현재 위치: WiKi Security Spirit » 보안 하드닝 가이드 » HP-UX 보안가이드라인

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판이전 판
다음 판		이전 판
guide:hpux [2013/07/29 08:06] – [DNS(Domain Name Service)보안 설정(중요도 : 중)] wiki1122guide:hpux [2024/04/04 05:12] (현재) – 바깥 편집 127.0.0.1
줄 27: 줄 27:
   * 로그인 쉘을 /bin/false로 수정하는 것은 보안상 문제가 발생할 수 있으므로 삭제 권고   * 로그인 쉘을 /bin/false로 수정하는 것은 보안상 문제가 발생할 수 있으므로 삭제 권고
  
-==== 일반계정 root 권한 관리(중요도 : 상)+==== 일반계정 root 권한 관리(중요도 : 상) ====
 Root 권한을 가지고 있는 일반 계정이 있는지 점검 Root 권한을 가지고 있는 일반 계정이 있는지 점검
  
줄 58: 줄 58:
  
 <passwd 파일 필드> <passwd 파일 필드>
-  loginID:x:UID:GID:comment:home_directory:login_shell+   loginID:x:UID:GID:comment:home_directory:login_shell 
 + 
 +---- 
 ==== /etc/passwd 파일 권한 설정(중요도 : 상) ==== ==== /etc/passwd 파일 권한 설정(중요도 : 상) ====
 시스템 사용자 계정 정보가 있는 /etc/passwd 파일의 권한 점검 시스템 사용자 계정 정보가 있는 /etc/passwd 파일의 권한 점검
줄 105: 줄 108:
 일반사용자가 group 파일에 접근하여 변조하게 되면 인가되지 않은 사용자가 root 그룹으로 등록되어 인가되지 않은 사용자의 root 권한 획득이 가능합니다. 일반사용자가 group 파일에 접근하여 변조하게 되면 인가되지 않은 사용자가 root 그룹으로 등록되어 인가되지 않은 사용자의 root 권한 획득이 가능합니다.
 group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타 사용자의 쓰기 권한을 제한하여야 합니다. group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타 사용자의 쓰기 권한을 제한하여야 합니다.
 +
 +----
  
 ==== 패스워드 사용규칙 적용(중요도 : 상) ==== ==== 패스워드 사용규칙 적용(중요도 : 상) ====
줄 1194: 줄 1199:
 === 설정방법 === === 설정방법 ===
 <SNMP 서비스 불필요 시> <SNMP 서비스 불필요 시>
-# ps -ef | grep snmp +  # ps -ef | grep snmp 
-root  9546  6970     Dec 05      -  1:11 /usr/sbin/snmpd +    root  9546  6970     Dec 05      -  1:11 /usr/sbin/snmpd 
-# kill –9 9546  or  # /sbin/SnmpAgtStart.d/S560SnmpMaster stop +  # kill –9 9546  or  # /sbin/SnmpAgtStart.d/S560SnmpMaster stop 
-# mv /sbin/ /sbin/SnmpAgtStart.d/S560SnmpMaster /sbin/SnmpAgtStart.d/_S560SnmpMaster+  # mv /sbin/ /sbin/SnmpAgtStart.d/S560SnmpMaster /sbin/SnmpAgtStart.d/_S560SnmpMaster
  
 <SNMP 서비스 필요 시> <SNMP 서비스 필요 시>
-: "/etc/snmp/snmpd.conf" 파일 내 community string을 타인이 추측할 수 없도록 변경  +: "/etc/snmp/snmpd.conf" 파일 내 community string을 타인이 추측할 수 없도록 변경 \\ 
-‘read-community  public‘ 부분의 public 을 <임의의 명>으로 변경 후 서비스 재구동 +‘read-community  public‘ 부분의 public 을 <임의의 명>으로 변경 후 서비스 재구동\\ 
-‘set-community-name:‘ 부분 사용시에는 주의 요망 +‘set-community-name:‘ 부분 사용시에는 주의 요망\\ 
-(public, admin, private 등 쉬운 community name은 사용 제한)+(public, admin, private 등 쉬운 community name은 사용 제한)\\
  
-항목 내용 대책 +^  항목  ^  내용  ^  대책  ^ 
-SNMP Agent 에 디폴트 Community String 사용 SNMP의 Community String이 각각 public, private으로 설정되어 있어서 이를 변경하지 않을 경우, 크래커는 해당 시스템의 중요한 정보를 가져갈 수 있음 권한을 수정하거나 제거하여 하는 것이 좋으며, 특별한 경우엔 정책에 따라 권한을 다르게 부여해야 함 +|SNMP Agent 에 디폴트 Community String 사용  |SNMP의 Community String이 각각 public, private으로 설정되어 있어서 이를 변경하지 않을 경우, 크래커는 해당 시스템의 중요한 정보를 가져갈 수 있음  |권한을 수정하거나 제거하여 하는 것이 좋으며, 특별한 경우엔 정책에 따라 권한을 다르게 부여해야 함  | 
-SNMP를 이용한 네트워크인터페이스 정보 획득 SNMP를 통해서 원격 호스트의 네트워크 인터페이스의 리스트를 얻을 수 있음 SNMP를 사용할 경우에는 community string 을 추측하기 어려운 것으로 설정하도록 함 +|SNMP를 이용한 네트워크인터페이스 정보 획득  |SNMP를 통해서 원격 호스트의 네트워크 인터페이스의 리스트를 얻을 수 있음|  SNMP를 사용할 경우에는 community string 을 추측하기 어려운 것으로 설정하도록 함  | 
-SNMP RPC 서비스 community string 이 public 이나 private 과 같이 디폴트 상태로 되어 있는 경우 시스템 및 네트워크 장비의 정보를 원격에서 알아낼 수 있으며, 시스템의 설정을 변경할 수 있음  SNMP를 사용할 경우 community string를 추측하기 어려운 것으로 변경해야 함 +|SNMP RPC 서비스  |community string 이 public 이나 private 과 같이 디폴트 상태로 되어 있는 경우 시스템 및 네트워크 장비의 정보를 원격에서 알아낼 수 있으며, 시스템의 설정을 변경할 수 있음  |SNMP를 사용할 경우 community string를 추측하기 어려운 것으로 변경해야 함  | 
-SNMP 사용하여 OS type 획득 SNMP를 사용하여 서버의 OS 및 버전정보를 알아낼 수 있음 권한을 수정하거나 제거하여 하는 것이 좋으며, 특별한 경우엔 정책에 따라 권한을 다르게 부여해야 함+|SNMP 사용하여 OS type 획득  |SNMP를 사용하여 서버의 OS 및 버전정보를 알아낼 수 있음  |권한을 수정하거나 제거하여 하는 것이 좋으며, 특별한 경우엔 정책에 따라 권한을 다르게 부여해야 함  |
  
 === 상세설명 === === 상세설명 ===
-SNMP 서비스는 시스템 상태를 실시간으로 파악하는 NMS를 위하여 UNIX 시스템에서 기본적으로 제공하는 서비스이며, 해당 정보를 받기 위한 일종의 패스워드인 Community String이 Default 값인 public, private으로 설정되어 있는 경우가 많기 때문에 이를 변경하지 않으면 이 String을 악용하여 비인가 사용자가 시스템의 주요 정보 및 설정 상황을 파악 할 수 있는 취약성이 존재합니다.+SNMP 서비스는 시스템 상태를 실시간으로 파악하는 NMS를 위하여 UNIX 시스템에서 기본적으로 제공하는 서비스이며, 해당 정보를 받기 위한 일종의 패스워드인 Community String이 Default 값인 public, private으로 설정되어 있는 경우가 많기 때문에 이를 변경하지 않으면 이 String을 악용하여 비인가 사용자가 시스템의 주요 정보 및 설정 상황을 파악 할 수 있는 취약성이 존재합니다.\\
  
-서버에서 SNMP 서비스를 사용하지 않는다면, 즉 NMS에서 해당 서버를 모니터링 하지 않는 등 이라면 SNMP 서비스를 제거하는 것이 바람직합니다.+서버에서 SNMP 서비스를 사용하지 않는다면, 즉 NMS에서 해당 서버를 모니터링 하지 않는 등 이라면 SNMP 서비스를 제거하는 것이 바람직합니다.\\
 SNMP 서비스를 사용할 때는 "/etc/snmp/conf/snmpd.conf 혹은 /etc/snmp/snmpd.conf" 파일에서 community string을 어렵게 변경하는 것이 필요합니다. SNMP 서비스를 사용할 때는 "/etc/snmp/conf/snmpd.conf 혹은 /etc/snmp/snmpd.conf" 파일에서 community string을 어렵게 변경하는 것이 필요합니다.
  
줄 1229: 줄 1234:
  
 === 설정방법 === === 설정방법 ===
-<SMTP 서비스 필요 시 >+<SMTP 서비스 필요 시 >\\
 1) Sendmail Abuse 방지 방법 및 일반 사용자 q옵션 사용 제한 1) Sendmail Abuse 방지 방법 및 일반 사용자 q옵션 사용 제한
   * Sendmail의 기본적인 서비스인 VRFY, EXPN을 다음과 같이 설정 하고 q옵션 제한   * Sendmail의 기본적인 서비스인 VRFY, EXPN을 다음과 같이 설정 하고 q옵션 제한
-# vi /etc/mail/sendmail.cf 파일을 아래와 같이 수정+ 
 +  # vi /etc/mail/sendmail.cf 파일을 아래와 같이 수정
       O PrivacyOptions=authwarnings, noexpn, novrfy, restricqrun       O PrivacyOptions=authwarnings, noexpn, novrfy, restricqrun
  
-2) 취약한 Senmail 버전 사용 제한+2) 취약한 Senmail 버전 사용 제한\\
 1) Sendmail 서비스가 실행되고 있는지 점검 1) Sendmail 서비스가 실행되고 있는지 점검
-# ps –ef | grep sendmail+  # ps –ef | grep sendmail
 2) Sendmail 버전 점검 2) Sendmail 버전 점검
-# telnet localhost 25 +  # telnet localhost 25 
-3) Sendmail의 버전을 확인하고, ftp://ftp.sendmail.org/pub/sendmail 에서 보안 패치가 존재하는지 확인 +3) Sendmail의 버전을 확인하고, ftp://ftp.sendmail.org/pub/sendmail 에서 보안 패치가 존재하는지 확인\\ 
-4) O/S에 따라 설정하는 방법이 다를 수 있으므로, 홈페이지(http://www.sendmail.org/) 에서 해당 OS에 관한 정보를 확인 후 업그레이드 +4) O/S에 따라 설정하는 방법이 다를 수 있으므로, 홈페이지(http://www.sendmail.org/) 에서 해당 OS에 관한 정보를 확인 후 업그레이드 \\
  
-<SMTP 서비스 불필요 시> +<SMTP 서비스 불필요 시>\\ 
-1) 실행중인 서비스 중지 +1) 실행중인 서비스 중지\\ 
-# ps –ef | grep sendmail +  # ps –ef | grep sendmail 
-root  441 1  0 Sep19 ?    00:00:00 sendmail: accepting connections +    root  441 1  0 Sep19 ?    00:00:00 sendmail: accepting connections 
-# kill -9 441+  # kill -9 441
  
 2) 시스템 재 시작시 SMTP Server 가 시작되지 않게 하기 위해서 아래와 같이 수행 2) 시스템 재 시작시 SMTP Server 가 시작되지 않게 하기 위해서 아래와 같이 수행
-# mv  /etc/rc2.d/S88sendmail  /etc/rc2.d/_S88sendmail+  # mv  /etc/rc2.d/S88sendmail  /etc/rc2.d/_S88sendmail
  
 === 상세설명 === === 상세설명 ===
줄 1264: 줄 1270:
 특별한 목적으로 사용하지 않는다면 SMTP 서비스를 제거합니다. 특별한 목적으로 사용하지 않는다면 SMTP 서비스를 제거합니다.
   * sendmail 최신 버전 및 설정 적용 확인   * sendmail 최신 버전 및 설정 적용 확인
-① vrfy, expn 명령어 제거 및 일반 사용자의 q 옵션을 사용한 실행 방지 +① vrfy, expn 명령어 제거 및 일반 사용자의 q 옵션을 사용한 실행 방지\\ 
-② sendmail 8.14.4 이상 사용  +② sendmail 8.14.4 이상 사용 \\ 
-③ 메일 릴레이 기능 제한 +③ 메일 릴레이 기능 제한\\ 
-④ Address Parser 취약점에 대한 패치 필요+④ Address Parser 취약점에 대한 패치 필요\\ 
 ※ SMTP 설정에 따라 sendmail.cf 파일 위치가 상이할 수 있습니다. ※ SMTP 설정에 따라 sendmail.cf 파일 위치가 상이할 수 있습니다.
  
줄 1512: 줄 1519:
 |  2  |해당 패치가 시스템에서 운용중인 서비스 프로그램에 미칠 수 있는 영향을 OS벤더측과 서비스 프로그램(즉 응용프로그램) 개발자측과 함께 검토 후, 이상이 없을 때 패치를 적용   | |  2  |해당 패치가 시스템에서 운용중인 서비스 프로그램에 미칠 수 있는 영향을 OS벤더측과 서비스 프로그램(즉 응용프로그램) 개발자측과 함께 검토 후, 이상이 없을 때 패치를 적용   |
 |  3  |패치 적용 후 예기치 않은 서비스의 중지에 대비하여, 패치 작업을 실시하기 전에 Roll-Back 및 비상복구 절차 수립 및 테스트 필요   | |  3  |패치 적용 후 예기치 않은 서비스의 중지에 대비하여, 패치 작업을 실시하기 전에 Roll-Back 및 비상복구 절차 수립 및 테스트 필요   |
-|  4  |패치 적용 전/후 시스템에 대한 Full Backup을 실시    |+|  4  |패치 적용 전/후 시스템에 대한 Full Backup을 실시   |

추적: