Unix 서버(Total 72개 항목-KISA 2021년 주요정보통신기반시설 가이드라인 기준)
1. 계정관리
1.1 root 계정 원격 접속 제한/중요도 상/항목코드 U-01
점검내용 : ■ root 계정에 대해 원격접속 정책 유무 확인
점검목적 : ■ root 계정 즉, 관리자 계정이 탈취되면, 당연히 시스템 장악이되고, 외부 비인가자 즉 제3자에 대해 root 계정 접근 시도를 무조건 막기위함(사내정보가 털리면, 당연히 내부감사, 외부감사가 이뤄짐, 시스템 털릴시 KISA 118번 신고, 경찰사이버수사대 신고, 아마 회사는 벌금을...., 담당자는 시말서를...나는 아직 안당해봐서 모름)
보안위협 : ■ root 계정은 당연히 최고 관리자 계정이라, 털리면 당연히 문제가 생기니, 이러한 위협에 대응하기 위해 관리자 계정이 아닌 별도의 계정을 만들어서 각 담당자의 업무에 따라 권한 부여. 다만 입사자 또는 퇴사자 발생시, 매년 인사이동이 발생되기에 현황조사를 하여, 시스템에 반영해야함. 하지만 현업에서는 귀찮아서 잘 안하다가 ISMS, ISMS-P, 국정원 실태점검 등에서 취약점으로 판단되는 경우가 많음. 취약점이 나오지만 대부분 유지보수업체에 맡기기 때문에 제대로 관리 및 감독되는 곳이 별로 없고 잘되는곳은 딱 1곳을 봄)
대상 : ■ SOLARIS, Linux, AIX, HP-UX 등
판단기준 : 양호 : root 원격접속 차단된 경우
취약 : root 원격접속 미차단된 경우
점검방법 : Solaris 너무 오래전꺼라 사용하는 곳이 거의 없고, 아마 교체시 서비스장애 및 비용발생 등 문제가 될 소지가 있어서 부득이하게 사용하는곳이 있는듯함 Linux는 Solaris와 비슷함
다른거는 모르겠지만, PermitRootLogin Yes-->No로 반드시 변경해야 함(No로 변경하는 의미는 Root의 원격접속을 차단하겠다라는 의미. 간혹 아에 PermitRootLogin 설정이 없을 경우 바로 취약으로 판단할수도 있으나, 아마 장비운영자들은 보안솔루션 즉 방화벽에서 통제하고 있어서 안전하다고 할수도 있을텐데 가이드라인 기준에서는 보안솔루션이 아닌 장비내 설정값을 의미하는부분이기에 취약으로 판단) 상세한 조치방법은 KISA 주요정보통신기반시설 가이드라인에 나와있음
[PAM 설정에 대해서는 타 블로그 참조]
https://sysops.tistory.com/125
[Linux] PAM 파일 상세 설명 및 설정 방법
1. PAM(Pluggable Authentication Module: 착탈형 인증 모듈)이란? 사용자를 인증하고 그 사용자의 서비스에 대한 액세스를 제어하는 모듈화된 방법을 일컫는다. PAM은관리자가 응용프로그램들의
sysops.tistory.com
'1. 인프라 취약점(23년기준) > 1. 서버 취약점(Unix,Windows)' 카테고리의 다른 글
| 22년 주요정보통신기반시설 가이드이란? (0) | 2022.05.05 |
|---|