lpq-lpd | /usr/bin/newgrp |
/sbin/restore | /usr/bin/lpr | /usr/sbin/lpc |
/sbin/unix_chkpwd | /usr/bin/lpr-lpd | /usr/sbin/lpc-lpd |
/usr/bin/at | /usr/bin/lprm | /usr/sbin/traceroute |
/usr/bin/lpq | /usr/bin/lprm-lpd |
[표2. Citrix XenServer 5.6.0 Default Setuid, Setgid 목록]
Application | 경로 | 구분 |
---|---|---|
userhelper | /usr/sbin/userhelper | Setuid |
usernetctl | /usr/sbin/ usernetctl | Setuid |
Ping6 | /bin/ping6 | Setuid |
su | /bin/su | Setuid |
umount | /bin/ umount | Setuid |
Pam_timestamp_check | /sbin/ Pam_timestamp_check | Setuid |
mount.ecryptfs_private | /sbin/ mount.ecryptfs_private | Setuid |
mount.nfs | /sbin/ mount.nfs | Setuid |
mount.nfs4 | /sbin/ mount.nfs4 | Setuid |
unix_chkpwd | /sbin/ unix_chkpwd | Setuid |
Citrix Directory | /opt/* |
■ 명령어
# find / -user root -type f \( -perm -4000 -o -perm -2000 \) -exec ls -lg {} \;
1. [표1. 불필요한 Setuid. Setgid 목록]을 참고하여, Setuid, Setgid를 제거
■ 명령어
# chmod –s [파일명]
2. 특정그룹에 사용을 제한 해야 함.:
예) 일반 사용자의 Setuid 사용을 제한함 (임의의 그룹만 가능함)
■ 명령어
# /usr/bin/chgrp <Group_Name> <Setuid_File_Name> # /usr/bin/chmod 4750 <Setuid_File_Name>
■ 명령어
# usermod –G100 wiki G : a list of Supplementary group 설정 변경 100 : the numerical value of the <Group>’s ID
■ 명령어
# ls –alL /usr/bin/xsconsole
※ 해당 파일이 링크되어 있다면 링크된 원본 파일 소유권을 변경함
■ 명령어
# chown root /usr/bin/xsconsole # chmod o-w /usr/bi /xsconsole
가. Crontab 설정 파일 권한
/etc/crontab, /etc/cron.daily/*, /etc/cron.hourly/*, /etc/cron.monthly/*, /etc/cron.weekly/*,
/var/spool/cron/* 에서 타 사용자 쓰기 권한이 없으면 양호.
나. Crontab 예약 실행 파일 권한
root 권한으로 Crontab에서 실행토록 설정되어 있는 실행 파일들의 권한은 744, 소유자는 root로 설정되어 있는지 확인해야 함
1. Crontab 설정 파일 조치 방법
/var/spool/cron/* 에서 타 사용자 쓰기 권한이 부여되어 있을 경우 제거
■ 명령어
# chmod o-w /etc/crontab # chmod o-w /etc/cron.daily/* # chmod o-w /etc/cron.hourly/* # chmod o-w /etc/cron.monthly/* # chmod o-w /etc/cron.weekly/* # chmod o-w /var/spool/cron/*
2. Crontab 예약 실행 파일 조치 방법
■ 명령어
# crontab –ㅣ 1 15 * * /backup/OS_backup.sh 30 * * * * /opt/sfm/vacuum # ls –al [file] # chmod 744 [file] # ls -al /backup/OS_backup.sh -rwxr--r- * 1 root sys 84 Aug 10 05:01 /backup/OS_backup.sh # ls -al /opt/sfm/vacuum -rwxr--r- * 1 root sys 67 Dec 18 14:47 /opt/sfm/vacuum
■ 명령어
# ls –al /etc/profile
■ 명령어
# chown root /etc/profile # chmod o-w/tcprofle
■ 명령어
# ls –al /etc/hosts
■ 명령어
※ 해당 파일이 링크되어 있다면 링크된 원본 파일 소유권을 변경함
# chown root /etc/hosts hmd o- /etc/hosts
터미널 설정과 관련된 /etc/issue 파일에 대한 접근 권한을 제한하고 있는지 점검합니다.
■ 명령어
# ls –al /etc/issue
■ 명령어
※ 해당 파일이 링크되어 있다면 링크된 원본 파일 소유권을 변경함
# chown root /etc/issue # chmod o-w /etc/issue
각각의 사용자의 홈 디렉터리내의 파일을 인가되지 않은 사용자가 접근하여 설정파일 및 파일을 변조하게 되면 정상적인 사용자의 서비스가 제한됨, 해당 홈 디렉터리의 계정 외의 일반 사용자들이 해당 홈 디렉터리를 수정할 수 없도록 제한하고 있는지 점검합니다.
가. User별 홈 디렉터리의 타 사용자의 쓰기권한이 없으면 양호.
■ 명령어
# ls -dal /etc/issue
나. “.profile”, “.kshrc”, “.cshrc”, “.bashrc”, “.bash_profile”, “.login”, “.exrc”, “.netrc”, “.dtprofile”, “.Xdefaults” 등 환경변수 파일의 타 사용자의 쓰기권한이 없으면 양호.
■ 명령어
# ls –al [파일명] # ls –ldb [파일명] Ex) ls –ldb /root/.cshrc ro/.bsh profile /root/.bash_profie
■ 명령어
# chmod o-w [홈 디렉터리]
■ 명령어
# chmod o-w [파일명] # chmod o-w [홈 디렉터리 경로] [파일명] (홈 디렉터리 설정파일에서 권한 제거할 경우)
■ 명령어
#ls -ldb /usr/bin/xsconsole /usr/lib/xsconsole /opt /sbin /etc/ /bin /usr/bin /usr/sbin
/usr/bin/xsconsole, /usr/lib/xsconsole, /opt, /sbin, /etc/, /bin, /usr/bin, /usr/sbin 디렉터리의 권한을 root(또는 bin) 소유의 타사용자 쓰기권한제거 설정.
■ 명령어
# chown root [디렉터리명] # chmod o-w [디렉터리명]
또한 ”.“ 뿐만 아니라 비 인가자가 불법적으로 생성한 디렉터리를 우선적으로 가리키게 하여 예기치 않은 결과를 가져올 수 있습니다.
■ 명령어
# echo $PATH
애플리케이션 구성상 ”.“ 을 사용해야 하는 경우에는 ”.“을 PATH 환경변수의 마지막으로 이동하도록 함.
Service파일을 관리자가 아닌 일반사용자들이 접근 및 변경 가능하면 이를 통해 정상적인 서비스를 제한하거나 허용되지 않은 서비스를 실행시켜 침해사고의 위험이 있습니다.
■ 명령어
# ls -alL /etc/services
■ 명령어
# chown root w /etc/services # chmod o-w /etc/services
[표1. 기타 중요파일]
/opt/*/* | /etc/rc*.d/* | /etc/inittab | /etc/syslog.conf |
/etc/snmp/snmpd.conf | /etc/crontab | /etc/cron.daily/* | /etc/cron.hourly/* |
/etc/cron.monthly/* | /etc/cron.weekly/* | /var/spool/cron/* |
등
■ 명령어
# ls -alL /opt/*/*
■ 명령어
# chmod o-w [파일명 또는 디렉터리명]
※ sshd_config 설정에 따라 Banner 파일 위치가 다를 수 있습니다.
■ 명령어
# cat /etc/ssh/sshd_config | grep "Banner"
Step 1. ”/etc/ssh/sshd_config“ 파일에 Banner 파일을 설정 ■ 명령어
# vi /etc/sshd/sshd_config Banner /etc/issue.net
Step 2. ”/etc/issue.net 파일을 생성하고 경고 메시지 삽입 (예)
##################################################################################### # This system is for the use of authorized users only. # # Individuals using this computer system without authority, or in # # excess of their authority, are subject to having all of their # # activities on this system monitored and recorded by system # # personnel. # # # # In the course of monitoring individuals improperly using this # # system, or in the course of system maintenance, the activities # # of authorized users may also be monitored. # # # # Anyone using this system expressly consents to such monitoring # # and is advised that if such monitoring reveals possible # # evidence of criminal activity, system personnel may provide the # # evidence of such monitoring to law enforcement officials. # #####################################################################################
1. “/etc/profile” 파일에 Session timoeout이 설정되어 있는지 확인함.
■ 명령어
# cat /etc/profile | grep "TMOUT"
2. xsconsole 의 Auto–Logout Time이 설정되어 있는지 확인함.
■ 명령어
# xsconsole
1. “/etc/profile” 파일 수정하여 아래 내용을 추가(주석 제거 또는 신규 삽입)
■ 명령어
# vi /etc/profile TMOUT=300 export TMOUT
2. xsconsole에서 설정 할 경우
Step1. [Authentication] 메뉴에서 “Change Auto-Logout Time” 메뉴를 선택한 후 Login
■ 명령어
# xsconsole
Step2. Login 후 나타나는 [Change Auto-Logout Timeout] 화면에서 “Timeout”을 설정함.
어느 계정을 통해 root (슈퍼 user)로 접근했는지 알기 위해 보안상 필요합니다.
1) /etc/pam.d/login
auth required pam_securetty.so
또는, auth [user_unknown=ignore success=ok ignore=ignore default=bad] pam_securetty.so
또는, auth required /lib/security/pam_securetty.so
2) /etc/ssh/sshd_config
PermitRootLogin no
■ 명령어
# cat /etc/pam.d/login | grep "pam_securetty.so" # cat /etc/ssh/sshd_config | grep "PermitRootLogin"
■ 명령어 1) “/etc/pam.d/login” 파일 수정 (주석 제거 또는 신규 삽입)
# vi /etc/pam.d/login auth required /lib/security/pam_securetty.so
2) “/etc/ssh/sshd_config” 파일도 수정(주석 제거 또는 신규 삽입)
# vi /etc/ssh/sshd_config PermitRootLogin no
■ 명령어
# ssh -V
1. 서비스 필요시
Xenserver 5.6.0서버에는 SSH버전 OpenSSH 4.3p2 버전 이상 사용할 것을 권장한다.
2. 서비스 불필요시
Step 1. 실행중인 서비스를 중지
■ 명령어
# ps -ef | grep sshd root 414 0.0 0.7 2672 1692 /usr/sbin/sshd # kill * 9 414
Step 2. SSH가 시작되지 않도록 시작스크립트의 파일명 변경(OS 마다 시작스크립트 위치 다름)
■ 명령어
# ls -al /etc/rc*.d/* | grep sshdz (시작스크립트 파일 위치 확인) # mv /etc/rc2.d/S55sshd /etc/rc2.d/_S55sshd ※ SSH 설정에 따라 /etc/ssh/sshd_config 파일 위치가 다를 수 있음
1. 서버에 [표1. 불필요한 서비스]의 Port들이 열려 있는 경우 주요 시스템 정보 노출 및 서비스 거부(DOS)를 야기시킬 수 있습니다. [표 1. 불필요한 서비스]
echo(7) | 클라이언트에서 보내는 메시지를 단순히 재전송 |
chargen(19) | 임의 길이의 문자열을 반환하는 서비스 |
finger(79) | 사용자 정보를 보여 줌. |
nntp(119) | NNTP(Network News Transfer Protocol) 인터넷 상에 토론 그룹을 생성할 수 있는 표준 서비스 |
netbios_dgm(138) | NetBIOS Datagram 서비스, 호스트, 그룹, 또는 전체로 브로드캐스팅 하는데 사용. |
ldap(389) | 디렉터리 서비스 엑세스를 위한 서비스 |
ntalk(518) | 서로 다른 시스템간에 채팅을 가능하게 하는 서비스 |
ldaps(636) | LDAP over SSL |
nfsd(2049)-NFS미사용시 | NFS 서버 데몬 서비스 |
discard(9) | 수신되는 임의 사용자의 데이터를 폐기하는 서비스 |
time(37) | rdate 데몬에 의해 사용되는 RFC 868 시간 서버의 TCP 버전 |
sftp(115) | ftp over SSH |
ntp(123) | ntp(Network Time Protocol) 는 클라이언트와 서버의 시간을 동기화 시킴. |
netbios_ssn(139) | NetBIOS session 서비스, 네트워크 공유 등을 이용한 실제 데이터를 송수신 하는데 사용 됨. |
printer(515) | 원격 프린터에서 스풀링 하는데 사용. |
uucp(540) | 다른 유닉스 시스템들 간에 파일을 복사하고, 다른 시스템 상에서 실행될 명령어들을 보냄 |
ingreslock(1524) | Ingre 데이터 베이스 Lock 서비스 |
dtspcd(6112) | 데스크탑 하위 프로세스 제어 데몬 서비스 |
daytime(13) | daytime은 클라이언트의 질의에 응답하여 아스키 형태로 현재 시간과 날짜를 출력하는 데몬. |
tftp(69) | 파일 전송을 위한 프로토콜. tftp프로토콜은 OS에서는 부팅 디스켓이 없는 워크스테이션이나 네트워크 인식 프린터를 위한 설정 파일의 다운로드, 설치 프로세스의 시작을 위해 사용 됨. |
uucp-path(117) | Uucp path 서비스 |
netbios_ns(137) | NetBIOS name 서비스, 네트워크 상에 자원을 식별하기 위해 사용. |
bftp(152) | binary File Transfer Protocol |
talk(517) | 사용자가 시스템에 원격으로 연결하여 다른 시스템에 로그인하고 있는 사용자와 대화 세션을 시작 할 수 있음. |
pcserver(600) | ECD Integrated PC board srvr, RPC 관련공격에 사용됨. |
www-ldap-gw(1760) | HTTP to LDAP gateway, LDAP 이 웹서버로 데이터베이스의 정보를 전송할 때 사용 |
2. Xenserver 이용한 클라우드 컴퓨팅 서비스를 위해 서버관리용으로 SSH와 VNC를 제공하고 있습니다.
[표2. 클라우드 컴퓨팅 서비스에 불필요한 서비스]
서비스 명 | 서비스 명 | 서비스 명 | 서비스 명 |
---|---|---|---|
FTP | NFS | RPC | SNMP |
Sendmail | SWAT | Samba | NIS, NIS+ |
telnet | RLOGIN | RSH | 기타 |
1. “/etc/xinetd.d” 디렉터리 내의 서비스 중 사용하지 않는 [표1. 불필요한 서비스]를 확인.
2. [표2. 클라우드 컴퓨팅 서비스에 불필요한 서비스]를 참조하여 서비스를 사용하고 있지 않으면 양호.
■ 명령어
# ps –ef | grep [서비스 명]
가. 서비스 필요시
나. 서비스 불필요시
1. 사용하지 않는 [표1. 불필요한 서비스]는 제거하기 바람
■ 명령어
Step 1. “/etc/xinetd.d” 디렉터리 내의 서비스 화일 수정
# vi /etc/xinetd.d/ [서비스 파일명]
Step2. “xinetd.d” 디렉터리 내에서 필요없는 서비스들을 Disable 을 yes 로 설정
/etc/xinetd.d/chargen 파일 service chargen { Disable = yes type = INTERNAL id = chargen-stream socket_type = stream protocol = tcp user = root wait = no }
Step3. service 재 시작
#service xinetd restart
2. 클라우드 컴퓨팅 서비스에 불필요한 [표2. 클라우드 컴퓨팅 서비스에 불필요한 서비스] 제거하기 바람
■ 명령어
# ps -ef | grep [서비스 명] # kill * 9 [프로세스 ID]
관리자가 XenServer에 원격으로 접근이 불필요한 경우에는 관리자 원격 접근을 제한함으로써 비 인가적인 시스템 사용을 방지하여 침해의 가능성을 줄일 수 있습니다.
※ 관리용 원격 접근 제한은 보안담당자 및 담당 매니저와의 협의 필요
■ 명령어
# xsconsole
Step 1. xsconsole의 [Network and Management Interface] 메뉴에서 [Configure Management Interface] 메뉴를 선택한 후 Login
■ 명령어
# xsconsole
Step 2. Login 후 나타나는 [Management Interface Configuration] 화면에서 “Disable Management Interface”를 선택하여 관리용도로 원격에서의 접근을 차단함.
※ 관리용 원격 접근 제한은 보안담당자 및 담당 매니저와의 협의 필요
■ 명령어
# xsconsole
Step 1. xsconsole의 [Remote Service Configuration] 메뉴에서 [Enable/Disable Remote Shell]을 선택한 후 Login
■ 명령어
# xsconsole
Step 2. Login 후 나타나는 [Configure Remote Shell] 화면에서 “Disable”를 선택하여 원격에서의 Shell 접근 차단을 설정함.
1. XenCenter를 사용할 경우
Step 1. 현재 사용중인 전체 네트워크를 확인하여 VLAN으로 설정되어 있는 네트워크를 확인함.
Step 2. 확인된 VLAN이 네트워크 분리가 필요한 Guest OS에 설정되어 있으면 “양호”
1. XenCenter를 사용할 경우
Step 1. XenCenter에서 [XenServer]를 선택 한 후 [Network] 메뉴에서 “Network”의 [Add Network]를 선택함.
Step 2. 네트워크 생성 화면에서 “External Network”를 선택한 후 [Next]를 선택함.
Step 3. 생성하려는 VLAN의 이름, 설명을 입력 한 후 [Next]를 선택함.
Step 4. VLAN을 설정하는 물리적인 NIC 장치를 선택하고, VLAN의 태그를 선택한 후, [Finish]를 선택하여 VLAN을 생성함. ※ 이미 사용중인 태그는 설정이 불가능함.
Step 5. Server Networks에서 생성한 VLAN을 확인할 수 있음.
Step 6. 네트워크 분리가 필요한 Guest OS를 선택하고, [Network]를 선택 한 후 [Add Interface]를 선택함.
※ Guest OS를 종료 되어야 설정이 가능함.
Step 7. “Network”에서 생성한 VLAN을 선택하고, [Add]를 선택하여, Guest OS의 Network를 VLAN으로 설정함.
Step 8. Virtual Network Interfaces에서 Guest OS에 설정된 네트워크를 확인 할 수 있고, 현재 VLAN으로 설정된 것을 확인 할 수 있음.
■ 명령어
# cat /etc/login.defs | grep SULOG_FILE # cat /etc/syslog.conf | grep authpriv.*
■ 명령어
# vi /etc/login.defs 를 실행하여 아래와 같은 설정으로 변경 SULOG_FILE /var/log/sulog 또는 # vi /etc/syslog.conf 파일에서 아래와 같은 설정으로 변경 authpriv.* /var/log/secure
# /etc/rc.d/init.d/syslog restart
[표. XenServer/XenCenter 시스템 로그 파일]
XenServer 로그 위치 |
---|
/val/log/ xensource.log |
/var/log/ xenstored-access.log |
Windwos7 로그 위치 |
%userprofile%\AppData\Roaming\Citrix\XenCenter\logs\ XenCenter Audit Trail.log |
%userprofile%\AppData\Roaming\Citrix\XenCenter\logs\ XenCenter.log |
Windows XP / 2003 로그 위치 |
%userprofile%\AppData\Citrix\XenCenter\logs\ XenCenter Audit Trail.log |
%userprofile%\AppData\Citrix\XenCenter\logs\ XenCenter.log |
Windows Vista 로그 위치 |
%userprofile%\AppData\Citrix\Roaming\XenCenter\logs\ XenCenter Audit Trail.log |
%userprofile%\AppData\Citrix\Roaming\XenCenter\logs \ XenCenter.log |
1. XenServer 로그 파일 확인 방법
(1) “etc/syslog.conf” 파일을 점검하여, info, alert 등에 대한 로그파일 설정을 확인
■ 명령어
# cat /etc/syslog.conf | egrep "info|alert|notice|debug" | egrep "var|log"
(2) “/etc/xensource/log.conf” 파일을 점검하여, info, alert 등에 대한 로그파일 설정을 확인
■ 명령어
# cat /etc/xensource/log.conf | egrep "info|warn|error"
2. XenCenter 로그 파일 확인 방법
Step1. XenCenter에서 [XenServer]를 선택 한 후 [Logs] 메뉴에서 로그를 확인 가능함.
Step1. XenCenter의 메뉴에서 [Help]를 선택한 후 [View Application Log files] 메뉴에서 로그를 확인 가능함.
1. XenServer 로그 파일 설정 방법
(1) “etc/syslog.conf” 파일을 점검하여, info, alert 등에 대한 로그파일을 설정
■ 명령어
# vi /etc/syslog.conf *.notice /var/log/messages *.emerg * *.alert /dev/console
(2) “/etc/xensource/log.conf” 파일을 점검하여, info, warn, error 등에 대한 로그파일을 설정
■ 명령어
# vi /etc/xensorce/log.conf # Set info,warn,error to log to syslog by default info;audit;syslog:local6 warn;;syslog:xapi error;;syslog:xapi # Also print everything (debug<->error) into xensource.log for easier debugging debug;;file:/var/log/xensource.log info;;file:/var/log/xensource.log warn;;file:/var/log/xensource.log error;;file:/var/log/xensource.log
(3) “syslog.conf”와 “log.conf” 파일을 수정한 후에는 이것이 적용되도록 다음의 명령을 사용하여 syslogd 를 restart 시켜줌.
■ 명령어
# ps -ef | grep syslogd # kill -HUP 7524(PS ID)
■ 명령어
# netstat –an | grep "udp" 또는 # netstat –an | grep "udp" | egrep "514"
1. Remote Log 서버 필요시
Remote Log 사용 시 보안담당자 및 담당 매니저와의 협의 필요
2. Remote Log 서버 불필요시
Step 1. Syslog.conf 파일 수정
“/etc/sysconfig/syslog” 파일에 “SYSLOGD_OPTIONS”의 “-r” 옵션 삭제
■ 명령어
# vi /etc/sysconfig/syslog SYSLOGD_OPTIONS="-m 0"
1. XenServer 에서 확인 할 경우
■ 명령어
# cat /etc/xensource/log.conf | grep "info"
2. XenCenter 에서 확인 할 경우
1. XenServer 에서 확인 할 경우
■ 명령어
# vi /etc/xensource/log.conf info;;file:/var/log/xensource.log
2. XenCenter 에서 확인 할 경우
1. 시스템의 기본 로깅 기록은 관리자 이외에 다른 일반 사용자에게 열람할 수 있는 권한을 부여할 필요가 없기 때문에 로깅 기록을 저장하는 파일의 소유자 및 읽기권한을 제한함으로써 보안을 강화하는 것이 필요합니다.
2. 아래의 로그 파일 권한은 시스템 사용자(root, adm, bin 등) 소유자의 타사용자 쓰기권한 제거를 설정합니다.
[표1. 보안강화 적용 로그파일 대상]
로그파일 | XenServer | 로그파일 | XenServer |
---|---|---|---|
xensource | /var/xensource.log | btmp | /var/log/btmp |
xenstored | /var/xenstored-access.log | secure | /var/log/secure |
wtmp | /var/log/wtmp | messages | /var/log/messages |
lastlog | /var/log/lastlog | audit | /var/log/audit.log |
■ 명령어
# ls –alL [로그파일명]
■ 명령어
# chown root [로그파일명] # chmod o-w [로그파일명]
■ 명령어
#vi /usr/lib/newsyslog chmod 644 $LOG (수정전) chmod 640 $LOG (수정 후)
<최신 보안 Patch 적용 기준>
Step 1. XenCenter의 업데이트 관리자를 이용하여 최신 Updates를 확인한다.
Step 2. 발표된 Update 중 현재 사용중인 보안 관련 Update 찾음
Step 3. 해당 Update 를 Download
Step 4. Update 설치
[표 1. XenServer 에서 지원되는 OS 및 소프트웨어]
Update 지원 운영체제 | Update 지원 Application |
---|---|
Microsoft Windows 계열 | • Internet Information Server (IIS) |
• Windows XP Professional, 32 bit, SP2 Required | • Windows Media Player, version 7.0 or later |
• Windows XP Professional 64 bit | • Microsoft SQL Server versions 7.0/2000/2005 |
• Windows 2003 Datacenter | • Microsoft SQL Server Desktop Edition (MSDE) version 1.0 or later |
• Windows 2000 Server, SP4 with Update Rollup 1 | • Exchange 2000 Server and Exchange Server 5.0 |
• Windows 2000 Professional, SP4 Required | • Internet Explorer version 4.0 or later |
• Windows Server 2003, SP1 Required | • Outlook Express version 4.01 or later |
• Windows Server 2003 R2 | • Microsoft Site Server 3.0 |
• Windows Server 2003 x64 | • ISA Server 2000 |
• Windows Server 2003 Standard/Web, 32-bit and 64-bit | • Microsoft .NET Framework, version 1.0 or later |
• Windows Server 2008 | • Microsoft Data Access Components (MDAC) 2.5 or later |
• Windows Vista Business | • BizTalk Server 2000 or later |
• Windows Vista Enterprise | • SNA Server 4.0 |
• Windows Vista Business (x64) | • Host Integration Server 2000 |
• Windows Vista Enterprise (x64) | • WinZip 8.1 or later |
Red Hat Linux 계열 | • Apache 1.3 and 2.0 |
• Red Hat Enterprise Linux AS 3.0 (Update 5 Required) | • Firefox 1.0 or later |
• Red Hat Enterprise Linux ES 3.0 (Update 5 Required) | • RealPlayer 10 or later |
• Red Hat Enterprise Linux AS 4.0 (Update 2 Required) | • Adobe Acrobat Reader |
• Red Hat Enterprise Linux ES 4.0 (Update 2 Required) |
<최신 보안 Patch 적용 기준>
양호 – 최신 Update Patch가 설치되어 있는 경우
취약 – 최신 Update Patch가 설치 되어 있지 않은 경우
1. Guest OS에 OS 및 소프트웨어 배포 전
2. Guest OS에 OS 및 소프트웨어 배포 후
Step 1. 다음의 사이트에서 해당 버전을 찾음
<Windows 계열 일 경우>
http://www.microsoft.com/korea/technet/security/current.asp
http://windowsupdate.microsoft.com/?IE
<Red Hat 계열 일 경우>
http://www.redhat.com/security/updates/
http://www.redhat.com/security/updates/eol/ (Red Hat Linux 9 이하 버전)
<Application 일 경우>
각 Vendor의 사이트에서 최신 패치 정보를 확인함.
Step 2. 발표된 Update 중 현재 사용중인 보안 관련 Update 찾음
Step 3. 해당 Update 를 Download
Step 4. Update 설치
※ OS 및 패치 관리 툴(VMware Update Manager, Hyper-V SCVMM등)을 사용할 경우 버전 체크를 통해 자동으로 Update가 가능함.