You cannot see this page without javascript.

진주성 블로그 방문하기

보안 서버 취약점 점검

2019.10.31 02:12

구피천사 조회 수:1004

서버 취약점 점검(p.115)

 

1. 계정관리

root계정 원격 접속 제한 : /etc/securetty, /etc/pam.d/login

 

패스워드 복잡성 설정 : 패스워드 관리 방법

영문(대소), 숫자, 특수문자를 조합

2종류 이상 최소 10자리, 3종류 이상 최소 9자리

시스템 마다 상이한 패스워드 사용

가급적 자주 패스워드를 변경

/etc/pam.d/system-auth 파일 설정

password requisite pam_cracklib.so retry=5 minlenth=9 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1

 

계정 잠금 임계값 설정 : /etc/pam.d/system-auth (pam_tally2.so deny=5 unlock_time=120)

 

패스워드 파일 보호 : /etc/shadow 사용 (perm root 400)

 

root 이외의 UID'0' 금지 : UIDGID가 모두 0으로 설정된 것 확인

 

root 계정 su 제한 : su 가 관련 그룹에서만 허용

groupadd wheel

chgrp wheel /usr/bin/su

chmod 4750 /usr/bin/su

usermod G wheel <user_name>

 

 

패스워드 최소 길이 설정 : /etc/login.defs (PASS_MIN_LEN 9)

패스워드 최대 사용기간 설정 : /etc/login.defs (PASS_MAX_DAYS 90)

패스워드 최소 사용기간 설정 : /etc/login.defs (PASS_MIN_DAYS 1)

 

불필요한 계정 제거 : lp, uucp, nuucp

관리자 그룹에 최소한의 계정 포함 : /etc/group “0“ 확인

계정이 존재하지 않은 GID 금지 : /etc/group

동일한 UID 금지 : /etc/passwd

사용자 Shell 점검 : /etc/passwd (/sbin/nologin, /bin/false)

Session Timeout 설정 : /etc/profile(TMOUT=600)

 

 

2. 파일 및 디렉터리 관리

root , 패스 디렉터리 권한 및 패스 설정 : PATH 환경변수에 “.” 삭제

 

파일 및 디렉터리 소유자 설정

소유자/소유그룹이 존재하지 않는 파일/디렉터리 검색

find . \( -nouser o nogroup \) -exec ls al {} \;

결과를 소유자/소유그룹 변경, 불필요시 삭제 한다.

 

/etc/passwd 파일 소유자 및 권한 설정 : root 소유, 644 이하

/etc/shadow 파일 소유자 및 권한 설정 : root 소유, 400 이하

/etc/hosts 파일 소유자 및 권한 설정 : root 소유, 600 이하

/etc/(x)inetd.conf 파일 소유자 및 권한 설정 : root 소유, 600 이하

/etc/syslog.conf 파일 소유자 및 권한 설정 : root 소유, 644 이하

/etc/services 파일 소유자 및 권한 설정 : root 소유, 644 이하

 

SUID, SGID, Sticky bit 설정 파일 점검

chmod s <file_name> #삭제

find / -user root type f \( -perm 4000 o perm 2000 \) -xdev exec ls al {} \;

 

 

사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 :소유자,권한 확인

chown , chmod o-w

 

 

world writable 파일 점검

world writable : 모든 사용자에게 쓰기 권한이 부여되어있는 파일 즉, 퍼미션 777

find / -perm 2 exec ls al {} \;

쓰기권한을 제거하거나, 불필요한 파일/디렉터리는 삭제한다.

chmod o-w 파일명

 

/dev 에 존재하지 않는 device 파일 점점 : find /dev type f exec ls l {} \;

 

$HOME/.rhosts, hosts.equiv 사용 금지 : “r”command 사용 금지

 

접속 IP 및 포트 제한 : /etc/hosts.deny (all:all)

/etc/hosts.allow (sshd:허용ip)

 

hosts.lpd 파일 소유자 및 권한 설정 : (로컬 프린트 서비스)파일 삭제 및 권한 변경

 

NIS 서비스 비활성화 : 비활성화(서비스 중지)

UMASK 설정 관리 : /etc/profile (UMASK=022)

홈디렉토리 소유자 및 권한 설정

홈디렉토리로 지정한 디렉토리의 존재 관리

숨겨진 파일 및 디렉토리 검색 및 제거 : find / -type f name “.*” , find / -type d name “.*”

 

 

windows 로컬보안정책 : secpol.msc

 

 

번호 제목 날짜 조회 수
170 Restore Database And Rename Database Files Example 2019.03.26 60266
169 Dns 보안 file 2017.08.23 20211
168 Sun t2000 manual file 2017.08.24 19862
167 AD(Active Directory) 2017.11.01 18593
166 한글 putty file 2017.09.13 11998
165 Tear Drop / Tiny Fragment / Fragment Overlap(고전적인방법) file 2017.10.17 8819
164 Cain & Abel is a password recovery tool 2018.03.12 8061
163 win-sshfs for windows file 2017.09.13 7770
162 룰 기반의 IDS(침입탐지시스템) - snort file 2017.09.27 7652
161 HP-UX snmp 중지 설정 2017.09.07 6859
160 VPN 2017.11.01 5138
159 보안관제 file 2017.11.01 4767
158 아파치 2.2.29 버젼에서 SSLProtocol 중 TLSv1.2로 설정 2019.02.27 4416
157 tcpdump - dump traffic on a network [1] file 2017.10.13 4027
156 윈도우용 wget file 2017.09.28 4017
진주성 블로그 방문하기
CLOSE