서버 취약점 점검(p.115)
1. 계정관리
root계정 원격 접속 제한 : /etc/securetty, /etc/pam.d/login
패스워드 복잡성 설정 : 패스워드 관리 방법
영문(대소), 숫자, 특수문자를 조합
2종류 이상 최소 10자리, 3종류 이상 최소 9자리
시스템 마다 상이한 패스워드 사용
가급적 자주 패스워드를 변경
/etc/pam.d/system-auth 파일 설정
password requisite pam_cracklib.so retry=5 minlenth=9 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1
계정 잠금 임계값 설정 : /etc/pam.d/system-auth (pam_tally2.so deny=5 unlock_time=120)
패스워드 파일 보호 : /etc/shadow 사용 (perm root 400)
root 이외의 UID가 '0' 금지 : UID와 GID가 모두 0으로 설정된 것 확인
root 계정 su 제한 : su 가 관련 그룹에서만 허용
groupadd wheel
chgrp wheel /usr/bin/su
chmod 4750 /usr/bin/su
usermod –G wheel <user_name>
패스워드 최소 길이 설정 : /etc/login.defs (PASS_MIN_LEN 9)
패스워드 최대 사용기간 설정 : /etc/login.defs (PASS_MAX_DAYS 90)
패스워드 최소 사용기간 설정 : /etc/login.defs (PASS_MIN_DAYS 1)
불필요한 계정 제거 : lp, uucp, nuucp
관리자 그룹에 최소한의 계정 포함 : /etc/group 에 “0“ 확인
계정이 존재하지 않은 GID 금지 : /etc/group
동일한 UID 금지 : /etc/passwd
사용자 Shell 점검 : /etc/passwd (/sbin/nologin, /bin/false)
Session Timeout 설정 : /etc/profile(TMOUT=600)
2. 파일 및 디렉터리 관리
root 홈, 패스 디렉터리 권한 및 패스 설정 : PATH 환경변수에 “.” 삭제
파일 및 디렉터리 소유자 설정
소유자/소유그룹이 존재하지 않는 파일/디렉터리 검색
find . \( -nouser –o –nogroup \) -exec ls –al {} \;
결과를 소유자/소유그룹 변경, 불필요시 삭제 한다.
/etc/passwd 파일 소유자 및 권한 설정 : root 소유, 644 이하
/etc/shadow 파일 소유자 및 권한 설정 : root 소유, 400 이하
/etc/hosts 파일 소유자 및 권한 설정 : root 소유, 600 이하
/etc/(x)inetd.conf 파일 소유자 및 권한 설정 : root 소유, 600 이하
/etc/syslog.conf 파일 소유자 및 권한 설정 : root 소유, 644 이하
/etc/services 파일 소유자 및 권한 설정 : root 소유, 644 이하
SUID, SGID, Sticky bit 설정 파일 점검
chmod –s <file_name> #삭제
find / -user root –type f \( -perm –4000 –o –perm –2000 \) -xdev –exec ls –al {} \;
사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 :소유자,권한 확인
chown , chmod o-w
world writable 파일 점검
world writable : 모든 사용자에게 쓰기 권한이 부여되어있는 파일 즉, 퍼미션 777
find / -perm –2 –exec ls –al {} \;
쓰기권한을 제거하거나, 불필요한 파일/디렉터리는 삭제한다.
chmod o-w 파일명
/dev 에 존재하지 않는 device 파일 점점 : find /dev –type f –exec ls –l {} \;
$HOME/.rhosts, hosts.equiv 사용 금지 : “r”command 사용 금지
접속 IP 및 포트 제한 : /etc/hosts.deny (all:all)
/etc/hosts.allow (sshd:허용ip)
hosts.lpd 파일 소유자 및 권한 설정 : (로컬 프린트 서비스)파일 삭제 및 권한 변경
NIS 서비스 비활성화 : 비활성화(서비스 중지)
UMASK 설정 관리 : /etc/profile (UMASK=022)
홈디렉토리 소유자 및 권한 설정
홈디렉토리로 지정한 디렉토리의 존재 관리
숨겨진 파일 및 디렉토리 검색 및 제거 : find / -type f –name “.*” , find / -type d –name “.*”
windows 로컬보안정책 : secpol.msc
댓글 0
번호 | 제목 | 날짜 | 조회 수 |
---|---|---|---|
64 | 급증하는 키싱(Qishing) 공격 | 2023.11.14 | 12 |
63 | Linux system service bug gives you root on every major distro | 2022.02.05 | 36 |
62 | 2021년도 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법 상세가이드 | 2022.06.23 | 38 |
61 | Apache Log4j 취약점및 대응방안 | 2022.02.05 | 43 |
60 | 개인정보 | 2017.11.01 | 75 |
59 | IoT 보안 | 2017.11.08 | 87 |
58 | 디지털 포렌직 조사의 일반원칙 | 2017.11.07 | 92 |
57 | 정보통신망법 | 2017.11.09 | 97 |
56 | 개인정보 보호법 | 2017.11.09 | 97 |
55 | 전자서명법 - 공인인증서 | 2017.11.09 | 104 |
54 | IPv4, IPv6 | 2017.11.01 | 108 |
53 | HTTP Header | 2017.11.01 | 112 |
52 | 법규 - 추가작성 | 2017.11.01 | 114 |
51 | 쉘쇼크(Shellshock) | 2017.11.07 | 117 |
50 | 접근통제 참조모델 | 2017.11.07 | 143 |
49 | 개인정보 피해방지 10계명 | 2017.12.29 | 155 |
48 | 블록체인 | 2017.10.31 | 162 |
47 | ISMS - 정보보호관리체계 | 2017.11.01 | 170 |
46 | 전자서명의 원리 | 2017.10.30 | 183 |
45 | WLAN, VLAN | 2017.11.01 | 189 |