OLD/Unix 서버 취약점 점검37 ■ 리눅스 서버 점검 가이드 2-10 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 ■ 대상: 리눅스 ■ 위험도: 상■ Code: U-25■ 취약점 개요: 환경변수 파일의 접근권한 설정이 잘못되어 있을 경우 비인가자가 다양한 방법으로 사용자 환경을 변경하여 침해사고를 일으킬 수 있으므로 홈 디렉터리 내의 환경변수 파일에 대한 접근 권한(읽기/쓰기/실행)의 적정성을 점검함 ■ 판단기준 양호: 홈 디렉터리 환경변수 파일 소유자가 root 또는, 해당 계정으로 지정되어 있고, 홈 디렉터리 환경변수 파일에 root와 소유자만 쓰기 권한 부여된 경우 취약: 홈 디렉터리 환경변수 파일 소유자가 root 또는, 해당 계정으로 지정되지 않고, 홈 디렉터리 환경변수 파일에 root와 소유자외에 쓰기 권한이 부여된 경우 조치방법: 환경변수 파일의 권한 중 타 사용즈 쓰기 권한 제거(".profile", .. 2017. 7. 3. ■ 리눅스 서버 점검 가이드 2-9 SUID, SGID, Sticky bit 설정 파일 점검 ■ 점검 분류항목: 파일 및 디렉터리 관리■ 세부점검항목: 파일 및 디렉터리 소유자 설정■ 대상: 리눅스■ 위험도: 상■ 과련코드: U-24 1. 취약점 개요SUID(Set User-ID)와 * SGID((Set Group-ID)가 설정된 파일은(특히, root 소유의 파일인 경우) 특정 명령어를 실행하여 root 권한 획득 및 정상 서비스 장애를 발생시킬수 있으며, 로컬 공격에 많이 이용되므로 보안상 철저한 관리가 필요함root소유의 SUID 파일의 경우에는 꼭 필요한 파일을 제외하고는 SUIDSGID 속성을 제거해주고, 잘못 설정되어 보안위협이 되고 있는지 주기적인 진단 및 관리가 요구됨SUID(Set-User-ID) 설정된 파일 실행 시, 특정 작업 수행을 위하여 일시적으로 파일 소유자의 권한을 얻.. 2017. 6. 30. ■ 리눅스 서버 점검 가이드 2-2 파일 및 디렉터리 관리 ■ 점검 분류 항목: 파일 및 디렉토리 관리■ 세부 점검 항목: 파일 및 디렉토리 소유자 설정■ 대상: 리눅스■ 위험도: 상■ 관련코드: U-17 1. 취약점 개요소유자가 존재하지 않는 파일 및 디렉터리는 현재 권한이 없는 자(퇴직, 전직, 휴직 등) 소유였거나, 관리 소홀로 인해 생긴 파일일 가능성이 있음. 만약 중요파일 및 디렉터리일 경우 문제가 발생할 수 있으므로 관리가 필요함 2. 판단기준양호: 소유자가 존재하지 않은 파일 및 디렉터리가 존재하지 않는 경우취약: 소유자가 존재하지 않은 파일 및 디렉터리가 존재하지 경우 3. 조치방법소유자가 존재하지 않은 파일 및 디렉터리 삭제 또는, 소유자 변경 4 보안 설정 방법 ■ 점검 방법 #find / -nouser -print #find / -nogrou.. 2017. 6. 30. ■ 리눅스 서버 점검 가이드 2-1 root 홈, 패스 디렉터리 권한 및 패스 설정 ■ 리눅스 서버 점검 가이드-2단계- 파일 및 디렉터리 관리 다음은 리눅스의 2단계인 파일 및 디렉터리 관리이다. 본 리눅스의 점검 가이드는 주요정보통신기반시설_기술적_취약점_분석_평가_방법_상세가이드를 기반으로 작성이 되었다.2-1 root 홈, 패스(path) 디렉터리 권한 및 패스(path)설정 ■ 점검 분류항목: 파일 및 디렉터리 관리■ 세부 점검항목: root 홈, 패스(path) 디렉터리 권한 및 패스(path) 설정■ 대상: 리눅스■ 위험도: 상■ 관련 코드: U-16 1. 취약점 개요root계정의 path 환경변수에 "."(현재 디렉토리 지칭)이 포함되어 있으면, root계정의 인가자로 인해 비의도적으로 현재 디렉터리에 위치하고 있는 명령어가 실행할수있음 즉 "."이 /usr/bin이나 /.. 2017. 6. 30. 관리자 그룹에 최소한의 계정포함 1-11 관리자 그룹에 최소한의 계정포함 ■ 점검 분류항목: 계정관리 ■ 세부점검항목: 관리자 그룹에 최소한의 계정포함 ■ 대상: 리눅스 ■ 위험도: 하 ■ 관련코드: U-11 ● 취약점 개요 시스템을 관리하는 root 계정이 속한 그룹은 시스템운영파일에 대한 접근 권한이 부여되어 있으므로 최소한의 계정만 등록되어 있어야 함. 해당 그룹 관리가 이루어지지 않으면 허가 되지 않은 일반 사용자가 관리자의 권한으로 접근할 수 있으며, 파일 수정 및 변경 등의 악의적인 작업으로 인해 시스템에 운영에 피해를 줄 수있음 ● 판단기준 양호: 관리자 그룹에 불필요한 계정이 등록되지 않은 경우 취약: 관리자 그룹에 불필요한 계정이 등록되어 있는 경우 ● 조치방법 현재 등록된 계정 현황 확인 후 불필요한 계정 삭제 ● 보.. 2017. 6. 29. 진단 리스트 작성 ★ 수동 진단 보조 도구를 사용한 진단에서는 수행한 진단 내용과 결과를 스스로 기록해야 한다. 기록하는 방법은 다양하지만, 이책에서는 '진단 리스트'라는 시트를 만들어 괸리하는 방법을 설명한다. 이 진단 리스트는 고객에게 제출하는 보고서가 아니라 취약점 진단자가 진단 상태 등을 기록하고 확인하기 위한 시트다. ● 진단 리스트 개요수동 진단에서는 진단 대상에 대한 조사 결과와 진단 결과, 발견한 취약점에 대해 기록해야 한다. 기록하는 목적은 다음과 같으며, 이것을 만족하는 것이 '진단 리스트'가 된다. ☞ 취약점 진단을 진행하기 위한 테스트 케이스☞ 발견한 취약점에 대한 기록 진단 리스트에는 진단 대상 웹 프로그램을 수동으로 크롤링해 URL과 매개변수등을 조사하고 취약점 진단을 수행한 결과를 기록해야 한다.. 2017. 6. 26. 이전 1 2 3 4 5 6 7 다음
