■ 1.1 Administrator Default
일반적으로 관리자 계정을 Administrator로 설정한 경우, 로그온 시도 실패
횟수의 제한이 없는 점을 이용해 악의적인 사용자가 패스워드 유추 공격을 계속해서 시도할수 있음 관리자 계쩡의 이름을 변경함으로써 공격자가 패스워드뿐만 아니라, 계정이름을 쉽게 유추하지 못하도록 하여야 함
[점검방법]
Administrator Default 계정 이름 변경
| ■ 원도우 서버 점검 가이드 - W-7 공유권한 및 사용자 그룹 설정 (0) | 2020.04.16 |
|---|---|
| ■ 원도우 서버 점검 가이드 1-2 Guest 계정 상태 (0) | 2018.12.12 |
| window server 2008 설정 (0) | 2017.07.13 |
| 원도우 서버 2008 CMD.EXE 파일 권한 설정 (0) | 2017.06.29 |
| 원도우 서버 2008 사용자 계정컨트롤 방법 (0) | 2017.06.29 |
◆ 모의해킹을 위해서는 2가지 준비물이 필요함
① badstore의 iso 파일- https://www.vulnhub.com/entry/badstore-123,41/
② vmware 설치 (버전 상관 X)
이렇게 vmware를 구동한 상태에서 접속을 하게 되면, 웹에서 접속이 가능함
| BadStore_모의해킹 (0) | 2018.12.14 |
|---|---|
| level 1단계 (0) | 2017.06.23 |
| 웹 해킹을 위한 준비방법 (0) | 2017.06.23 |
■ 계정관리- 보안장비 Default 계정 변경
*점검내용: 보안장비에 기본적으로 설정되어 있는 관리자 계정의 변경 여부 점검
*점검목적: 보안장비의 기본 관리자 계정 패스워드는 인터넷이나 메뉴얼 등에 공개되어 있으므로 보안장비의 기본 관리
자 계정을 변경하여 공격자가 기본 관리자 계정 정보를 통해 보안장비를 장악하지 못하게 하기 위함
*보안위협: 보안장비의 기본 관리자 계정을 변경하지 않을 경우, 공격자가 공개된 기본 관리자 계정의 정보들을 통하여
보안장비에 불법적인 접근을 시도해 보안장비 설정 값을 변경함으로써 시스템 침입 경로 제공 및 보안장비를
무력화 할 수 있는 위험이 존재함
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
■ 계정관리- 보안장비 Default 패스워드 변경
*점검내용: 보안장비에 기본적으로 설정되어 있는 관리자 계정의 패스워드를 변경 없이 사용하고 있는지 점검
*점검목적: 보안장비의 기본 관리자 계정 패스워드는 인터넷이나 메뉴얼 등에 공개되어 있으므로, 보안장비의 기본 관리
자 계정 패스워드를 변경하여 공격자가 기본 관리자 계정 정보를 통해 보안장비를 장악하지 못하게 하기 위
함
*보안위협: 보안장비의 기본 관리자 계정 패스워드를 변경하지 않았을 경우, 공격자가 공개된 기본 관리자 계정의 정보를
이용하여 보안장비에 불법적인 접근을 시도해 보안장비 설정 값을 변경함으로써 시스템 침입 경로 제공 및
보안장비를 무력화 할 수 있는 위험이 존재함
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
■ 보안장비 계정별 권한 설정
*점검내용: 보안장비에 등록한 계정들에 대해 업무에 불필요한 권한 여부 점검
*점검목적: 보안장비에 등록한 계정의 용도별 권한부여를 함으로써 권한 없는 사용자의 설정 변경으로 이한 시스템 침입
경로 유출 위험을 줄이고 관리자 계정이 아닌 일반 계정이 공격자가에게 탈취되었을 때 보안장비를 장악하지
못하게 하기 위함
*보안위협: 보안장비 계정별 권한 설정이 없을 경우, 권한 없는 사용자의 의도하지 않은 보안정책이나 수정이나 보안장비
설정 값 변경을 통하여 공격자에게 시스템 침입 경로를 제공할 수 있음
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
■ 보안장비 계정 관리
*점검내용: 보안장비에 등록되어 있는 계정 중 사용하지 않는 계정을 제거 또는 관리하고 있는지 점검
*점검목적: 사용하지 않는 불필요한 계정을 관리함으로써, 관리되지 않는 계정을 통한 공격을 차단하기 위함
*보안위협: 보안장비에 등록되어 있는 불필요한 계정을 관리하지 않을 경우, 공격자의 무작위 대임 방법이나 사전 대임 공격에 의해 불필요한 계정을 통한 접근 위험이 존재하며 공용계정 및 휴면계정이 존재할 경우 계정 탈취 시 침해사고 발생 때 사후 추적이 어려움
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
■ 로그인 실패횟수 제한
*점검내용: 보안장비에서 제공하고 있는 로그인 임계값 설정의 활성화 여부 점검
*점검목적: 보안장비에서 제공하는 로그인 실패횟수 제한 기능을 사용하여 공격자의 자동화 툴을 이용한 패스워드 대임 공격을 막기 위함
*보안위협: 로그인 실패횟수 제한 기능을 활성화 하여 사용하지 않을 경우, 공격자는 자동화된 방법을 통하여 무적위 대
입 공격이나 사전 대임 공격 등을 시도하여 계정의 패스워드를 탈취 할 수 있음
〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓〓
■ 기준 : 상위 디렉터리에 이동제한을 설정한 경우
WEB/WAS 결과보고서에서 해당 항목 진단
■ 현황 : 상위 디렉터리에 이동제한 설정 미흡
해당 설정을 이용하여 중요 파일 및 데이터
접근은 허가된 사용자만 가능하도록 제한
</Directory>
<Directory /home/chbank>
AllowOverride AuthConfig
</Directory>
<Directory /home/ksaqua>
AllowOverride AuthConfig
이하생략
사용자 인증을 하기 위해 각 디렉터리별로 httpd.conf 파일내 AllowOverride 지시자의 옵션 설정을 변경
AllowOverride None-->All로 변경
ALL변경이라는 것은 None만 빼고 어떠한 설정도 된다는 소리
※ 이미 U-10에서 불필요한 계정 제거에서 계정파악이 끝난 상태임 때문에,
U-12 계정이 존재하지 않는 GID 금지의 경우 U-10에서 파악한 계정을 바탕
으로 U-10에 계정이 존재하지 않으나 GID에 계정이 존재하는 경우 취약으로
판단하면 됨
| ■ Unix 서버 점검 가이드 2-9 SUID, SGID, Sticky bit 설정 파일 점검 (0) | 2018.12.05 |
|---|---|
| 웹 취약점 정리 (0) | 2017.09.29 |
| ■ 리눅스 서버 점검 가이드 3-4 cron 파일 소유자 및 권한 설정 (0) | 2017.07.17 |
| ■ 리눅스 서버 점검 가이드 3-3 r계열 서비스 비활성화 (0) | 2017.07.11 |
| ■ 리눅스 서버 점검 가이드 3-2 anonymous ftp 비활성화 (1) | 2017.07.11 |
