분류 전체보기177 Session TimeOut 설정 ■ 점검 분류항목: 계정관리 ■ 세부 점검항목: Session TimeOut 설정 ■ 대상: 리눅스 ■ 위험도: 하 ■ 관련코드: U-15 1) 취약점 개요 계정이 접속된 상태로 방치될 경우 권한이 없는 사용자에게 중요시스템이 노출되어, 악의적인 목적으로 사용될 수 있으므로 일정 시간 이후 어떠한 이벤트가 발생하지 않으면 연결을 종료하는 Session TimeOut 설정이 필요함 2) 판단기준 양호: Session TimeOut이 600초(10분) 이하로 설정되어 있는 경우 취약: Session TimeOut이 600초(10분) 이하로 설정되어 있지 않는 경우 3) 조치방법 600초(10분)동안 입력이 없을 경우 접속된 Session을 끊도록 설정 4) 보안설정방법 cat /etc/profile(.pro.. 2017. 6. 19. 동일한 UID 금지 ■ 점검분류항목: 계정관리■ 세부점검항목: 동일한 UID금지■ 대상: 리눅스■ 위험도: 중■ 관련코드: U-13 1) 취약점 설명Unix시스템은 모든 사용자 계정에 UID를 부여해 해당 UID로 사용자 이름 패스워드, 홈디렉토리 등과 같은 사용자 정보를 대응시킴. 만약 중복된 UID가 존재하는 경우 시스템에서 동일한 사용자로 인식하여 문제가 발생될 수 있으며 공격자에 의한 개인정보 및 관련 데이터 유출 발생 시에도 감사 추적이 어렵게 된다. 2) 판단기준양호: 동일한 UID로 설정된 사용자 계정이 존재하지 않는 경우취약: 동일한 UID로 설정된 사용자 계정이 존재하는 경우 3) 조치방법동일한 UID로 설정된 사용자 계정의 UID를 서로 다른 값으로 변경 4) 보안설정방법cat /etc/passwd동일한 .. 2017. 6. 19. 계정이 존재하지 않은 GID금지 ■ 점검분류항목: 계정관리■ 세부점검항목: 계정이 존재하지 않은 GID 금지■ 대상: 리눅스■ 위험도: 하■ 관련코드: U-12 1) 취약점 개요미흡한 계정 그룹 관리로 인해 구성원이 없는 그룹이 존재할 경우 해당 그룹 소유의 파일이 비인가자에게 노출될 위험이 있음, 계정이 존재하지 않는 GID(Group Identification) 설정을 관리자와 검토 후 제거하여야 함GID(Group Identification): 다수의 사용자가 특정 개체를 공유할 수 있게 연계시키는 특정그룹의 이름으로 주로 계정처리 목적으로 사용되며, 한 사용자는 여러 개의 GID를 가질 수 있음 2) 판단기준양호: 존재하지 않은 계정에 GID 설정을 금지한 경우취약: 존재하지 않은 계정에 GID 설정이 되어있는 경우 3) 조치방.. 2017. 6. 19. 관리자 그룹에 최소한의 계정포함 ■ 점검 분류항목: 계정관리 ■ 새부점검항목: 관리자 그룹에 최소한의 계정포함 ■ 대상: 리눅스 ■ 위험도: 하 ■ 관리코드: U-11 1) 취약점 설명 시스템을 관리하는 root 계정이 속한 그룹은 시스템 운영 파일에 대한 접근권한이 부여되어 있으므로 최소한의 계정만 등록되어 있어야 합니다. 해당 그룹 관리가 이루어지지 않으면 허가되지 않은 일반 사용자가 관리자의 권한으로 시스템에 접근할수 있으며 파일 수정 및 변경 등의 악의적인 작업으로 인해 시스템 운영에 피해를 줄수 있습니다. 2) 판단기준 양호: 관리자 그룹에서 불필요한 계정이 등록되어 있지 않은 경우 취약: 관리자 그룹에 불필요한 계정이 등록되어 있는 경우 3) 조치방법 현재 등록된 계정 현황 확인 후 불필요한 계정 삭제 4) 보안설정 방법 ■.. 2017. 6. 19. 서버보안_보안성검토_체크리스트_사용설명서 ■ 점검 분류항목: 계정관리■ 세부 점검항목: 불필요한 계정의 삭제■ OS 종류: Linux■ 위험도: 하 1) 취약점 설명OS나 Package의 설치시 Default로 생성되는 계정은 대부분 기본 초기값인 Default로 설정되는 경우가 많다. 때문에 패스워드 추측공격에 악용기 가능하고, 시스템에서 사용하지 않는 ip,uucp,nuucp 등의 Default 계정 및 의심스러운 계정의 존재유무를 확인 후 삭제를 해야한다. ex)퇴직, 전직,휴직등으로 더 이상 사용하지 않는 계정, 불필요한 계정, 의심스러운 계정은 삭제해야 한다. 특히, 장기간 사용하지 않는 미사용 계정은 반복적인 패스워드 추측 공격이 가능하고 해당 계정 정보의 유출 여부 확인이 어렵다. 2) 판단의 기준○ (양호) - 불필요한 계정이 존.. 2017. 6. 9. ■ 리눅스 권한 설정 2017. 6. 6. 이전 1 ··· 24 25 26 27 28 29 30 다음
