InformationSecurity:CheckList:Unix

Unix계열 시스템의 보안 항목 체크 리스트.

[U-1] root 계정 원격 접속 제한

• (Linux) root 계정 원격 접속 제한(telnet, ssh)

Telnet 차단을 위한 /etc/securetty 파일 수정.

• /etc/securetty(Telnet접속시 root 접근 제한 설정파일) 에서 pts/0 ~ pts/x 설정 제거해서 접속경로 삭제.
• /etc/pam.d/login에서 #auth required /lib/security/pam_securetty.so 에서 주석 제거. (PAM설정 모듈에서 root 계정 접속 차단)

OpenSSH의 PermitRootLogin가 no 이거나 주석처리되어야 한다.

cat /etc/ssh/sshd_config | grep PermitRootLogin

출력 결과는 다음과 같다:

#PermitRootLogin prohibit-password
# the setting of "PermitRootLogin without-password".

[U-2] 패스워드 복잡성 설정

pam_cracklib (Linux PAM)을 사용하면 된다. /etc/pam.d/common-password 파일에 다음 내용을 추가하면 된다.

password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1  ocredit=-1

다음 명령으로 확인할 수 있다.

cat /etc/pam.d/common-password | grep password | grep requisite

[U-3] 계정 잠금 임계값 설정

pam_tally (Linux PAM)을 사용하면 된다. /etc/pam.d/common-auth 파일에 다음 내용을 추가하면 된다.

auth required pam_tally2.so onerr=fail even_deny_root deny=5 unlock_time=600

다음 명령으로 확인할 수 있다.

cat /etc/pam.d/common-auth | grep auth | grep required

[U-4] 패스워드 파일 보호

pwconv를 사용하면 /etc/passwd파일의 두 번째 필드가 x로 출력된다.

cat /etc/passwd | grep ':x:'

출력 결과는 다음과 같다:

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin

[U-5] root 이외의 UID가 '0' 금지

/etc/passwd 파일의 세 번째 필드가 0인 계정은 root만 허용된다.

## pwconv 명령으로 shadow 정책이 Enable 되어야 한다.
cat /etc/passwd | grep '^.*:x:0:'

다음과 같이 root 계정만 출력되어야 한다.

root:x:0:0:root:/root:/bin/bash

[U-6] root 계정 su 제한

su 명령은 wheel 사용자만 접근 가능하도록 pam_wheel (Linux PAM)을 사용하여 제한한다.

/etc/pam.d/su파일에 다음 내용은 추가하거나 수정한다:

auth required pam_wheel.so use_uid

wheel 그룹에 사용자를 추가한다. /etc/group 파일을 편집하면 된다.

wheel:x:10:root,hong,kim

일반 사용자는 사용하지 못하게 하고 wheel 그룹에 속한 사용자만 su 명령어를 사용할 수 있도록 권한을 수정한다.

chgrp wheel /bin/su
chmod 4750 /bin/su

[U-7] 패스워드 최소 길이 설정

/etc/login.defs파일의 PASS_MIN_LEN 값을 8 이상으로 설정한다.

cat /etc/login.defs | grep PASS_MIN_LEN

[U-8] 패스워드 최대 사용 기간 설정

/etc/login.defs파일의 PASS_MAX_DAYS 값을 60 이하으로 설정한다.

cat /etc/login.defs | grep PASS_MAX_DAYS

[U-9] 패스워드 최소 사용기간 설정

/etc/login.defs파일의 PASS_MIN_DAYS 값을 30 으로 설정한다.

cat /etc/login.defs | grep PASS_MIN_DAYS

[U-10] 불필요한 계정 제거

"주요정보통신기반시설 기술적 취약점 분석평가 가이드"에서 제시하는 기본적으로 차단하는 Default 계정은 다음과 같다.

• adm (시스템 관리자를 위한 별도계정)

• lp (로컬 프린트)
• sync (원격 동기화)
• shutdown (시스템 종료)
• halt (시스템 강제종료)
• news (news그룹 서버용, nntp를 사용하는 경우 필요)
• uucp (유닉스 시스템과 파일복사를 위한 프로토콜)
• operator (백업등 특수목적용, 여러 사용자에 의한 공통관리를 위해 사용)
• games (x-window 화면에서 게임을 위한 계정)
• gopher (과거 웹 서비스 이전에 사용하던 서비스)
• nfsnobody (network file system을 위한 계정)
• squid (프록시서버)

홈 폴더와 함께 제거하는 방법:

sudo userdel -r sync
sudo userdel -r news
sudo userdel -r uucp
sudo userdel -r games

[U-11] 관리자 그룹에 최소한의 계정 포함

/etc/group에 root 그룹에 등록된 불필요한 계정 삭제.

cat /etc/group | grep root

[U-12] 계정이 존재하지 않는 GID 금지

• 계정이 존재하지 않는 GID 금지 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드
• (계정관리)1.12 CentOS 6.7 계정이 존재하지 않는 GID 금지

/etc/group 파일을 확인한 후, 구성원이 없거나 더 이상 사용하지 않는 그룹명 삭제.

groupdel <group_name>

[U-13] 동일한 UID 금지

• Monble_정보보안 :: 동일한 UID 금지

/etc/passwd 파일내에 동일한 UID번호를 가진 사용자가 존재하면 안된다.

다음 명령으로 확인 가능:

cat /etc/passwd | awk -F: '{ print $3 }' | sort | uniq -d

[U-14] 사용자 shell 점검

• Monble_정보보안 :: 동일한 UID 금지 <- 사용자 shell 점검 항목도 존재한다.

로그인 필요 없는 계정을 통해 시스템에 접근하여 사용자의 명령어를 해석하고 악용할 가능성이 있으므로, 해당 계정의 기본 쉘(Shell)은 다음 중 하나로 설정한다.

• /bin/false
• /usr/sbin/nologin

/etc/passwd파일을 열고 해당 계정의 기본쉘을 편집한다. 편집하면 다음과 같은 내용이 된다.

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin

다음 명령으로 확인 가능하다.

cat /etc/passwd | awk -F: '{ print $7, $1 }' | sort | grep -v /usr/sbin/nologin | grep -v /bin/false

[U-15] Session Timeout 설정

• Monble_정보보안 :: Session TimeOut 설정

Bourne shell 호환

sh, ksh, bash, ash을 사용하는 경우:

/etc/profile(.profile)파일에 다음과 같이 추가/수정 한다. (단위: 초)

TMOUT=600
export TMOUT

csh

/etc/csh.login 또는 /etc/csh.cshrc 파일에 다음과 같이 추가/수정 한다. (단위: 분)

set autologout=10

[U-16] root 홈, 패스 디렉터리 권한 및 패스 설정

• Monble_정보보안 :: ■ 리눅스 서버 점검 가이드 2-1 root 홈, 패스 디렉터리 권한 및 패스 설정

/root 디렉터리 권한 확인. 그리고 PATH 환경변수에 디렉토리 숏컷(e.g. ., ..)이 포함되면 안된다.

env | grep PATH

출력 형태는 다음과 같아야 한다.

PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin:/usr/games:/usr/local/games:/snap/bin

[U-17] 파일 및 디렉터리 소유자 설정

• Monble_정보보안 :: ■ 리눅스 서버 점검 가이드 2-2 파일 및 디렉터리 관리

소유자가 존재하지 않은 파일 및 디렉터리 삭제 또는, 소유자 변경:

## (Docker 관련 파일 및 프로세스 관련 파일 제외)
find / -nouser -print | grep -v /var/lib/docker/ | grep -v /proc/
find / -nogroup -print | grep -v /var/lib/docker/ | grep -v /proc/

[U-18] /etc/passwd 파일 소유자 및 권한 설정

/etc/passwd 파일은 소유자가 root이고, 권한이 644 이하여야 한다.

ls -l /etc/passwd

[U-19] /etc/shadow 파일 소유자 및 권한 설정

/etc/shadow 파일은 소유자가 root이고, 권한이 400 이여야 한다.

ls -l /etc/shadow

[U-20] /etc/hosts 파일 소유자 및 권한 설정

/etc/hosts 파일은 소유자가 root이고, 권한이 600 이여야 한다.

ls -l /etc/hosts

업무서비스에 따라 소유그룹이나 other부분에 read권한을 줘야되는 경우가 생기므로 644양호도 고려해봐야함.

[U-21] /etc/(x)inetd.conf 파일 소유자 및 권한 설정

inetd 서비스를 위한 설정파일이다. 네트워크 장비에 접속을 요청한 사용자에 대한 신원 확인을 위해 사용함. 인증데몬에 대한 응답을 받을 때 유효성을 체크하지 않고 전적으로 클라이언트에서 처리하므로 인증이 위조될 수 있다.

/etc/inetd.conf 또는 /etc/xinetd.conf 파일은 소유자가 root이고, 권한이 600 이여야 한다.

ls -l /etc/inetd.conf
## or
ls -l /etc/xinetd.conf

[U-22] /etc/syslog.conf 파일 소유자 및 권한 설정

시스템 운영 중 발생하는 주요 로그 기록을 설정하는 파일.

/etc/syslog.conf 파일은 소유자가 root이고, 권한이 644 이여야 한다.

ls -l /etc/syslog.conf

[U-23] /etc/services 파일 소유자 및 권한 설정

서비스 관리를 위해 사용된다.

/etc/services 파일은 소유자가 root이고, 권한이 644 이여야 한다.

ls -l /etc/services

[U-24] SUID, SGID, Sticky bit 설정 파일 점검

setuid, setgid (SUID, SGID, Sticky bit) 는 다음 명령으로 점검할 수 있다.

## (Docker 관련 파일 및 Snapcraft 관련 파일 제외)
find / -perm -04000 | grep -v /var/lib/docker/ | grep -v /snap/
find / -perm -02000 | grep -v /var/lib/docker/ | grep -v /snap/
find / -perm -01000 | grep -v /var/lib/docker/ | grep -v /snap/

[U-25] 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정

홈 디렉터리 환경변수 파일은 다음과 같아야 한다.

• 루트 또는 계정 이름이 소유자로 부여.
• 루트와 소유자만 쓰기 권한 부여 경우.

해당 파일은 .profile, .kshrc, .cshrc, .bashrc, .bash_profile, .login, .exrc, .netrc 등이 있다.

홈 디렉토리에서 다음 명령으로 확인할 수 있다:

ls -la .bash* .profile .login .ex* .ksh* .csh*

[U-26] world writable 파일 점검

모든 사용자가 접근 및 수정할 수 있는 권한으로 설정된 파일 (world writable)이 있다면 정확히 파악해야 한다.

find / -perm -2 -ls

의외로 이러한 파일이 많아, 점검이 힘들다.

## 몇가지 패턴을 제외한 검사 방법:
find / -perm -2 -ls | grep -v /var/lib/docker/ | grep -v /snap/ | grep -v /run/ | grep -v /usr/ | grep -v /lib/ | grep -v /home/ | grep -v /dev/ | grep -v /proc/ | grep -v /sys/ | grep -v /tmp/

[U-27] /dev에 존재하지 않는 device 파일 점검

• U-27 /dev에 존재하지 않는 device 파일 점검

find /dev -type f -ls

[U-28] $HOME/.rhosts, hosts.equiv 사용 금지

• U-28 $HOME/.rhosts, hosts.equiv 사용 금지

r-command을 사용을 통한 원격 접속은 NET Backup이나 다른 용도로 사용되기도 하나, 보안상 매우 취약하여 서비스 포트가 열려있을 경우 중요 정보 유출 및 시스템 장애 발생 등 침해사고의 원인이 됨. 만약 사용이 불가피한 경우 /etc/hosts.equiv 파일 및 .rhosts 파일 사용자를 root 또는, 해당 계정으로 설정한 뒤 권한을 600으로 설정하고 해당 파일 설정에 +설정 (모든 호스트 허용) 이 포함되지 않도록 해야한다.

아래의 명령으로 확인할 수 있다.

ls -al /etc/hosts.equiv 
ls -al $HOME/.rhosts 

cat /etc/hosts.equiv | grep '+'
cat $HOME/.rhosts | grep '+'

[U-29] 접속 IP 및 포트 제한

/etc/hosts.deny 파일에 ALL Deny 설정 적용:

ALL:ALL

/etc/hosts.allow 파일에 접근 허용 서비스 및 IP 입력.

sshd: 192.168.0.148, 192.168.0.6

[U-30] hosts.lpd 파일 소유자 및 권한 설정

• Monble_정보보안 :: ■ 리눅스 서버 점검 가이드 2-15 hosts.lpd 파일 소유자 및 권한설정

Line Printer Daemon protocol (LPD) / Line Printer Remote protocol (LPR) 에서 IP 스푸핑방지를 위해 파일 권한/소유자 확인.

파일의 소유자가 root이고, Other에 쓰기 권한이 부여되어 있지 않아야 한다. (권한은 600으로 유지되는게 좋다)

ls -l /etc/hosts.lpd

[U-31] NIS 서비스 비활성화

• Monble_정보보안 :: ■ 리눅스 서버 점검 가이드 2-16 NIS 서비스 비활성화

서비스를 꺼야한다.

[U-32] UMASK 설정 관리

umask 값을 022 이하로 설정한다. /etc/profile 파일에 다음 내용을 수정 또는 추가.

umask 022
export umask

현재 설정된 값은 그냥 umask명령을 날리면 된다.

[U-33] 홈디렉토리 소유자 및 권한 설정

홈 디렉터리 소유자가 해당 계정이고, 일반 사용자 쓰기 권한이 제거되어야 한다.

다음 명령으로 확인할 수 있다:

ls -l -d $HOME

[U-34] 홈디렉토리로 지정한 디렉토리의 존재 관리

• Monble_정보보안 :: ■ 리눅스 서버 점검 가이드 2-19 파일 및 디렉터리 관리- 홈 디렉터리로 지정한 디렉터리의 존재관리

/etc/passwd 파일의 모든 사용자 계정이 적절한 홈 디렉터리를 갖는지 확인한다. 홈 디렉터리가 없는 계정이 발견된 경우 아래의 방법 적용

• 홈 디렉터리가 없는 사용자 계정 삭제
• 홈 디렉터리가 없는 사용자 계정에 홈 디렉터리 지정

다음 명령으로 확인 가능하다:

cat /etc/passwd | awk -F: '{print $1, $6}'

[U-35] 숨겨진 파일 및 디렉토리 검색 및 제거

숨겨진 파일을 찾아보고 불필요할 경우 삭제.

[U-36] Finger 서비스 비활성화

finger 명령어는 로컬 사용자 or 원격 사용자의 계정 정보를 확인 하는 명령어임. 지정된 계정 사용자의 정보를 /etc/passwd 파일에서 읽어서 보여줌.

서비스가 켜져있다면 종료하면 된다.

[U-37] Anonymous FTP 비활성화

/etc/passwd 파일에 ftp 또는, anonymous 계정이 있다면 제거한다.

userdel ftp
userdel anonymous

다음 명령으로 확인:

cat /etc/passwd | egrep 'ftp|anonymous'

[U-38] r 계열 서비스 비활성화

Remote Shell 서비스를 모두 종료한다.

[U-39] cron 파일 소유자 및 권한 설정

cron 접근제어 파일은 소유자가 root이고, 권한이 640 이하여야 한다.

확인 방법은 다음과 같다:

ls -la /etc/cron*

[U-40] DoS 공격에 취약한 서비스 비활성화

Dos 공격에 취약한 echo, discard, daytime, chargen 서비스를 비활성화 환다.

[U-41] NFS 서비스 비활성화

NFS 데몬(nfsd, statd, mountd)은 중지한다.

[U-42] NFS 접근통제

/etc/exports 파일에 꼭 필요한 공유 디렉토리만 나열해야 한다.

[U-43] automountd 제거

Automounter/AutoFS 관련 서비스는 모두 제거한다.

[U-44] RPC 서비스 확인

• IT 보물창고 :: (리눅스 보안) 서버 관리 - RPC 서비스 확인

RPC (Remote Procedure Call) 서비스는 분산처리 환경에서 개발을 하는 데 있어 많은 이점을 제공하지만, 아래와 같은 서비스들은 버퍼 오버플로우(Buffer Overflow)취약성이 다수 존재하여 root 권한 획득 및 침해사고 발생 위험이 있으므로 서비스를 중지하여야 함.

• rpc.cmsd
• rpc.ttdbserverd
• sadmind
• rusersd
• walld
• sprayd
• rstatd
• rpc.nisd
• rexd
• rpc.pcnfsd
• rpc.statd
• rpc.ypupdated
• rpc.rquotad
• kcms_server
• cachefsd

[U-45] NIS, NIS+ 점검

• IT 보물창고 :: (리눅스 보안) 서버 관리 - NIS, NIS+ 점검

NIS (Network Information Service)는 중요한 시스템 데이터베이스 파일들을 네트워크를 통하여 공유하며, NIS+는 보안 및 편의 기능들을 추가한 그 후의 버전임. 보안상 취약한 서비스인 NIS, NIS+를 사용하는 경우 root 권한 획득이 가능하므로 사용하지 않는 것이 가장 바람직하나 만약 NIS를 사용해야 하는 경우 사용자 정보보안에 많은 문제점을 내포하고 있는 NIS보다 NIS+를 사용하는 것을 권장함.

[U-46] tftp, talk 서비스 비활성화

• IT 보물창고 :: (리눅스 보안) 서버 관리 - tftp, talk 서비스 비활성화

서비스 운용에 불필요한 ftp, tftp, telnet, talk 서비스를 사용하지 않아야 한다.

[U-47] Sendmail 버전 점검

• 리눅스 서버보안 (서비스 관리) :: DrakeOh

Sendmail은 널리 쓰이는 만큼 많은 취약점이 알려져 있어 공격에 목표가 되기 쉬우므로 서버에서 Sendmail을 사용하는 목적을 검토하여 사용할 필요가 없는 경우, 서비스를 제거하는 것이 바람직함. 만일 운영할 필요가 있다면 취약점이 없는 Sendmail 버전을 유지하고 취약점에 대한 패치가 발표되었을 시 빠른 시기에 이를 적용하도록 함. 그렇지 않을 경우 버퍼 오버플로우(Buffer Overflow)의 공격에 의한 시스템 권한 획득 및 주요 정보 유출 가능성이 있음. Sendmail 버전을 8.13.8 이상으로 유지한다.

[U-48] 스팸 메일 릴레이 제한

• 리눅스 서버보안 (서비스 관리) :: DrakeOh

SMTP (Simple Mail Transfer Protocol) 서버의 릴레이 기능을 제한하지 않을 경우 스팸 메일 서버로 악용되거나, 서버의 부하가 증가할 수 있음. 따라서 인증된 사용자에 게 메일을 보낼 수 있도록 릴레이 제한을 설정하거나 불필요 시 SMTP 서비스를 중지하여야 함.

[U-49] 일반사용자의 Sendmail 실행 방지

• IT 보물창고 :: (리눅스 보안) 서버 관리 - 일반사용자의 Sendmail 실행 방지

SMTP 서비스 사용 시 일반 사용자의 q 옵션을 사용한 Sendmail 실행을 방지하여 메일큐 내용과 sendmail 설정을 보거나, 메일큐를 강제적으로 Drop 시킬 수 있는 기능을 막아야 함. 그렇지 않을 경우 비인가자에 의한 SMTP 서비스 오류 발생이 가능함.

[U-50] DNS 보안 버전 패치

• U-50 DNS 보안 버전 패치

BIND (Berkeley Internet Name Domain)는 BIND 9.5.0 버전이 나왔으며 이하 버전에서는 많은 취약점이 존재함. BIND 8.x는 BIND의 distribution을 Sendmail의 버전과 일치시키기 위해 사용하는 새로운 버전 번호로 BIND 4의 Production version에 비하여 안정성, 성능, 보안성 등이 향상되었으나, BIND 8.3.4 이하 버전에서는 서비스거부 공격, 버퍼 오버플로우(Buffer Overflow) 및 DNS 서버 원격 침입 등의 취약성이 존재함.

결론: 그냥 DNS 서비스를 사용하지 말아라.

[U-51] DNS ZoneTransfer 설정

• IT 보물창고 :: (리눅스 보안) 서버 보안 - DNS Zone Transfer 설정

DNS Zone Transfer는 Primary Name Server와 Secondary Name Server 간에 Zone 정보를 일관성 있게 유지하기 위하여 사용하는 기능으로 Secondary Name Server로만 Zone 정보를 전송하도록 제한하여야 함. 만약 허가되지 않는 사용자에게 Zone Transfer를 허용할 경우 공격자는 전송받은 Zone 정보를 이용하여 호스트 정보, 시스템 정보, 네트워크 구성 형태 등의 많은 정보를 파악할 수 있음.

결론: 그러니까 DNS 서비스 끄라니까

[U-52] Apache 디렉토리 리스팅 제거

개떡같은 아파치 그냥 쓰지 말아라!!

[U-53] Apache 웹 프로세스 권한 제한

개떡같은 아파치 그냥 쓰지 말아라!!

[U-54] Apache 상위 디렉토리 접근 금지

개떡같은 아파치 그냥 쓰지 말아라!!

[U-55] Apache 불필요한 파일 제거

개떡같은 아파치 그냥 쓰지 말아라!!

[U-56] Apache 링크 사용금지

개떡같은 아파치 그냥 쓰지 말아라!!

[U-57] Apache 파일 업로드 및 다운로드 제한

개떡같은 아파치 그냥 쓰지 말아라!!

[U-58] Apache 웹 서비스 영역의 분리

개떡같은 아파치 그냥 쓰지 말아라!!

[U-59] ssh 원격접속 허용

그냥 원격 접속은 SSH 쓰라는말.

[U-60] ftp 서비스 확인

FTP 서비스는 아이디 및 패스워드가 암호화되지 않은 채로 전송되어 간단한 Sniffer에 의해서도 스니핑이 가능하므로 반드시 필요한 경우를 제외하고는 FTP 서비스 사용을 제한하여야 함.

[U-61] ftp 계정 shell 제한

ftp 계정의 기본 쉘을 사용하지 말아라. /bin/false를 쓰면 된다.

[U-62] Ftpusers 파일 소유자 및 권한 설정

/etc/ftpusers 파일의 소유자가 root이고, 권한이 640 이하로 유지하라.

[U-63] Ftpusers 파일 설정

FTP 접속 시 root 계정으로 직접 접속 할 수 없도록 설정파일 수정.

[U-64] at 파일 소유자 및 권한 설정

/etc/at.allow 접근제어 파일의 소유자가 root이고, 권한이 640 이하로 유지.

[U-65] SNMP 서비스 구동 점검

• U-65 SNMP 서비스 구동 점검

SNMP (Simple Network Management Protocol)서비스는 시스템 상태를 실시간으로 파악하거나 설정하기 위하여 사용하는 서비스임. SNMP 서비스로 인하여 시스템의 주요 정보 유출 및 정보의 불법수정이 발생할 수 있으므로 SNMP 서비스를 사용하지 않을 경우 중지시키는게 좋다.

[U-66] SNMP 서비스 커뮤니티스트링의 복잡성 설정

• (리눅스 보안) 서버 관리 - SNMP 서비스 Sommunity String의 복잡성 설정

SNMP (Simple Network Management Protocol) 서비스는 시스템 상태를 실시간으로 파악하는 NMS (Network Management System)를 위하여 UNIX 시스템에서 기본적으로 제공하는 서비스이며 정보를 받기 위해 일종의 패스워드인 Community String을 사용함. Community String은 Default로 public, private로 설정된 경우가 많으며, 이를 변경하지 않으면 이 String을 악용하여 시스템의 주요 정보 및 설정을 파악할 수 있음. 따라서 SNMP Community 이름이 public, private 이 아니여야 한다.

[U-67] 로그온 시 경고 메시지 제공

로그인 배너가 설정되지 않을 경우 배너에 서버 OS 버전 및 서비스 버전이 공격자에게 노출될 수 있으며 공격자는 이러한 정보를 통하여 해당 OS 및 서비스의 취약점을 이용하여 공격을 시도할 수 있음.

아래의 각 파일을 수정한다.

• /etc/issue: 콘솔(로컬) 접속시도시 보여줄 메시지파일. (로그인 전)
• /etc/issue.net: 원격지에서 접속시도시 보여줄 메시지파일. (로그인 전)
• /etc/motd: 로컬접속, 원격접속 모두에 해당하며 로그인 성공 후 뵤여줄 메시지 파일 (로그인 후)

ssh접속시 출력되는 내용은 설정파일의 배너를 수정하면 된다.

cat /etc/ssh/sshd_config | grep Banner

[U-68] NFS 설정 파일 접근 권한

• IT 보물창고 :: (리눅스 보안) 서버 관리 - NFS 설정파일 접근권한

NFS 접근제어 설정파일, /etc/export의 소유자가 root 이고, 권한이 644 이하여야 한다.

[U-69] expn, vrfy 명령어 제한

SMTP (Simple Mail Transfer Protocol)는 많은 취약성을 갖고 있어 잠재적인 위험이 존재함. 서버에서 SMTP를 사용하는 목적을 검토하여 사용할 필요가 없는 경우 서비스를 제거해야 하며, SMTP 서비스 운영 시 Sendmail Abuse를 방지하기 위해 Sendmail의 기본적인 서비스인 VRFY, EXPN을 막아야 함.

• VRFY: SMTP 클라이언트가 SMTP 서버에 특정 아이디에 대한 메일이 있는지 검증하기 위해 보내는 명령어를 말함
• EXPN (메일링 리스트 확장): 메일 전송 시 포워딩하기 위한 명령어를 말함

noexpn, novrfy 옵션을 설정하면 된다.

[U-70] Apache 웹서비스 정보 숨김

개떡같은 아파치 그냥 쓰지 말아라!!

[U-71] 최신 보안패치 및 벤더 권고사항 적용

패치 적용 정책을 수립하여 주기적으로 패치를 관리해야 한다.

[U-72] 로그의 정기적 검토 및 보고

로그 기록의 검토, 분석, 리포트 작성 및 보고 등이 정기적으로 이루어져야 한다.

[U-73] 정책에 따른 시스템 로깅 설정

로그 기록 정책이 정책에 따라 설정되어 수립되어야 한다.

Documentation

동서발전 시스템별 보안점검 체크리스트

Korea_east-west_power_-_security_checklist.xls.zip (2020-11-18)

유닉스서버, 윈도우즈서버, 제어PC(Client), 보안장비, 네트워크장비, 제어시스템, 데이터베이스, 응용시스템(웹), 특수시스템

KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법

??

See also

• Unix
• Information Security
• Linux:Syslog: 로그파일 가이드 ETC.
• Linux:User: 리눅스 사용자 관리.
  • Linux:Shadow, Linux:Passwd