Monble_정보보안

★ UMASK에 대해서 umask- 권한을 설정할 때 수동적으로 권한을 주지 않고 파일이나 디렉터리가 생성됨과 동시에 지정된 권한이 주어지도록 하는데 이를 umask라고 한다. 최초의 umask 값은 0022로 설정이 되어있다. 이처럼 허가원이 몇이냐에 따라 umask의 값이 달라지도록 Linux상에서 제공되고 있는데, 이는 반대로 생각하면 umask값에 따라 파일이나 디렉터리의 허가권이 달라지도록 제공되고 있다는 것을 의미하기도 한다. umask 값은 어떤 방식으로 달라지는가? 파일의 Permission(허가권)의 값은 최대 666이고, 디렉터리의 Permission 값은 최대 777이다. 여기서 umask값을 뺀 값이 해당 파일의 허가권(Permission)이 되는 것이다.예를 들어 a라는 파일이 u..

■ 리눅스 서버 취약점 점검■ world writable 파일 점검■ 대상: 리눅스■ 위험도: 상■ CODE: U-26 ■ 명령어 사용방법find / -perm -2 -type d -exec ls -alDL {} \; ● 취약점 개요모든 사용자가 접근 및 수정할 수 있는 권한으로 설정왼 파일이 존재할 경우 일반 사용자의 실수 또는, 악의적인 행위로 인해 주요파일정보가 노출되거나 시스템 장애를 유발할 수 있음. 만약 의도적으로 변경된 스크립트 파일을 root가 확인하지 않고 실행시켰을 경우시스템 권한 노출을 비롯해 다양한 보안 위험이 초래될 수 있음 world writable 파일이란 모든 사용자에게 쓰기가 허락된 파일을 의미합니다.만약 일반 사용자가 쓰기 권한이 있으면 안되는 파일이라면 쓰기 권한을 제거..

■ 대상: 리눅스 ■ 위험도: 상■ Code: U-25■ 취약점 개요: 환경변수 파일의 접근권한 설정이 잘못되어 있을 경우 비인가자가 다양한 방법으로 사용자 환경을 변경하여 침해사고를 일으킬 수 있으므로 홈 디렉터리 내의 환경변수 파일에 대한 접근 권한(읽기/쓰기/실행)의 적정성을 점검함 ■ 판단기준 양호: 홈 디렉터리 환경변수 파일 소유자가 root 또는, 해당 계정으로 지정되어 있고, 홈 디렉터리 환경변수 파일에 root와 소유자만 쓰기 권한 부여된 경우 취약: 홈 디렉터리 환경변수 파일 소유자가 root 또는, 해당 계정으로 지정되지 않고, 홈 디렉터리 환경변수 파일에 root와 소유자외에 쓰기 권한이 부여된 경우 조치방법: 환경변수 파일의 권한 중 타 사용즈 쓰기 권한 제거(".profile", ..

■ 점검 분류항목: 파일 및 디렉터리 관리■ 세부점검항목: 파일 및 디렉터리 소유자 설정■ 대상: 리눅스■ 위험도: 상■ 과련코드: U-24 1. 취약점 개요SUID(Set User-ID)와 * SGID((Set Group-ID)가 설정된 파일은(특히, root 소유의 파일인 경우) 특정 명령어를 실행하여 root 권한 획득 및 정상 서비스 장애를 발생시킬수 있으며, 로컬 공격에 많이 이용되므로 보안상 철저한 관리가 필요함root소유의 SUID 파일의 경우에는 꼭 필요한 파일을 제외하고는 SUIDSGID 속성을 제거해주고, 잘못 설정되어 보안위협이 되고 있는지 주기적인 진단 및 관리가 요구됨SUID(Set-User-ID) 설정된 파일 실행 시, 특정 작업 수행을 위하여 일시적으로 파일 소유자의 권한을 얻..

■ 점검 분류 항목: 파일 및 디렉토리 관리■ 세부 점검 항목: 파일 및 디렉토리 소유자 설정■ 대상: 리눅스■ 위험도: 상■ 관련코드: U-17 1. 취약점 개요소유자가 존재하지 않는 파일 및 디렉터리는 현재 권한이 없는 자(퇴직, 전직, 휴직 등) 소유였거나, 관리 소홀로 인해 생긴 파일일 가능성이 있음. 만약 중요파일 및 디렉터리일 경우 문제가 발생할 수 있으므로 관리가 필요함 2. 판단기준양호: 소유자가 존재하지 않은 파일 및 디렉터리가 존재하지 않는 경우취약: 소유자가 존재하지 않은 파일 및 디렉터리가 존재하지 경우 3. 조치방법소유자가 존재하지 않은 파일 및 디렉터리 삭제 또는, 소유자 변경 4 보안 설정 방법 ■ 점검 방법 #find / -nouser -print #find / -nogrou..

■ 리눅스 서버 점검 가이드-2단계- 파일 및 디렉터리 관리 다음은 리눅스의 2단계인 파일 및 디렉터리 관리이다. 본 리눅스의 점검 가이드는 주요정보통신기반시설_기술적_취약점_분석_평가_방법_상세가이드를 기반으로 작성이 되었다.2-1 root 홈, 패스(path) 디렉터리 권한 및 패스(path)설정 ■ 점검 분류항목: 파일 및 디렉터리 관리■ 세부 점검항목: root 홈, 패스(path) 디렉터리 권한 및 패스(path) 설정■ 대상: 리눅스■ 위험도: 상■ 관련 코드: U-16 1. 취약점 개요root계정의 path 환경변수에 "."(현재 디렉토리 지칭)이 포함되어 있으면, root계정의 인가자로 인해 비의도적으로 현재 디렉터리에 위치하고 있는 명령어가 실행할수있음 즉 "."이 /usr/bin이나 /..

1-11 관리자 그룹에 최소한의 계정포함 ■ 점검 분류항목: 계정관리 ■ 세부점검항목: 관리자 그룹에 최소한의 계정포함 ■ 대상: 리눅스 ■ 위험도: 하 ■ 관련코드: U-11 ● 취약점 개요 시스템을 관리하는 root 계정이 속한 그룹은 시스템운영파일에 대한 접근 권한이 부여되어 있으므로 최소한의 계정만 등록되어 있어야 함. 해당 그룹 관리가 이루어지지 않으면 허가 되지 않은 일반 사용자가 관리자의 권한으로 접근할 수 있으며, 파일 수정 및 변경 등의 악의적인 작업으로 인해 시스템에 운영에 피해를 줄 수있음 ● 판단기준 양호: 관리자 그룹에 불필요한 계정이 등록되지 않은 경우 취약: 관리자 그룹에 불필요한 계정이 등록되어 있는 경우 ● 조치방법 현재 등록된 계정 현황 확인 후 불필요한 계정 삭제 ● 보..

● 원도우 서버 2008 CMDEXE 파일권한 설정 분류: 파일 시스템보안항목: CMDEXE 파일 권한 설정대상 OS: 원도우 20089중요도: 하 기준 lls 사용시 CMD.EXE 보안 취약점 방지 설정 조치방법: ⓐ lls서비스 실행 중지 ⓑ lls 서비스 실행 중일 경우 Administrator system Trustedinstaller 그룹만 실행 권한 설정 ■ 상세조치방법UAC 보호 설정시 사용권한 설정 및 제거 불가 UAC 해제 후 변경WRP(Windows Resource Protection) 보안모델이 적용되어 소유자 변경 후 권한 변경CMD.EXE 소유자 변경-->C:\WINDOWS\system32\cmd.exe 파일선택>속성>보안>고급>소유자>편집> 기타 사용자 및 그룹> 관리자 계정으로..

■ 사용자 계정 컨트롤(User Account control) 설정분류: 계정 관리보안항목: 사용자 계정 컨트롤 설정대상 OS: Windows 2008중요도: 하 기준: UAC 사용으로 권한 없는 사용자의 프로그램 설치 설정 변경을 제한 조치방법: 사용자 계정 컨트롤(UAC) 사용 (Windows 2008) 사용자 계정 컨트롤(UAC) 사용 (Windows 2008 R2) 프로그램에서 사용자 모르게 컴퓨터를 변경하려는 경우에만 알림 이상 ◆ 실제 사용되고 있는 모든 관리자 계정의 사용자 계정 컨트롤(UAC) 설정 확인단, LLS 실행 중이며 2.1.CMD.EXE 파일 권한 설정 시 해당 항목 예외처리 ■ 상세설명사용자 계정 컨트롤(UAC,UsernAccount Control) 기능은 Windows VIS..