Monble_정보보안

■ 대상 리눅스
■ 취약점 개요
r command 사용을 통한 원격 접속은 NET Backup이나 다른 용도로 사용되기도 하나, 보안상 매우 취약
하여 서비스 포트가 열려있는 경우 중요 정보 유출 및 시스템 장애 발생 등 침해사고의 위험이 있음

r command: 인증없이 관리자의 원격접속을 가능하게 하는 명령어들로 rsh(remsh), rlogin, rexec 등이
있음
NET Backup : 이기종 운영체제 간 백업을 지원하는 Symatec사의 백업 및 복구 툴을 말함

■ 보안대책
양호: r 계열 서비스가 비활성화 되어있는 경우
취약: r 계열 서비스가 활성화 되어 있는 경우

■ 조치방법
Net BackUp 등 특별한 용도로 사용하지 않는다면 아래의 서비스 중지

■ 보안설정방법
OS별 점검 파일 위치 및 점검 방법

- Linux (xinetd일 경우)

          rsh, rlogin, rexec (shell, login, exec) 서비스 구동 확인

          #ls -alL /etc/xinetd.d/* | egrep "rsh | rlogin | rexec" | grep -v "grep | klogin | kshell | kexec"

■ 대상: 리눅스

■ 취약점 개요: Anonymous FTP(익명 FTP)를 사용할 경우 악의적인 사용자가 시스템에 관한 정보를 획득할 수 있으며 디렉터리에 쓰기 권한이 설정되어 있을 경우 local exploit을 사용하여 다양한 공격이 가능하게 되므로 반드시 필요한 사용자만 접속 할수 있도록 설정하여 권한이 없는 사용자의 FTP를 제한하여야 함

Anonymous FTP(익명 FTP) : 파일 전송을 위해서는 원칙적으로 상대방 컴퓨터를 사용할 수 있는 계정이

필요하나 누구든지 계정 없이도 anonymous 또는, ftp라는 로그인 명과 임의의 비밀번호를 사용하여 FTP를 실행할수 있음

■ 보안대책

양호: Anonymous FTP(익명 FTP) 접속을 차단한 경우

취약: Anonymous FTP(익명 FTP) 접속을 차단하지 않은 경우

■ 조치방법

Anonymous FTP를 사용하지 않는 경우 Anonymous FTP 접속 차단 설정 적용

■ 보안설정방법

◆ OS별 점검 파일 위치 및 점검 방법

리눅스

/etc/passwd 파일에 ftp 계정 존재 여부 확인

cat /etc/passwd | grep "ftp"

"passwd" 파일 내 ftp 계정이 존재하는 경우 아래의 보안설정방법에 따라 서비스 접속 제한

■ 1. 일반 FTP Anonymous FTP 접속 제한 설정 방법

/etc/passwd 파일에서 ftp 또는, anonymous 계정 삭제

리눅스 userdel ftp

aix설정: #rmuser ftp

2. pro FTP- Anonymous FTP 접속 제한 설정 방법

/etc/passwd 파일에서 ftp  계정 삭제

AIX: 설정 rmuser ftp

3. vsFTP - Anonymous FTP 접속 제한 설정 방법

vs FTP 설정파일(/etc/vsftpd/vsftpd.conf 또는 /etc/vsftpd.conf)에서 anonymous_enable=NO 설정

■ xinetd의 역할

inetd의 역할과 유사함, 네트워크 서비스에 대한 접근제어, login에 대한 접근제어 등을 함

xinetd의 구성

1) 환경설정파일: /etc/xinetd.conf

2) xinetd.conf에서 제공하는 서비스를 모아두는 디렉터리: /etc/xinetd.d에서 제공하는 서비스는

모두 이 디렉터리 안에 파일로 나열되어 있으며 해당서비스의 설정은 해당파일에서 설정해야 함

★★확인방법

확인 방법

service xinetd status

rpm -qa | grep xinetd---> xinetd가 설치 되었는지 확인하는 명령어

만약 설치가 안되었다면

yum list xinetd로 설치를 한다

rpm -qa | grep xinetd 설치 확인

시작

service xinetd start로 서비스를 재시작함

■ 대상: 리눅스

■ 취약점 개요: Figer(사용자 정보 확인 서비스)를 통해서 네트워크 외부에서 해당 시스템에 등록된 사용자 정보를 확인할 수 있으므로 사용하지 않는다면 서비스를 중지하여야 함

Finger(사용자 정보 확인 서비스):who 명령어가 현재 사용중인 사용자들에 대한 간단한 정보만을 보여주는데 반해 finger명령은 옵션에 따른 시스템에 등록된 사용자뿐만 아니라 네트워크를 통하여 연결되어 있는 다른 시스템에 등록된 사용자들에 대한 자세한 정보를 보여줌

■ 보안대책

양호: Finger 서비스가 비활성화 되어 있는 경우

취약: Finger 서비스가 활성화 되어 있는 경우

■ 조치방법

Finger 서비스 비활성화

■ 보안설정방법

OS별 점검 파일 위치 및 점검 방법

리눅스

cat / etc / inetd.conf

finger stream tcp nowait bin /usr/ lbin/ fingered fingerd 주석 처리 확인

※ 위에 지시된 파일 내 finger 서비스가 활성화 도니 경우 아래의 보안설정방법에 따라 서비스 중지

■ 리눅스 이하 버전

1. /etc/inetd..conf 파일에서 finger 서비스 라인 #처리(주석처리)

2. inetd 서비스 재시작

ps -ef | grep inetd

root 141 1 0 17:02:12 ? 0:01 /usr/sbin/inetd -s

kill -HUP

★ 리눅스(xinetd일 경우)

1. vi 편집기를 이용하여 /etc/xinetd.d/finger 파일을 연후

2. 아래와 같이 설정(Disable= yes 설정)

service finger

{

socket_type = stream

wait = no

user = nobody

server = /usr/sbin/in.fingerd

disable = yes

}

3. xinetd 서비스 재시작

service xinetd restart