현재 위치: WiKi Security Spirit » 보안 하드닝 가이드 » HP-UX 보안가이드라인

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판이전 판
다음 판		이전 판
guide:hpux [2013/07/29 03:13] – [패스워드 사용규칙 적용(중요도 : 상)] wiki1122guide:hpux [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1
줄 27: 줄 27:
   * 로그인 쉘을 /bin/false로 수정하는 것은 보안상 문제가 발생할 수 있으므로 삭제 권고   * 로그인 쉘을 /bin/false로 수정하는 것은 보안상 문제가 발생할 수 있으므로 삭제 권고
  
-==== 일반계정 root 권한 관리(중요도 : 상)+==== 일반계정 root 권한 관리(중요도 : 상) ====
 Root 권한을 가지고 있는 일반 계정이 있는지 점검 Root 권한을 가지고 있는 일반 계정이 있는지 점검
  
줄 58: 줄 58:
  
 <passwd 파일 필드> <passwd 파일 필드>
-  loginID:x:UID:GID:comment:home_directory:login_shell+   loginID:x:UID:GID:comment:home_directory:login_shell 
 + 
 +---- 
 ==== /etc/passwd 파일 권한 설정(중요도 : 상) ==== ==== /etc/passwd 파일 권한 설정(중요도 : 상) ====
 시스템 사용자 계정 정보가 있는 /etc/passwd 파일의 권한 점검 시스템 사용자 계정 정보가 있는 /etc/passwd 파일의 권한 점검
줄 105: 줄 108:
 일반사용자가 group 파일에 접근하여 변조하게 되면 인가되지 않은 사용자가 root 그룹으로 등록되어 인가되지 않은 사용자의 root 권한 획득이 가능합니다. 일반사용자가 group 파일에 접근하여 변조하게 되면 인가되지 않은 사용자가 root 그룹으로 등록되어 인가되지 않은 사용자의 root 권한 획득이 가능합니다.
 group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타 사용자의 쓰기 권한을 제한하여야 합니다. group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타 사용자의 쓰기 권한을 제한하여야 합니다.
 +
 +----
  
 ==== 패스워드 사용규칙 적용(중요도 : 상) ==== ==== 패스워드 사용규칙 적용(중요도 : 상) ====
줄 1194: 줄 1199:
 === 설정방법 === === 설정방법 ===
 <SNMP 서비스 불필요 시> <SNMP 서비스 불필요 시>
-# ps -ef | grep snmp +  # ps -ef | grep snmp 
-root  9546  6970     Dec 05      -  1:11 /usr/sbin/snmpd +    root  9546  6970     Dec 05      -  1:11 /usr/sbin/snmpd 
-# kill –9 9546  or  # /sbin/SnmpAgtStart.d/S560SnmpMaster stop +  # kill –9 9546  or  # /sbin/SnmpAgtStart.d/S560SnmpMaster stop 
-# mv /sbin/ /sbin/SnmpAgtStart.d/S560SnmpMaster /sbin/SnmpAgtStart.d/_S560SnmpMaster+  # mv /sbin/ /sbin/SnmpAgtStart.d/S560SnmpMaster /sbin/SnmpAgtStart.d/_S560SnmpMaster
  
 <SNMP 서비스 필요 시> <SNMP 서비스 필요 시>
-: "/etc/snmp/snmpd.conf" 파일 내 community string을 타인이 추측할 수 없도록 변경  +: "/etc/snmp/snmpd.conf" 파일 내 community string을 타인이 추측할 수 없도록 변경 \\ 
-‘read-community  public‘ 부분의 public 을 <임의의 명>으로 변경 후 서비스 재구동 +‘read-community  public‘ 부분의 public 을 <임의의 명>으로 변경 후 서비스 재구동\\ 
-‘set-community-name:‘ 부분 사용시에는 주의 요망 +‘set-community-name:‘ 부분 사용시에는 주의 요망\\ 
-(public, admin, private 등 쉬운 community name은 사용 제한)+(public, admin, private 등 쉬운 community name은 사용 제한)\\
  
-항목 내용 대책 +^  항목  ^  내용  ^  대책  ^ 
-SNMP Agent 에 디폴트 Community String 사용 SNMP의 Community String이 각각 public, private으로 설정되어 있어서 이를 변경하지 않을 경우, 크래커는 해당 시스템의 중요한 정보를 가져갈 수 있음 권한을 수정하거나 제거하여 하는 것이 좋으며, 특별한 경우엔 정책에 따라 권한을 다르게 부여해야 함 +|SNMP Agent 에 디폴트 Community String 사용  |SNMP의 Community String이 각각 public, private으로 설정되어 있어서 이를 변경하지 않을 경우, 크래커는 해당 시스템의 중요한 정보를 가져갈 수 있음  |권한을 수정하거나 제거하여 하는 것이 좋으며, 특별한 경우엔 정책에 따라 권한을 다르게 부여해야 함  | 
-SNMP를 이용한 네트워크인터페이스 정보 획득 SNMP를 통해서 원격 호스트의 네트워크 인터페이스의 리스트를 얻을 수 있음 SNMP를 사용할 경우에는 community string 을 추측하기 어려운 것으로 설정하도록 함 +|SNMP를 이용한 네트워크인터페이스 정보 획득  |SNMP를 통해서 원격 호스트의 네트워크 인터페이스의 리스트를 얻을 수 있음|  SNMP를 사용할 경우에는 community string 을 추측하기 어려운 것으로 설정하도록 함  | 
-SNMP RPC 서비스 community string 이 public 이나 private 과 같이 디폴트 상태로 되어 있는 경우 시스템 및 네트워크 장비의 정보를 원격에서 알아낼 수 있으며, 시스템의 설정을 변경할 수 있음  SNMP를 사용할 경우 community string를 추측하기 어려운 것으로 변경해야 함 +|SNMP RPC 서비스  |community string 이 public 이나 private 과 같이 디폴트 상태로 되어 있는 경우 시스템 및 네트워크 장비의 정보를 원격에서 알아낼 수 있으며, 시스템의 설정을 변경할 수 있음  |SNMP를 사용할 경우 community string를 추측하기 어려운 것으로 변경해야 함  | 
-SNMP 사용하여 OS type 획득 SNMP를 사용하여 서버의 OS 및 버전정보를 알아낼 수 있음 권한을 수정하거나 제거하여 하는 것이 좋으며, 특별한 경우엔 정책에 따라 권한을 다르게 부여해야 함+|SNMP 사용하여 OS type 획득  |SNMP를 사용하여 서버의 OS 및 버전정보를 알아낼 수 있음  |권한을 수정하거나 제거하여 하는 것이 좋으며, 특별한 경우엔 정책에 따라 권한을 다르게 부여해야 함  |
  
 === 상세설명 === === 상세설명 ===
-SNMP 서비스는 시스템 상태를 실시간으로 파악하는 NMS를 위하여 UNIX 시스템에서 기본적으로 제공하는 서비스이며, 해당 정보를 받기 위한 일종의 패스워드인 Community String이 Default 값인 public, private으로 설정되어 있는 경우가 많기 때문에 이를 변경하지 않으면 이 String을 악용하여 비인가 사용자가 시스템의 주요 정보 및 설정 상황을 파악 할 수 있는 취약성이 존재합니다.+SNMP 서비스는 시스템 상태를 실시간으로 파악하는 NMS를 위하여 UNIX 시스템에서 기본적으로 제공하는 서비스이며, 해당 정보를 받기 위한 일종의 패스워드인 Community String이 Default 값인 public, private으로 설정되어 있는 경우가 많기 때문에 이를 변경하지 않으면 이 String을 악용하여 비인가 사용자가 시스템의 주요 정보 및 설정 상황을 파악 할 수 있는 취약성이 존재합니다.\\
  
-서버에서 SNMP 서비스를 사용하지 않는다면, 즉 NMS에서 해당 서버를 모니터링 하지 않는 등 이라면 SNMP 서비스를 제거하는 것이 바람직합니다.+서버에서 SNMP 서비스를 사용하지 않는다면, 즉 NMS에서 해당 서버를 모니터링 하지 않는 등 이라면 SNMP 서비스를 제거하는 것이 바람직합니다.\\
 SNMP 서비스를 사용할 때는 "/etc/snmp/conf/snmpd.conf 혹은 /etc/snmp/snmpd.conf" 파일에서 community string을 어렵게 변경하는 것이 필요합니다. SNMP 서비스를 사용할 때는 "/etc/snmp/conf/snmpd.conf 혹은 /etc/snmp/snmpd.conf" 파일에서 community string을 어렵게 변경하는 것이 필요합니다.
  
줄 1229: 줄 1234:
  
 === 설정방법 === === 설정방법 ===
-<SMTP 서비스 필요 시 >+<SMTP 서비스 필요 시 >\\
 1) Sendmail Abuse 방지 방법 및 일반 사용자 q옵션 사용 제한 1) Sendmail Abuse 방지 방법 및 일반 사용자 q옵션 사용 제한
   * Sendmail의 기본적인 서비스인 VRFY, EXPN을 다음과 같이 설정 하고 q옵션 제한   * Sendmail의 기본적인 서비스인 VRFY, EXPN을 다음과 같이 설정 하고 q옵션 제한
-# vi /etc/mail/sendmail.cf 파일을 아래와 같이 수정+ 
 +  # vi /etc/mail/sendmail.cf 파일을 아래와 같이 수정
       O PrivacyOptions=authwarnings, noexpn, novrfy, restricqrun       O PrivacyOptions=authwarnings, noexpn, novrfy, restricqrun
  
-2) 취약한 Senmail 버전 사용 제한+2) 취약한 Senmail 버전 사용 제한\\
 1) Sendmail 서비스가 실행되고 있는지 점검 1) Sendmail 서비스가 실행되고 있는지 점검
-# ps –ef | grep sendmail+  # ps –ef | grep sendmail
 2) Sendmail 버전 점검 2) Sendmail 버전 점검
-# telnet localhost 25 +  # telnet localhost 25 
-3) Sendmail의 버전을 확인하고, ftp://ftp.sendmail.org/pub/sendmail 에서 보안 패치가 존재하는지 확인 +3) Sendmail의 버전을 확인하고, ftp://ftp.sendmail.org/pub/sendmail 에서 보안 패치가 존재하는지 확인\\ 
-4) O/S에 따라 설정하는 방법이 다를 수 있으므로, 홈페이지(http://www.sendmail.org/) 에서 해당 OS에 관한 정보를 확인 후 업그레이드 +4) O/S에 따라 설정하는 방법이 다를 수 있으므로, 홈페이지(http://www.sendmail.org/) 에서 해당 OS에 관한 정보를 확인 후 업그레이드 \\
  
-<SMTP 서비스 불필요 시> +<SMTP 서비스 불필요 시>\\ 
-1) 실행중인 서비스 중지 +1) 실행중인 서비스 중지\\ 
-# ps –ef | grep sendmail +  # ps –ef | grep sendmail 
-root  441 1  0 Sep19 ?    00:00:00 sendmail: accepting connections +    root  441 1  0 Sep19 ?    00:00:00 sendmail: accepting connections 
-# kill -9 441+  # kill -9 441
  
 2) 시스템 재 시작시 SMTP Server 가 시작되지 않게 하기 위해서 아래와 같이 수행 2) 시스템 재 시작시 SMTP Server 가 시작되지 않게 하기 위해서 아래와 같이 수행
-# mv  /etc/rc2.d/S88sendmail  /etc/rc2.d/_S88sendmail+  # mv  /etc/rc2.d/S88sendmail  /etc/rc2.d/_S88sendmail
  
 === 상세설명 === === 상세설명 ===
줄 1264: 줄 1270:
 특별한 목적으로 사용하지 않는다면 SMTP 서비스를 제거합니다. 특별한 목적으로 사용하지 않는다면 SMTP 서비스를 제거합니다.
   * sendmail 최신 버전 및 설정 적용 확인   * sendmail 최신 버전 및 설정 적용 확인
-① vrfy, expn 명령어 제거 및 일반 사용자의 q 옵션을 사용한 실행 방지 +① vrfy, expn 명령어 제거 및 일반 사용자의 q 옵션을 사용한 실행 방지\\ 
-② sendmail 8.14.4 이상 사용  +② sendmail 8.14.4 이상 사용 \\ 
-③ 메일 릴레이 기능 제한 +③ 메일 릴레이 기능 제한\\ 
-④ Address Parser 취약점에 대한 패치 필요+④ Address Parser 취약점에 대한 패치 필요\\ 
 ※ SMTP 설정에 따라 sendmail.cf 파일 위치가 상이할 수 있습니다. ※ SMTP 설정에 따라 sendmail.cf 파일 위치가 상이할 수 있습니다.
  
줄 1283: 줄 1290:
 === 설정방법 === === 설정방법 ===
 <DNS 서비스 필요 시> <DNS 서비스 필요 시>
-<BIND8 DNS 설정(/etc/named.conf) 수정 예> +  <BIND8 DNS 설정(/etc/named.conf) 수정 예> 
-options { +    options { 
-            allow-transfer {존 파일 전송을 허용하고자 하는 IP;}; +                allow-transfer {존 파일 전송을 허용하고자 하는 IP;}; 
-};+    };
  
-<BIND4.9 DNS 설정(/etc/named.boot) 수정 예> +  <BIND4.9 DNS 설정(/etc/named.boot) 수정 예> 
-Options +    Options 
- xfrnets 허용하고자 하는 IP+     xfrnets 허용하고자 하는 IP
  
 <서비스 불필요 시> <서비스 불필요 시>
 1) 실행중인 서비스 중지 1) 실행중인 서비스 중지
-# ps -ef | grep named +  # ps -ef | grep named 
-  root   279      0   Sep 22 ?        1:17 /usr/sbin/in.named +    root   279      0   Sep 22 ?        1:17 /usr/sbin/in.named 
-# kill -9 279+  # kill -9 279
  
 2) 시스템 재시작시 DNS Server 가 시작되지 않도록 함 2) 시스템 재시작시 DNS Server 가 시작되지 않도록 함
-# mv  /etc/rc3.d/ S79named  /etc/rc3.d/_S79named+  # mv  /etc/rc3.d/ S79named  /etc/rc3.d/_S79named 
 +  
 === 상세설명 === === 상세설명 ===
 일반적으로 Zone Transfer는 Primary Name Server와 Secondary Name Server의 Zone 정보를 일관성 있게 유지하기 위해 이루어지기 때문에 Secondary Name Server로만 Zone Transfer를 할 수 있도록 하면 됩니다. 일반적으로 Zone Transfer는 Primary Name Server와 Secondary Name Server의 Zone 정보를 일관성 있게 유지하기 위해 이루어지기 때문에 Secondary Name Server로만 Zone Transfer를 할 수 있도록 하면 됩니다.
줄 1305: 줄 1313:
 만약, 허가되지 않는 사용자에게 Zone Transfer를 허용할 경우 공격자는 전송 받은 Zone 정보를 이용하여 호스트 정보, 네트워크 구성 형태 등의 많은 정보를 파악할 수 있게 되며, DNS 서버를 디폴트로 설치할 경우 임의의 사용자가 Zone Transfer 를 할 수 있도록 설정됩니다. 만약, 허가되지 않는 사용자에게 Zone Transfer를 허용할 경우 공격자는 전송 받은 Zone 정보를 이용하여 호스트 정보, 네트워크 구성 형태 등의 많은 정보를 파악할 수 있게 되며, DNS 서버를 디폴트로 설치할 경우 임의의 사용자가 Zone Transfer 를 할 수 있도록 설정됩니다.
  
-시스템 초기 설치 후, Default 구성을 그대로 사용한다면 DNS서비스를 사용하지 않음에도 불구하고 DNS 서비스가 기동되어 있는 경우가 있으므로, 불필요한 DNS 서비스는 제거해야 합니다.+시스템 초기 설치 후, Default 구성을 그대로 사용한다면 DNS서비스를 사용하지 않음에도 불구하고 DNS 서비스가 기동되어 있는 경우가 있으므로, 불필요한 DNS 서비스는 제거해야 합니다.\\
 만약, DNS 서비스를 사용한다면, DNS설정을 통해 내부 Zone 파일을 임의의 외부 서버에서 전송 받지 못하게 하고, 아무나 쿼리 응답을 받을 수 없도록 수정해야 하고 보안을 위한 버전 패치를 해야 합니다. 만약, DNS 서비스를 사용한다면, DNS설정을 통해 내부 Zone 파일을 임의의 외부 서버에서 전송 받지 못하게 하고, 아무나 쿼리 응답을 받을 수 없도록 수정해야 하고 보안을 위한 버전 패치를 해야 합니다.
  
 BIND(Berkeley Internet Name Domain)는 현재(2012. 11)기준으로 BIND 9.9.2-P1 버전이 나왔으며, 이하 버전에서는 거의 모든 취약점이 존재하고 있습니다. BIND(Berkeley Internet Name Domain)는 현재(2012. 11)기준으로 BIND 9.9.2-P1 버전이 나왔으며, 이하 버전에서는 거의 모든 취약점이 존재하고 있습니다.
  
-ISC의 BIND 8 버전에 대한 보안 및 시스템 업데이트 지원이 2007.8.27부터 중단됨에 따라, 향후에 발생할 수 있는 보안 취약점에 대비하고, 시스템 성능 향상을 위하여 BIND 9 버전으로의     업그레이드를 권고합니다. (https://www.isc.org/downloads)+ISC의 BIND 8 버전에 대한 보안 및 시스템 업데이트 지원이 2007.8.27부터 중단됨에 따라, 향후에 발생할 수 있는 보안 취약점에 대비하고, 시스템 성능 향상을 위하여 BIND 9 버전으로의 업그레이드를 권고합니다. (https://www.isc.org/downloads)
  
   * BIND는 거의 모든 버전이 취약한 상태로서 BIND 9.9.2-P1 이상 버전으로 업데이트 필요   * BIND는 거의 모든 버전이 취약한 상태로서 BIND 9.9.2-P1 이상 버전으로 업데이트 필요
   * 다음은 최근 BIND 취약점들이며, 취약점 버전을 사용하는 시스템은 업그레이드 필요   * 다음은 최근 BIND 취약점들이며, 취약점 버전을 사용하는 시스템은 업그레이드 필요
 +
 서비스 거부(Denial-of-Service)(CVE-2009-4022) 취약점 : 9.6.0이전 버전 서비스 거부(Denial-of-Service)(CVE-2009-4022) 취약점 : 9.6.0이전 버전
  
줄 1332: 줄 1341:
 <SWAT 서비스 불필요 시> <SWAT 서비스 불필요 시>
 1) SWAT을 사용할 필요가 없다면 아래와 같이 구동 중지 1) SWAT을 사용할 필요가 없다면 아래와 같이 구동 중지
-# vi /etc/inetd.conf 파일 실행하여 아래와 같이 내용 수정 +  # vi /etc/inetd.conf 파일 실행하여 아래와 같이 내용 수정 
-(수정 전)  swat    stream tcp   nowait.400 root /opt/samba/bin/swat swat  +  (수정 전)  swat    stream tcp   nowait.400 root /opt/samba/bin/swat swat  
-(수정 후) #swat    stream tcp   nowait.400 root /opt/samba/bin/swat swat +  (수정 후) #swat    stream tcp   nowait.400 root /opt/samba/bin/swat swat 
  
 2) inetd 재구동 2) inetd 재구동
-# inetd –c +  # inetd –c 
  
 === 상세설명 === === 상세설명 ===
 SWAT(Samba Web Administration Tool)은 잘못된 사용자와 비밀번호를 입력하였을 때 아래와 같이 서로 다른 메시지를 출력합니다. SWAT(Samba Web Administration Tool)은 잘못된 사용자와 비밀번호를 입력하였을 때 아래와 같이 서로 다른 메시지를 출력합니다.
  
-사용자 ID는 맞고 비밀번호만 틀렸을 때 : +  사용자 ID는 맞고 비밀번호만 틀렸을 때 : 
-401 Authorization Required. +    401 Authorization Required. 
-You must be authenticated to use this service. +    You must be authenticated to use this service. 
- +   
-사용자 ID, 비밀번호 모두 틀렸을 때 : +  사용자 ID, 비밀번호 모두 틀렸을 때 : 
-401 Bad Authorization +    401 Bad Authorization 
-username/password must be supplied+    username/password must be supplied
  
 이렇게 서로 다른 메시지를 이용하여 일률적으로 사용자 ID와 비밀번호를 대입하는 강제 공격(brute-force)으로 그 메시지에 따라 사용자 ID를 알아낼 수 있습니다. 이렇게 서로 다른 메시지를 이용하여 일률적으로 사용자 ID와 비밀번호를 대입하는 강제 공격(brute-force)으로 그 메시지에 따라 사용자 ID를 알아낼 수 있습니다.
줄 1363: 줄 1372:
  
 === 설정방법 === === 설정방법 ===
-<Samba 서비스 필요 시> +<Samba 서비스 필요 시> \\
 서비스를 위해 사용시에는 Version 3.6.2 업그레이드 서비스를 위해 사용시에는 Version 3.6.2 업그레이드
  
-<Samba 서비스 불필요 시> +<Samba 서비스 불필요 시> \\
 1) Samba를 사용할 필요가 없다면 아래와 같이 구동중지 1) Samba를 사용할 필요가 없다면 아래와 같이 구동중지
-# ps –ef | grep smb +  # ps –ef | grep smb 
-538 ? 00:00:00 smbd +    538 ? 00:00:00 smbd 
-# kill -9 538+  # kill -9 538
  
 2) 부팅스크립트 삭제 2) 부팅스크립트 삭제
-# mv /etc/rc3.d/S90samba /etc/rc3.d/_S90samba+  # mv /etc/rc3.d/S90samba /etc/rc3.d/_S90samba
  
 === 상세설명 === === 상세설명 ===
줄 1381: 줄 1390:
   * 다음은 최근 Samba 취약점들이며, 취약점 버전을 사용하는 시스템은 업그레이드 필요합니다.   * 다음은 최근 Samba 취약점들이며, 취약점 버전을 사용하는 시스템은 업그레이드 필요합니다.
  
-Samba Information Disclosure and Denial of Service (CVE-2009-2906) 취약점 : 3.4 이전 버전 +Samba Information Disclosure and Denial of Service (CVE-2009-2906) 취약점 : 3.4 이전 버전\\ 
-※ Samba 취약점 버전에 대해서 패치를 제공하므로 취약점에 대해서 패치 할 것을 권고 +※ Samba 취약점 버전에 대해서 패치를 제공하므로 취약점에 대해서 패치 할 것을 권고(http://www.samba.org/samba/history/security.html)
-   (http://www.samba.org/samba/history/security.html)+
  
 ==== SSH(Secure Shell)버전 취약성(중요도 : 중) ==== ==== SSH(Secure Shell)버전 취약성(중요도 : 중) ====
줄 1396: 줄 1404:
  
 === 설정방법 === === 설정방법 ===
-<SSH 서비스 필요시> +<SSH 서비스 필요시>\\ 
-1) 최신버전의 SSH를 설치하여 운영하는 것을 권고+1) 최신버전의 SSH를 설치하여 운영하는 것을 권고\\
 최신 SSH버전은 현재(2012/11/31)기준으로 openSSH 6.1이며, openSSH 6.1이상의 버전을 사용할 것을 권장 (openSSH는 http://www.openssh.org에서 다운 가능) 최신 SSH버전은 현재(2012/11/31)기준으로 openSSH 6.1이며, openSSH 6.1이상의 버전을 사용할 것을 권장 (openSSH는 http://www.openssh.org에서 다운 가능)
  
-<서비스 불필요시> +<서비스 불필요시>\\ 
-1) 실행중인 서비스를 중지 +1) 실행중인 서비스를 중지\\ 
-# ps –ef | grep sshd +  # ps –ef | grep sshd 
-root    414  0.0  0.7  2672 1692  /usr/sbin/sshd +    root    414  0.0  0.7  2672 1692  /usr/sbin/sshd 
-# kill -9 414+  # kill -9 414
  
 2) SSH가 시작되지 않도록 시작스크립트의 파일명 변경 (OS 마다 시작스크립트 위치 다름) 2) SSH가 시작되지 않도록 시작스크립트의 파일명 변경 (OS 마다 시작스크립트 위치 다름)
-# ls –al /etc/rc*.d/* | grep sshd   (시작스크립트 파일 위치 확인) +  # ls –al /etc/rc*.d/* | grep sshd   (시작스크립트 파일 위치 확인) 
-# mv  /etc/rc2.d/S55sshd  /etc/rc2.d/_S55sshd+  # mv  /etc/rc2.d/S55sshd  /etc/rc2.d/_S55sshd
  
 ※ SSH 설정에 따라 /opt/ssh/etc/sshd_config 파일 위치가 상이할 수 있음 ※ SSH 설정에 따라 /opt/ssh/etc/sshd_config 파일 위치가 상이할 수 있음
줄 1418: 줄 1426:
  
   * 다음은 OpenSSH 취약점들이며, 취약점 버전을 사용하는 시스템은 업그레이드가 필요합니다.   * 다음은 OpenSSH 취약점들이며, 취약점 버전을 사용하는 시스템은 업그레이드가 필요합니다.
-Plaintext Recovery Attack Against SSH 취약점 : 5.1 이전 버전 +Plaintext Recovery Attack Against SSH 취약점 : 5.1 이전 버전\\ 
-X11UseLocalhost=no hijacking attack(CVE-2008-1483) 취약점 : OpenSSH 5.0 이전 버전+X11UseLocalhost=no hijacking attack(CVE-2008-1483) 취약점 : OpenSSH 5.0 이전 버전\\
  
 ==== x-server접속 제한 설정(중요도 : 상) ==== ==== x-server접속 제한 설정(중요도 : 상) ====
줄 1450: 줄 1458:
 최신 보안패치 및 버그 Fix 된 패치 설치 최신 보안패치 및 버그 Fix 된 패치 설치
  
-"swlist –l fileset | grep patch"로 서버에 적용되어 있는 패치 리스트를 확인+"swlist –l fileset | grep patch"로 서버에 적용되어 있는 패치 리스트를 확인\\
 HPUX 는 다양한 하드웨어 플랫폼과 OS로 인해 General한 Security Patch가 공개되어 있지 않음 그리고, security_patch_check 라는 프로그램(펄 스크립트)을 서버에 설치/실행하여 서버의 취약한 Security Patch 리스트를 얻을 수 있음 HPUX 는 다양한 하드웨어 플랫폼과 OS로 인해 General한 Security Patch가 공개되어 있지 않음 그리고, security_patch_check 라는 프로그램(펄 스크립트)을 서버에 설치/실행하여 서버의 취약한 Security Patch 리스트를 얻을 수 있음
  
줄 1457: 줄 1465:
 security_patch_check 를 사용하기 위해서는 Service Control Manager 라는 도구를 서버에 설치하여야 하며, security_patch_check 사용관련 내용은 비고란을 참조 바람 security_patch_check 를 사용하기 위해서는 Service Control Manager 라는 도구를 서버에 설치하여야 하며, security_patch_check 사용관련 내용은 비고란을 참조 바람
  
-<패치 적용의 예>+<패치 적용의 예>\\
 1) 수작업에 의한 패치 적용 1) 수작업에 의한 패치 적용
  
-운영자에 의한 패치 적용 방법은 아래와 같은 단계에 의해 설정 +운영자에 의한 패치 적용 방법은 아래와 같은 단계에 의해 설정\\ 
-(1) http://www11.itrc.hp.com/service/patch/mainPage.do 접속 +(1) http://www11.itrc.hp.com/service/patch/mainPage.do 접속\\ 
-(2) HPUX 선택하여 해당 페이지 이동 +(2) HPUX 선택하여 해당 페이지 이동\\ 
-(3) 해당되는 H/W, OS 를 선택 +(3) 해당되는 H/W, OS 를 선택\\ 
-(4) 키워드, Patch-ID, Patch 리스트 옵션을 선택하여 검색 +(4) 키워드, Patch-ID, Patch 리스트 옵션을 선택하여 검색\\ 
-(5) 검색 결과를 받음 +(5) 검색 결과를 받음\\ 
-(6) 필요한 패치를 선택하여 다운로드 받음 +(6) 필요한 패치를 선택하여 다운로드 받음\\ 
-(7) 패치간의 dependency를 고려하여 적용할 패치를 결정+(7) 패치간의 dependency를 고려하여 적용할 패치를 결정\\
  
 2) Custom Patch Manager에 의한 패치 적용 2) Custom Patch Manager에 의한 패치 적용
줄 1473: 줄 1481:
 CPM(Custom Patch Manager)는 해당 시스템에 적합한 패치를 선택하고 다운로드 받을 수 있도록 하는 툴임. CPM을 이용하여 환경에서 설정된 일정기간 간격 별로 패치를 자동 적용할 수 있으며, dependency관계나 conflict 관계를 자동 분석하여 적용할 패치를 결정해줌. CPM을 이용하는 단계는 다음과 같음 CPM(Custom Patch Manager)는 해당 시스템에 적합한 패치를 선택하고 다운로드 받을 수 있도록 하는 툴임. CPM을 이용하여 환경에서 설정된 일정기간 간격 별로 패치를 자동 적용할 수 있으며, dependency관계나 conflict 관계를 자동 분석하여 적용할 패치를 결정해줌. CPM을 이용하는 단계는 다음과 같음
  
-(1) ITRC 웹사이트에 (http://itrc.hp.com)이동하여 로그인 +(1) ITRC 웹사이트에 (http://itrc.hp.com)이동하여 로그인\\ 
-(2) maintenance/support 링크를 클릭한 후 customized patch bundles를 선택 +(2) maintenance/support 링크를 클릭한 후 customized patch bundles를 선택\\ 
-(3) cpm_collect.sh 스크립트를 다운로드 받아 실행하여 현재 configuration에 대한 정보를 취합 +(3) cpm_collect.sh 스크립트를 다운로드 받아 실행하여 현재 configuration에 대한 정보를 취합\\ 
-(4) cpm_collect.sh 스크립트를 돌려 얻은 configuration에 대해 얻은 결과를 ITRC페이지에 업로드 +(4) cpm_collect.sh 스크립트를 돌려 얻은 configuration에 대해 얻은 결과를 ITRC페이지에 업로드\\ 
-(5) Perform Patch Analysis를 클릭함으로써 필요한 candidate patch list를 얻음 +(5) Perform Patch Analysis를 클릭함으로써 필요한 candidate patch list를 얻음\\ 
-(6) 선택한 패치간의 conflict가 없는지 점검 +(6) 선택한 패치간의 conflict가 없는지 점검\\ 
-(7) 선택한 패치를 Package버튼을 선택함으로써 다운로드 받은 후 패치를 설치+(7) 선택한 패치를 Package버튼을 선택함으로써 다운로드 받은 후 패치를 설치\\
  
 <패치적용> <패치적용>
   * "swlist –l product" 로 서버에 적용되어 있는 패치 리스트를 확인   * "swlist –l product" 로 서버에 적용되어 있는 패치 리스트를 확인
-  * OS별, 제품별, 보안관련 분류되어 패치파일을 제공 : http://itrc.hp.com/ +  * OS별, 제품별, 보안관련 분류되어 패치파일을 제공 : http://itrc.hp.com/\\ : http://www.software.hp.com/cgi-bin/swdepot_parser.cgi/cgi/displayProductInfo.pl?productNumber=B6834AA
-: http://www.software.hp.com/cgi-bin/swdepot_parser.cgi/cgi/displayProductInfo.pl? +
-productNumber=B6834AA+
  
 <패치적용의 예> <패치적용의 예>
-# mkdir /var/spool/patch +  # mkdir /var/spool/patch 
 위와 같은 디렉터리를 만들어 Patch 파일을 관리 위와 같은 디렉터리를 만들어 Patch 파일을 관리
  
   * 패치 설치 순서   * 패치 설치 순서
 (예) : Patch: PHCO_16341: HP AutoRAID Manager cumulative patch 를 적용 (예) : Patch: PHCO_16341: HP AutoRAID Manager cumulative patch 를 적용
-# swlist –l fileset | grep PHCO_16341 (System에 patch가 설치 되어 있는 지 확인) +  # swlist –l fileset | grep PHCO_16341 (System에 patch가 설치 되어 있는 지 확인) 
-PHCO_16341.txt +    PHCO_16341.txt 
-# sh PHCO_16341.txt +  # sh PHCO_16341.txt 
-# ls  +  # ls  
-PHCO_16341.txt   PHCO_16341.depot  PHCO_16341.text +    PHCO_16341.txt   PHCO_16341.depot  PHCO_16341.text 
-# swinstall –s /var/spool/patch /PHCO_16341.depot +  # swinstall –s /var/spool/patch /PHCO_16341.depot 
-#swlist –l fileset | grep PHCO_16341 (설치된 patch 확인)+  #swlist –l fileset | grep PHCO_16341 (설치된 patch 확인)
  
-<설치 시 주의사항>+<설치 시 주의사항>\\
 ※ Patch적용 후에 Rebooting이 필요한 경우가 있으므로 README-Patch-ID 파일을 주의 깊게 보아야 함 ※ Patch적용 후에 Rebooting이 필요한 경우가 있으므로 README-Patch-ID 파일을 주의 깊게 보아야 함
  
줄 1509: 줄 1515:
 시스템의 보안성 및 안전성을 위하여 주기적으로 패치를 적용하는 것이 바람직하나, 아래의 사항을 고려하여 OS벤더 엔지니어의 충분한 검토 후 서버에서 운용중인 서비스에 아무런 영향이 없다고 판단될 때 OS벤더 엔지니어의 작업 하에 패치를 적용해야 합니다. 시스템의 보안성 및 안전성을 위하여 주기적으로 패치를 적용하는 것이 바람직하나, 아래의 사항을 고려하여 OS벤더 엔지니어의 충분한 검토 후 서버에서 운용중인 서비스에 아무런 영향이 없다고 판단될 때 OS벤더 엔지니어의 작업 하에 패치를 적용해야 합니다.
  
-No 패치 적용시 고려 및 준수해야 할 사항 +^  No   패치 적용시 고려 및 준수해야 할 사항  ^ 
-1 해당 패치가 시스템 자체에 미칠 수 있는 영향을 OS 벤더측에서 검토 후, 이상이 없을 때 패치를 적용 +|   |해당 패치가 시스템 자체에 미칠 수 있는 영향을 OS 벤더측에서 검토 후, 이상이 없을 때 패치를 적용     | 
-2 해당 패치가 시스템에서 운용중인 서비스 프로그램에 미칠 수 있는 영향을 OS벤더측과 서비스 프로그램(즉 응용프로그램) 개발자측과 함께 검토 후, 이상이 없을 때 패치를 적용 +|   |해당 패치가 시스템에서 운용중인 서비스 프로그램에 미칠 수 있는 영향을 OS벤더측과 서비스 프로그램(즉 응용프로그램) 개발자측과 함께 검토 후, 이상이 없을 때 패치를 적용   | 
-3 패치 적용 후 예기치 않은 서비스의 중지에 대비하여, 패치 작업을 실시하기 전에 Roll-Back 및 비상복구 절차 수립 및 테스트 필요 +|   |패치 적용 후 예기치 않은 서비스의 중지에 대비하여, 패치 작업을 실시하기 전에 Roll-Back 및 비상복구 절차 수립 및 테스트 필요   | 
-4 패치 적용 전/후 시스템에 대한 Full Backup을 실시+|   |패치 적용 전/후 시스템에 대한 Full Backup을 실시.    |

추적: