차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
양쪽 이전 판이전 판다음 판 | 이전 판다음 판양쪽 다음 판 | ||
guide:hpux [2013/07/29 08:06] – [DNS(Domain Name Service)보안 설정(중요도 : 중)] wiki1122 | guide:hpux [2013/07/29 11:31] – 121.140.71.41 | ||
---|---|---|---|
줄 27: | 줄 27: | ||
* 로그인 쉘을 / | * 로그인 쉘을 / | ||
- | ==== 일반계정 root 권한 관리(중요도 : 상) | + | ==== 일반계정 root 권한 관리(중요도 : 상) ==== |
Root 권한을 가지고 있는 일반 계정이 있는지 점검 | Root 권한을 가지고 있는 일반 계정이 있는지 점검 | ||
줄 58: | 줄 58: | ||
<passwd 파일 필드> | <passwd 파일 필드> | ||
- | | + | loginID: |
+ | |||
+ | ---- | ||
==== /etc/passwd 파일 권한 설정(중요도 : 상) ==== | ==== /etc/passwd 파일 권한 설정(중요도 : 상) ==== | ||
시스템 사용자 계정 정보가 있는 /etc/passwd 파일의 권한 점검 | 시스템 사용자 계정 정보가 있는 /etc/passwd 파일의 권한 점검 | ||
줄 105: | 줄 108: | ||
일반사용자가 group 파일에 접근하여 변조하게 되면 인가되지 않은 사용자가 root 그룹으로 등록되어 인가되지 않은 사용자의 root 권한 획득이 가능합니다. | 일반사용자가 group 파일에 접근하여 변조하게 되면 인가되지 않은 사용자가 root 그룹으로 등록되어 인가되지 않은 사용자의 root 권한 획득이 가능합니다. | ||
group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타 사용자의 쓰기 권한을 제한하여야 합니다. | group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타 사용자의 쓰기 권한을 제한하여야 합니다. | ||
+ | |||
+ | ---- | ||
==== 패스워드 사용규칙 적용(중요도 : 상) ==== | ==== 패스워드 사용규칙 적용(중요도 : 상) ==== | ||
줄 1194: | 줄 1199: | ||
=== 설정방법 === | === 설정방법 === | ||
<SNMP 서비스 불필요 시> | <SNMP 서비스 불필요 시> | ||
- | # ps -ef | grep snmp | + | |
- | root 9546 6970 | + | root 9546 6970 |
- | # kill –9 9546 or # / | + | # kill –9 9546 or # / |
- | # mv /sbin/ / | + | # mv /sbin/ / |
<SNMP 서비스 필요 시> | <SNMP 서비스 필요 시> | ||
- | : "/ | + | : "/ |
- | ‘read-community | + | ‘read-community |
- | ‘set-community-name: | + | ‘set-community-name: |
- | (public, admin, private 등 쉬운 community name은 사용 제한) | + | (public, admin, private 등 쉬운 community name은 사용 제한)\\ |
- | 항목 내용 대책 | + | ^ |
- | SNMP Agent 에 디폴트 Community String 사용 SNMP의 Community String이 각각 public, private으로 설정되어 있어서 이를 변경하지 않을 경우, 크래커는 해당 시스템의 중요한 정보를 가져갈 수 있음 권한을 수정하거나 제거하여 하는 것이 좋으며, 특별한 경우엔 정책에 따라 권한을 다르게 부여해야 함 | + | |SNMP Agent 에 디폴트 Community String 사용 |
- | SNMP를 이용한 네트워크인터페이스 정보 획득 SNMP를 통해서 원격 호스트의 네트워크 인터페이스의 리스트를 얻을 수 있음 SNMP를 사용할 경우에는 community string 을 추측하기 어려운 것으로 설정하도록 함 | + | |SNMP를 이용한 네트워크인터페이스 정보 획득 |
- | SNMP RPC 서비스 community string 이 public 이나 private 과 같이 디폴트 상태로 되어 있는 경우 시스템 및 네트워크 장비의 정보를 원격에서 알아낼 수 있으며, 시스템의 설정을 변경할 수 있음 | + | |SNMP RPC 서비스 |
- | SNMP 사용하여 OS type 획득 SNMP를 사용하여 서버의 OS 및 버전정보를 알아낼 수 있음 권한을 수정하거나 제거하여 하는 것이 좋으며, 특별한 경우엔 정책에 따라 권한을 다르게 부여해야 함 | + | |SNMP 사용하여 OS type 획득 |
=== 상세설명 === | === 상세설명 === | ||
- | SNMP 서비스는 시스템 상태를 실시간으로 파악하는 NMS를 위하여 UNIX 시스템에서 기본적으로 제공하는 서비스이며, | + | SNMP 서비스는 시스템 상태를 실시간으로 파악하는 NMS를 위하여 UNIX 시스템에서 기본적으로 제공하는 서비스이며, |
- | 서버에서 SNMP 서비스를 사용하지 않는다면, | + | 서버에서 SNMP 서비스를 사용하지 않는다면, |
SNMP 서비스를 사용할 때는 "/ | SNMP 서비스를 사용할 때는 "/ | ||
줄 1229: | 줄 1234: | ||
=== 설정방법 === | === 설정방법 === | ||
- | <SMTP 서비스 필요 시 > | + | <SMTP 서비스 필요 시 >\\ |
1) Sendmail Abuse 방지 방법 및 일반 사용자 q옵션 사용 제한 | 1) Sendmail Abuse 방지 방법 및 일반 사용자 q옵션 사용 제한 | ||
* Sendmail의 기본적인 서비스인 VRFY, EXPN을 다음과 같이 설정 하고 q옵션 제한 | * Sendmail의 기본적인 서비스인 VRFY, EXPN을 다음과 같이 설정 하고 q옵션 제한 | ||
- | # vi / | + | |
+ | | ||
O PrivacyOptions=authwarnings, | O PrivacyOptions=authwarnings, | ||
- | 2) 취약한 Senmail 버전 사용 제한 | + | 2) 취약한 Senmail 버전 사용 제한\\ |
1) Sendmail 서비스가 실행되고 있는지 점검 | 1) Sendmail 서비스가 실행되고 있는지 점검 | ||
- | # ps –ef | grep sendmail | + | |
2) Sendmail 버전 점검 | 2) Sendmail 버전 점검 | ||
- | # telnet localhost 25 | + | |
- | 3) Sendmail의 버전을 확인하고, | + | 3) Sendmail의 버전을 확인하고, |
- | 4) O/S에 따라 설정하는 방법이 다를 수 있으므로, | + | 4) O/S에 따라 설정하는 방법이 다를 수 있으므로, |
- | <SMTP 서비스 불필요 시> | + | <SMTP 서비스 불필요 시>\\ |
- | 1) 실행중인 서비스 중지 | + | 1) 실행중인 서비스 중지\\ |
- | # ps –ef | grep sendmail | + | # ps –ef | grep sendmail |
- | root 441 1 0 Sep19 ? 00:00:00 sendmail: accepting connections | + | root 441 1 0 Sep19 ? 00:00:00 sendmail: accepting connections |
- | # kill -9 441 | + | # kill -9 441 |
2) 시스템 재 시작시 SMTP Server 가 시작되지 않게 하기 위해서 아래와 같이 수행 | 2) 시스템 재 시작시 SMTP Server 가 시작되지 않게 하기 위해서 아래와 같이 수행 | ||
- | # mv / | + | |
=== 상세설명 === | === 상세설명 === | ||
줄 1264: | 줄 1270: | ||
특별한 목적으로 사용하지 않는다면 SMTP 서비스를 제거합니다. | 특별한 목적으로 사용하지 않는다면 SMTP 서비스를 제거합니다. | ||
* sendmail 최신 버전 및 설정 적용 확인 | * sendmail 최신 버전 및 설정 적용 확인 | ||
- | ① vrfy, expn 명령어 제거 및 일반 사용자의 q 옵션을 사용한 실행 방지 | + | ① vrfy, expn 명령어 제거 및 일반 사용자의 q 옵션을 사용한 실행 방지\\ |
- | ② sendmail 8.14.4 이상 사용 | + | ② sendmail 8.14.4 이상 사용 |
- | ③ 메일 릴레이 기능 제한 | + | ③ 메일 릴레이 기능 제한\\ |
- | ④ Address Parser 취약점에 대한 패치 필요 | + | ④ Address Parser 취약점에 대한 패치 필요\\ |
※ SMTP 설정에 따라 sendmail.cf 파일 위치가 상이할 수 있습니다. | ※ SMTP 설정에 따라 sendmail.cf 파일 위치가 상이할 수 있습니다. | ||