차이
문서의 선택한 두 판 사이의 차이를 보여줍니다.
양쪽 이전 판이전 판다음 판 | 이전 판 | ||
guide:hpux [2013/07/29 03:13] – [패스워드 사용규칙 적용(중요도 : 상)] wiki1122 | guide:hpux [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1 | ||
---|---|---|---|
줄 27: | 줄 27: | ||
* 로그인 쉘을 / | * 로그인 쉘을 / | ||
- | ==== 일반계정 root 권한 관리(중요도 : 상) | + | ==== 일반계정 root 권한 관리(중요도 : 상) ==== |
Root 권한을 가지고 있는 일반 계정이 있는지 점검 | Root 권한을 가지고 있는 일반 계정이 있는지 점검 | ||
줄 58: | 줄 58: | ||
<passwd 파일 필드> | <passwd 파일 필드> | ||
- | | + | loginID: |
+ | |||
+ | ---- | ||
==== /etc/passwd 파일 권한 설정(중요도 : 상) ==== | ==== /etc/passwd 파일 권한 설정(중요도 : 상) ==== | ||
시스템 사용자 계정 정보가 있는 /etc/passwd 파일의 권한 점검 | 시스템 사용자 계정 정보가 있는 /etc/passwd 파일의 권한 점검 | ||
줄 105: | 줄 108: | ||
일반사용자가 group 파일에 접근하여 변조하게 되면 인가되지 않은 사용자가 root 그룹으로 등록되어 인가되지 않은 사용자의 root 권한 획득이 가능합니다. | 일반사용자가 group 파일에 접근하여 변조하게 되면 인가되지 않은 사용자가 root 그룹으로 등록되어 인가되지 않은 사용자의 root 권한 획득이 가능합니다. | ||
group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타 사용자의 쓰기 권한을 제한하여야 합니다. | group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타 사용자의 쓰기 권한을 제한하여야 합니다. | ||
+ | |||
+ | ---- | ||
==== 패스워드 사용규칙 적용(중요도 : 상) ==== | ==== 패스워드 사용규칙 적용(중요도 : 상) ==== | ||
줄 1194: | 줄 1199: | ||
=== 설정방법 === | === 설정방법 === | ||
<SNMP 서비스 불필요 시> | <SNMP 서비스 불필요 시> | ||
- | # ps -ef | grep snmp | + | |
- | root 9546 6970 | + | root 9546 6970 |
- | # kill –9 9546 or # / | + | # kill –9 9546 or # / |
- | # mv /sbin/ / | + | # mv /sbin/ / |
<SNMP 서비스 필요 시> | <SNMP 서비스 필요 시> | ||
- | : "/ | + | : "/ |
- | ‘read-community | + | ‘read-community |
- | ‘set-community-name: | + | ‘set-community-name: |
- | (public, admin, private 등 쉬운 community name은 사용 제한) | + | (public, admin, private 등 쉬운 community name은 사용 제한)\\ |
- | 항목 내용 대책 | + | ^ |
- | SNMP Agent 에 디폴트 Community String 사용 SNMP의 Community String이 각각 public, private으로 설정되어 있어서 이를 변경하지 않을 경우, 크래커는 해당 시스템의 중요한 정보를 가져갈 수 있음 권한을 수정하거나 제거하여 하는 것이 좋으며, 특별한 경우엔 정책에 따라 권한을 다르게 부여해야 함 | + | |SNMP Agent 에 디폴트 Community String 사용 |
- | SNMP를 이용한 네트워크인터페이스 정보 획득 SNMP를 통해서 원격 호스트의 네트워크 인터페이스의 리스트를 얻을 수 있음 SNMP를 사용할 경우에는 community string 을 추측하기 어려운 것으로 설정하도록 함 | + | |SNMP를 이용한 네트워크인터페이스 정보 획득 |
- | SNMP RPC 서비스 community string 이 public 이나 private 과 같이 디폴트 상태로 되어 있는 경우 시스템 및 네트워크 장비의 정보를 원격에서 알아낼 수 있으며, 시스템의 설정을 변경할 수 있음 | + | |SNMP RPC 서비스 |
- | SNMP 사용하여 OS type 획득 SNMP를 사용하여 서버의 OS 및 버전정보를 알아낼 수 있음 권한을 수정하거나 제거하여 하는 것이 좋으며, 특별한 경우엔 정책에 따라 권한을 다르게 부여해야 함 | + | |SNMP 사용하여 OS type 획득 |
=== 상세설명 === | === 상세설명 === | ||
- | SNMP 서비스는 시스템 상태를 실시간으로 파악하는 NMS를 위하여 UNIX 시스템에서 기본적으로 제공하는 서비스이며, | + | SNMP 서비스는 시스템 상태를 실시간으로 파악하는 NMS를 위하여 UNIX 시스템에서 기본적으로 제공하는 서비스이며, |
- | 서버에서 SNMP 서비스를 사용하지 않는다면, | + | 서버에서 SNMP 서비스를 사용하지 않는다면, |
SNMP 서비스를 사용할 때는 "/ | SNMP 서비스를 사용할 때는 "/ | ||
줄 1229: | 줄 1234: | ||
=== 설정방법 === | === 설정방법 === | ||
- | <SMTP 서비스 필요 시 > | + | <SMTP 서비스 필요 시 >\\ |
1) Sendmail Abuse 방지 방법 및 일반 사용자 q옵션 사용 제한 | 1) Sendmail Abuse 방지 방법 및 일반 사용자 q옵션 사용 제한 | ||
* Sendmail의 기본적인 서비스인 VRFY, EXPN을 다음과 같이 설정 하고 q옵션 제한 | * Sendmail의 기본적인 서비스인 VRFY, EXPN을 다음과 같이 설정 하고 q옵션 제한 | ||
- | # vi / | + | |
+ | | ||
O PrivacyOptions=authwarnings, | O PrivacyOptions=authwarnings, | ||
- | 2) 취약한 Senmail 버전 사용 제한 | + | 2) 취약한 Senmail 버전 사용 제한\\ |
1) Sendmail 서비스가 실행되고 있는지 점검 | 1) Sendmail 서비스가 실행되고 있는지 점검 | ||
- | # ps –ef | grep sendmail | + | |
2) Sendmail 버전 점검 | 2) Sendmail 버전 점검 | ||
- | # telnet localhost 25 | + | |
- | 3) Sendmail의 버전을 확인하고, | + | 3) Sendmail의 버전을 확인하고, |
- | 4) O/S에 따라 설정하는 방법이 다를 수 있으므로, | + | 4) O/S에 따라 설정하는 방법이 다를 수 있으므로, |
- | <SMTP 서비스 불필요 시> | + | <SMTP 서비스 불필요 시>\\ |
- | 1) 실행중인 서비스 중지 | + | 1) 실행중인 서비스 중지\\ |
- | # ps –ef | grep sendmail | + | # ps –ef | grep sendmail |
- | root 441 1 0 Sep19 ? 00:00:00 sendmail: accepting connections | + | root 441 1 0 Sep19 ? 00:00:00 sendmail: accepting connections |
- | # kill -9 441 | + | # kill -9 441 |
2) 시스템 재 시작시 SMTP Server 가 시작되지 않게 하기 위해서 아래와 같이 수행 | 2) 시스템 재 시작시 SMTP Server 가 시작되지 않게 하기 위해서 아래와 같이 수행 | ||
- | # mv / | + | |
=== 상세설명 === | === 상세설명 === | ||
줄 1264: | 줄 1270: | ||
특별한 목적으로 사용하지 않는다면 SMTP 서비스를 제거합니다. | 특별한 목적으로 사용하지 않는다면 SMTP 서비스를 제거합니다. | ||
* sendmail 최신 버전 및 설정 적용 확인 | * sendmail 최신 버전 및 설정 적용 확인 | ||
- | ① vrfy, expn 명령어 제거 및 일반 사용자의 q 옵션을 사용한 실행 방지 | + | ① vrfy, expn 명령어 제거 및 일반 사용자의 q 옵션을 사용한 실행 방지\\ |
- | ② sendmail 8.14.4 이상 사용 | + | ② sendmail 8.14.4 이상 사용 |
- | ③ 메일 릴레이 기능 제한 | + | ③ 메일 릴레이 기능 제한\\ |
- | ④ Address Parser 취약점에 대한 패치 필요 | + | ④ Address Parser 취약점에 대한 패치 필요\\ |
※ SMTP 설정에 따라 sendmail.cf 파일 위치가 상이할 수 있습니다. | ※ SMTP 설정에 따라 sendmail.cf 파일 위치가 상이할 수 있습니다. | ||
줄 1283: | 줄 1290: | ||
=== 설정방법 === | === 설정방법 === | ||
<DNS 서비스 필요 시> | <DNS 서비스 필요 시> | ||
- | <BIND8 DNS 설정(/ | + | |
- | options { | + | options { |
- | allow-transfer {존 파일 전송을 허용하고자 하는 IP;}; | + | allow-transfer {존 파일 전송을 허용하고자 하는 IP;}; |
- | }; | + | }; |
- | <BIND4.9 DNS 설정(/ | + | |
- | Options | + | Options |
- | xfrnets 허용하고자 하는 IP | + | |
< | < | ||
1) 실행중인 서비스 중지 | 1) 실행중인 서비스 중지 | ||
- | # ps -ef | grep named | + | |
- | root | + | root |
- | # kill -9 279 | + | # kill -9 279 |
2) 시스템 재시작시 DNS Server 가 시작되지 않도록 함 | 2) 시스템 재시작시 DNS Server 가 시작되지 않도록 함 | ||
- | # mv /etc/rc3.d/ S79named | + | |
+ | | ||
=== 상세설명 === | === 상세설명 === | ||
일반적으로 Zone Transfer는 Primary Name Server와 Secondary Name Server의 Zone 정보를 일관성 있게 유지하기 위해 이루어지기 때문에 Secondary Name Server로만 Zone Transfer를 할 수 있도록 하면 됩니다. | 일반적으로 Zone Transfer는 Primary Name Server와 Secondary Name Server의 Zone 정보를 일관성 있게 유지하기 위해 이루어지기 때문에 Secondary Name Server로만 Zone Transfer를 할 수 있도록 하면 됩니다. | ||
줄 1305: | 줄 1313: | ||
만약, 허가되지 않는 사용자에게 Zone Transfer를 허용할 경우 공격자는 전송 받은 Zone 정보를 이용하여 호스트 정보, 네트워크 구성 형태 등의 많은 정보를 파악할 수 있게 되며, DNS 서버를 디폴트로 설치할 경우 임의의 사용자가 Zone Transfer 를 할 수 있도록 설정됩니다. | 만약, 허가되지 않는 사용자에게 Zone Transfer를 허용할 경우 공격자는 전송 받은 Zone 정보를 이용하여 호스트 정보, 네트워크 구성 형태 등의 많은 정보를 파악할 수 있게 되며, DNS 서버를 디폴트로 설치할 경우 임의의 사용자가 Zone Transfer 를 할 수 있도록 설정됩니다. | ||
- | 시스템 초기 설치 후, Default 구성을 그대로 사용한다면 DNS서비스를 사용하지 않음에도 불구하고 DNS 서비스가 기동되어 있는 경우가 있으므로, | + | 시스템 초기 설치 후, Default 구성을 그대로 사용한다면 DNS서비스를 사용하지 않음에도 불구하고 DNS 서비스가 기동되어 있는 경우가 있으므로, |
만약, DNS 서비스를 사용한다면, | 만약, DNS 서비스를 사용한다면, | ||
BIND(Berkeley Internet Name Domain)는 현재(2012. 11)기준으로 BIND 9.9.2-P1 버전이 나왔으며, | BIND(Berkeley Internet Name Domain)는 현재(2012. 11)기준으로 BIND 9.9.2-P1 버전이 나왔으며, | ||
- | ISC의 BIND 8 버전에 대한 보안 및 시스템 업데이트 지원이 2007.8.27부터 중단됨에 따라, 향후에 발생할 수 있는 보안 취약점에 대비하고, | + | ISC의 BIND 8 버전에 대한 보안 및 시스템 업데이트 지원이 2007.8.27부터 중단됨에 따라, 향후에 발생할 수 있는 보안 취약점에 대비하고, |
* BIND는 거의 모든 버전이 취약한 상태로서 BIND 9.9.2-P1 이상 버전으로 업데이트 필요 | * BIND는 거의 모든 버전이 취약한 상태로서 BIND 9.9.2-P1 이상 버전으로 업데이트 필요 | ||
* 다음은 최근 BIND 취약점들이며, | * 다음은 최근 BIND 취약점들이며, | ||
+ | |||
서비스 거부(Denial-of-Service)(CVE-2009-4022) 취약점 : 9.6.0이전 버전 | 서비스 거부(Denial-of-Service)(CVE-2009-4022) 취약점 : 9.6.0이전 버전 | ||
줄 1332: | 줄 1341: | ||
<SWAT 서비스 불필요 시> | <SWAT 서비스 불필요 시> | ||
1) SWAT을 사용할 필요가 없다면 아래와 같이 구동 중지 | 1) SWAT을 사용할 필요가 없다면 아래와 같이 구동 중지 | ||
- | # vi / | + | |
- | (수정 전) swat stream tcp | + | (수정 전) swat stream tcp |
- | (수정 후) #swat stream tcp | + | (수정 후) #swat stream tcp |
2) inetd 재구동 | 2) inetd 재구동 | ||
- | # inetd –c | + | |
=== 상세설명 === | === 상세설명 === | ||
SWAT(Samba Web Administration Tool)은 잘못된 사용자와 비밀번호를 입력하였을 때 아래와 같이 서로 다른 메시지를 출력합니다. | SWAT(Samba Web Administration Tool)은 잘못된 사용자와 비밀번호를 입력하였을 때 아래와 같이 서로 다른 메시지를 출력합니다. | ||
- | 사용자 ID는 맞고 비밀번호만 틀렸을 때 : | + | |
- | 401 Authorization Required. | + | 401 Authorization Required. |
- | You must be authenticated to use this service. | + | You must be authenticated to use this service. |
- | + | ||
- | 사용자 ID, 비밀번호 모두 틀렸을 때 : | + | 사용자 ID, 비밀번호 모두 틀렸을 때 : |
- | 401 Bad Authorization | + | 401 Bad Authorization |
- | username/ | + | username/ |
이렇게 서로 다른 메시지를 이용하여 일률적으로 사용자 ID와 비밀번호를 대입하는 강제 공격(brute-force)으로 그 메시지에 따라 사용자 ID를 알아낼 수 있습니다. | 이렇게 서로 다른 메시지를 이용하여 일률적으로 사용자 ID와 비밀번호를 대입하는 강제 공격(brute-force)으로 그 메시지에 따라 사용자 ID를 알아낼 수 있습니다. | ||
줄 1363: | 줄 1372: | ||
=== 설정방법 === | === 설정방법 === | ||
- | <Samba 서비스 필요 시> | + | <Samba 서비스 필요 시> |
서비스를 위해 사용시에는 Version 3.6.2 업그레이드 | 서비스를 위해 사용시에는 Version 3.6.2 업그레이드 | ||
- | <Samba 서비스 불필요 시> | + | <Samba 서비스 불필요 시> |
1) Samba를 사용할 필요가 없다면 아래와 같이 구동중지 | 1) Samba를 사용할 필요가 없다면 아래와 같이 구동중지 | ||
- | # ps –ef | grep smb | + | |
- | 538 ? 00:00:00 smbd | + | 538 ? 00:00:00 smbd |
- | # kill -9 538 | + | # kill -9 538 |
2) 부팅스크립트 삭제 | 2) 부팅스크립트 삭제 | ||
- | # mv / | + | |
=== 상세설명 === | === 상세설명 === | ||
줄 1381: | 줄 1390: | ||
* 다음은 최근 Samba 취약점들이며, | * 다음은 최근 Samba 취약점들이며, | ||
- | Samba Information Disclosure and Denial of Service (CVE-2009-2906) 취약점 : 3.4 이전 버전 | + | Samba Information Disclosure and Denial of Service (CVE-2009-2906) 취약점 : 3.4 이전 버전\\ |
- | ※ Samba 취약점 버전에 대해서 패치를 제공하므로 취약점에 대해서 패치 할 것을 권고 | + | ※ Samba 취약점 버전에 대해서 패치를 제공하므로 취약점에 대해서 패치 할 것을 권고(http:// |
- | (http:// | + | |
==== SSH(Secure Shell)버전 취약성(중요도 : 중) ==== | ==== SSH(Secure Shell)버전 취약성(중요도 : 중) ==== | ||
줄 1396: | 줄 1404: | ||
=== 설정방법 === | === 설정방법 === | ||
- | <SSH 서비스 필요시> | + | <SSH 서비스 필요시> |
- | 1) 최신버전의 SSH를 설치하여 운영하는 것을 권고 | + | 1) 최신버전의 SSH를 설치하여 운영하는 것을 권고\\ |
최신 SSH버전은 현재(2012/ | 최신 SSH버전은 현재(2012/ | ||
- | < | + | < |
- | 1) 실행중인 서비스를 중지 | + | 1) 실행중인 서비스를 중지\\ |
- | # ps –ef | grep sshd | + | # ps –ef | grep sshd |
- | root 414 0.0 0.7 2672 1692 / | + | root 414 0.0 0.7 2672 1692 / |
- | # kill -9 414 | + | # kill -9 414 |
2) SSH가 시작되지 않도록 시작스크립트의 파일명 변경 (OS 마다 시작스크립트 위치 다름) | 2) SSH가 시작되지 않도록 시작스크립트의 파일명 변경 (OS 마다 시작스크립트 위치 다름) | ||
- | # ls –al / | + | |
- | # mv / | + | # mv / |
※ SSH 설정에 따라 / | ※ SSH 설정에 따라 / | ||
줄 1418: | 줄 1426: | ||
* 다음은 OpenSSH 취약점들이며, | * 다음은 OpenSSH 취약점들이며, | ||
- | Plaintext Recovery Attack Against SSH 취약점 : 5.1 이전 버전 | + | Plaintext Recovery Attack Against SSH 취약점 : 5.1 이전 버전\\ |
- | X11UseLocalhost=no hijacking attack(CVE-2008-1483) 취약점 : OpenSSH 5.0 이전 버전 | + | X11UseLocalhost=no hijacking attack(CVE-2008-1483) 취약점 : OpenSSH 5.0 이전 버전\\ |
==== x-server접속 제한 설정(중요도 : 상) ==== | ==== x-server접속 제한 설정(중요도 : 상) ==== | ||
줄 1450: | 줄 1458: | ||
최신 보안패치 및 버그 Fix 된 패치 설치 | 최신 보안패치 및 버그 Fix 된 패치 설치 | ||
- | " | + | " |
HPUX 는 다양한 하드웨어 플랫폼과 OS로 인해 General한 Security Patch가 공개되어 있지 않음 그리고, security_patch_check 라는 프로그램(펄 스크립트)을 서버에 설치/ | HPUX 는 다양한 하드웨어 플랫폼과 OS로 인해 General한 Security Patch가 공개되어 있지 않음 그리고, security_patch_check 라는 프로그램(펄 스크립트)을 서버에 설치/ | ||
줄 1457: | 줄 1465: | ||
security_patch_check 를 사용하기 위해서는 Service Control Manager 라는 도구를 서버에 설치하여야 하며, security_patch_check 사용관련 내용은 비고란을 참조 바람 | security_patch_check 를 사용하기 위해서는 Service Control Manager 라는 도구를 서버에 설치하여야 하며, security_patch_check 사용관련 내용은 비고란을 참조 바람 | ||
- | <패치 적용의 예> | + | <패치 적용의 예>\\ |
1) 수작업에 의한 패치 적용 | 1) 수작업에 의한 패치 적용 | ||
- | 운영자에 의한 패치 적용 방법은 아래와 같은 단계에 의해 설정 | + | 운영자에 의한 패치 적용 방법은 아래와 같은 단계에 의해 설정\\ |
- | (1) http:// | + | (1) http:// |
- | (2) HPUX 선택하여 해당 페이지 이동 | + | (2) HPUX 선택하여 해당 페이지 이동\\ |
- | (3) 해당되는 H/W, OS 를 선택 | + | (3) 해당되는 H/W, OS 를 선택\\ |
- | (4) 키워드, Patch-ID, Patch 리스트 옵션을 선택하여 검색 | + | (4) 키워드, Patch-ID, Patch 리스트 옵션을 선택하여 검색\\ |
- | (5) 검색 결과를 받음 | + | (5) 검색 결과를 받음\\ |
- | (6) 필요한 패치를 선택하여 다운로드 받음 | + | (6) 필요한 패치를 선택하여 다운로드 받음\\ |
- | (7) 패치간의 dependency를 고려하여 적용할 패치를 결정 | + | (7) 패치간의 dependency를 고려하여 적용할 패치를 결정\\ |
2) Custom Patch Manager에 의한 패치 적용 | 2) Custom Patch Manager에 의한 패치 적용 | ||
줄 1473: | 줄 1481: | ||
CPM(Custom Patch Manager)는 해당 시스템에 적합한 패치를 선택하고 다운로드 받을 수 있도록 하는 툴임. CPM을 이용하여 환경에서 설정된 일정기간 간격 별로 패치를 자동 적용할 수 있으며, dependency관계나 conflict 관계를 자동 분석하여 적용할 패치를 결정해줌. CPM을 이용하는 단계는 다음과 같음 | CPM(Custom Patch Manager)는 해당 시스템에 적합한 패치를 선택하고 다운로드 받을 수 있도록 하는 툴임. CPM을 이용하여 환경에서 설정된 일정기간 간격 별로 패치를 자동 적용할 수 있으며, dependency관계나 conflict 관계를 자동 분석하여 적용할 패치를 결정해줌. CPM을 이용하는 단계는 다음과 같음 | ||
- | (1) ITRC 웹사이트에 (http:// | + | (1) ITRC 웹사이트에 (http:// |
- | (2) maintenance/ | + | (2) maintenance/ |
- | (3) cpm_collect.sh 스크립트를 다운로드 받아 실행하여 현재 configuration에 대한 정보를 취합 | + | (3) cpm_collect.sh 스크립트를 다운로드 받아 실행하여 현재 configuration에 대한 정보를 취합\\ |
- | (4) cpm_collect.sh 스크립트를 돌려 얻은 configuration에 대해 얻은 결과를 ITRC페이지에 업로드 | + | (4) cpm_collect.sh 스크립트를 돌려 얻은 configuration에 대해 얻은 결과를 ITRC페이지에 업로드\\ |
- | (5) Perform Patch Analysis를 클릭함으로써 필요한 candidate patch list를 얻음 | + | (5) Perform Patch Analysis를 클릭함으로써 필요한 candidate patch list를 얻음\\ |
- | (6) 선택한 패치간의 conflict가 없는지 점검 | + | (6) 선택한 패치간의 conflict가 없는지 점검\\ |
- | (7) 선택한 패치를 Package버튼을 선택함으로써 다운로드 받은 후 패치를 설치 | + | (7) 선택한 패치를 Package버튼을 선택함으로써 다운로드 받은 후 패치를 설치\\ |
< | < | ||
* " | * " | ||
- | * OS별, 제품별, 보안관련 분류되어 패치파일을 제공 : http:// | + | * OS별, 제품별, 보안관련 분류되어 패치파일을 제공 : http:// |
- | : http:// | + | |
- | productNumber=B6834AA | + | |
< | < | ||
- | # mkdir / | + | |
위와 같은 디렉터리를 만들어 Patch 파일을 관리 | 위와 같은 디렉터리를 만들어 Patch 파일을 관리 | ||
* 패치 설치 순서 | * 패치 설치 순서 | ||
(예) : Patch: PHCO_16341: HP AutoRAID Manager cumulative patch 를 적용 | (예) : Patch: PHCO_16341: HP AutoRAID Manager cumulative patch 를 적용 | ||
- | # swlist –l fileset | grep PHCO_16341 (System에 patch가 설치 되어 있는 지 확인) | + | |
- | PHCO_16341.txt | + | PHCO_16341.txt |
- | # sh PHCO_16341.txt | + | # sh PHCO_16341.txt |
- | # ls | + | # ls |
- | PHCO_16341.txt | + | PHCO_16341.txt |
- | # swinstall –s / | + | # swinstall –s / |
- | #swlist –l fileset | grep PHCO_16341 (설치된 patch 확인) | + | #swlist –l fileset | grep PHCO_16341 (설치된 patch 확인) |
- | <설치 시 주의사항> | + | <설치 시 주의사항> |
※ Patch적용 후에 Rebooting이 필요한 경우가 있으므로 README-Patch-ID 파일을 주의 깊게 보아야 함 | ※ Patch적용 후에 Rebooting이 필요한 경우가 있으므로 README-Patch-ID 파일을 주의 깊게 보아야 함 | ||
줄 1509: | 줄 1515: | ||
시스템의 보안성 및 안전성을 위하여 주기적으로 패치를 적용하는 것이 바람직하나, | 시스템의 보안성 및 안전성을 위하여 주기적으로 패치를 적용하는 것이 바람직하나, | ||
- | No 패치 적용시 고려 및 준수해야 할 사항 | + | ^ |
- | 1 해당 패치가 시스템 자체에 미칠 수 있는 영향을 OS 벤더측에서 검토 후, 이상이 없을 때 패치를 적용 | + | | |
- | 2 해당 패치가 시스템에서 운용중인 서비스 프로그램에 미칠 수 있는 영향을 OS벤더측과 서비스 프로그램(즉 응용프로그램) 개발자측과 함께 검토 후, 이상이 없을 때 패치를 적용 | + | | |
- | 3 패치 적용 후 예기치 않은 서비스의 중지에 대비하여, | + | | |
- | 4 패치 적용 전/후 시스템에 대한 Full Backup을 실시 | + | | |