18. 접속 IP 및 포트 제한 18. 접속 IP 및 포트 제한 처음 설치시 아무런 설정도 되어 있지 않다. 반드시 설정해줘야 하는 부분이다. [root@centos7 ~]# cat /etc/hosts.deny # # hosts.deny This file contains access rules which are used to # deny connections to network services that either use # the tcp_wrappers library or that have been # started through a tcp_wrappers-enabled xinetd. # # The rules in this file can also be set up in # /etc/hosts.allow with a 'deny' op.. 더보기 17. /$HOME/.rhosts, hosts.equiv 사용 금지 17. /$HOME/.rhosts, hosts.equiv 사용 금지 [root@centos7 ~]# [root@centos7 ~]# ls -al /etc/hosts.equiv ls: cannot access /etc/hosts.equiv: 그런 파일이나 디렉터리가 없습니다 [root@centos7 ~]# ls -l $HOME/.rhosts ls: cannot access /root/.rhosts: 그런 파일이나 디렉터리가 없습니다 ■ 취약점 개요 - *'r'command 사용을 통한 원격 접속은 *NET Backup이나 다른 용도로 사용되기도 하나, 보안상 매우 취약하여 서비스 포트가 열려있을 경우 중요 정보 유출 및 시스템 장애 발생 등 침해사고의 원인이 됨. - 만약 사용이 불가피한 경우 /etc/h.. 더보기 16. /dev에 존재하지 않는 device 파일 점검 16. /dev에 존재하지 않는 device 파일 점검 주기적으로 검사해야 함 처음깐거면 상관없음 ■ 취약점 개요 - 디바이스가 존재하지 않거나 이름이 잘못 입력된 경우 시스템은 */dev 디렉토리에 계속해서 파일을 생성하여 에러를 발생시킴. - 따라서 실제 존재하지 않는 디바이스를 찾아 제거함으로써 root 파일 시스템 손상 및 다운 문제를 방지하여야 함. * /dev 디렉토리 : 논리적 장치 파일을 담고 있는 /dev 디렉토리는 /devices 디렉토리에 있는 물리적 장치 파일에 대한 심볼릭 링크임. 예를 들어 rmt0를 rmto로 잘못 입력한 경우 rmto 파일이 새로 생성되는 것과 같이 디바이스 이름 입력 오류 시 root 파일 시스템이 에러를 일으킬 때까지 /dev 디렉토리에 계속해서 파일을 생.. 더보기 15. world writable 파일 점검 15. world writable 파일 점검 처음설치라 상관없나 이건 너무 어렵네, 일단 패스 /tmp는 안쓸꺼니까 설정 바꾸는게 맞는거 같긴 한데 [root@centos7 ~]# find / -perm -2 -type d -ls 8205 0 drwxrwxrwt 2 root root 40 7월 2 21:27 /dev/mqueue 8427 0 drwxrwxrwt 2 root root 40 7월 2 21:27 /dev/shm 69 0 drwxrwxrwt 3 root root 85 7월 2 21:27 /var/tmp 50712585 0 drwxrwxrwt 2 root root 6 7월 2 21:27 /var/tmp/systemd-private-983c1fc1e63f451eba0f95546ae8490d-chro.. 더보기 14. 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 14. 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 centos7 최소설치 후 볼것도 없음 ■ 대상 OS : SunOS, Linux, AIX, HP-UX ■ 취약점 개요 - 환경변수 파일의 접근권한 설정이 잘못되어 있을 경우 비인가자가 다양한 방법으로 사용자 환경을 변경하여 침해사고를 일으킬 수 있으므로 홈 디렉토리 내의 환경변수 파일에 대한 접근 권한(읽기/쓰기/실행)의 적정성을 점검함 ■ 보안대책 - 양호 : 홈 디렉토리 환경변수 파일 소유자가 root 또는, 해당 계정으로 지정되어 있고, 홈 디렉토리 환경변수 파일에 root와 소유자만 쓰기 권한이 부여된 경우 - 취약 : 홈 디렉토리 환경변수 파일 소유자가 root 또는, 해당 계정으로 지정되지 않고, 홈 디렉토리 환경변수 파일에 r.. 더보기 13. SetUID, SetGID, Sticky Bit 설정 파일 검사 13. SetUID, SetGID, Sticky Bit 설정 파일 검사 centos 7 최소설치 기준 나오는것들 SetUID SetGID Sticky_Bit /usr/bin/chfn /usr/bin/chsh /usr/bin/fusermount /usr/bin/chage /usr/bin/gpasswd /usr/bin/newgrp /usr/bin/sudo /usr/bin/mount /usr/bin/su /usr/bin/umount /usr/bin/pkexec /usr/bin/crontab /usr/bin/passwd /usr/sbin/pam_timestamp_check /usr/sbin/unix_chkpwd /usr/sbin/usernetctl /usr/lib/polkit-1/polkit-agent-help.. 더보기 12. /etc/services 파일 소유자 및 권한 설정 12. /etc/services 파일 소유자 및 권한 설정 centos7 최소설치 후 건들거 없음 [root@centos7 local]# ls -al /etc/services -rw-r--r--. 1 root root 670293 6월 7 2013 /etc/services [root@centos7 local]# ■ 대상 OS : SunOS, Linux, AIX, HP-UX ■ 취약점 개요 - 서비스 관리를 위해 사용되는 /etc/services 파일이 일반 사용자에 의해 접근 및 변경이 가능하면, 정상적인 서비스를 제한하거나 허용되지 않은 서비스를 악의적으로 실행시켜 침해사고를 발생시킬 수 있음. 따라서 소유자 권한 설정을 통해 접근을 제한하여야 함. ■ 보안대책 - 양호 : /etc/services 파.. 더보기 11. /etc/(r)syslog.conf 파일 소유자 및 권한 설정 11. /etc/(r)syslog.conf 파일 소유자 및 권한 설정 centos7 최소설치 후 설정값 건들거 없음 syslog는 버리고 rsyslog는 살리고 rsyslog_ng인가 먼가가 또 나왔다고 함 ※ 기존 서버에서 /etc/logrotate.conf, include /etc/logrotate.d 파일 열어 비교해 봐야 함 [root@centos7 local]# cat /etc/logrotate.conf # see "man logrotate" for details # rotate log files weekly #weekly : 주단위로 로그를 순환시킴 (daily, monthly 등 바꿀수 있음) weekly # keep 4 weeks worth of backlogs #rotate 4 : 순환 .. 더보기 10. /etc/(x)inetd.conf 파일 소유자 및 권한 설정 10. /etc/(x)inetd.conf 파일 소유자 및 권한 설정 centos6.x와 centos7.x가 바뀐점이다. inet.d와 xinet.d를 버린거 같다. yum을 통해 깔수는 있다. 일단 설정해줄건 없는거 같다. 한참을 찾았네 systemd에 대해서 알아야 한다. 일단 링크 걸어 참고하자 https://lunatine.net/2014/10/21/about-systemd/ 서비스 상태 확인 하기 systemctl status service_name.service 예를 들어 httpd의 상태를 확인하려면 다음과 같이 명령합니다. systemctl status httpd.service 서비스 시작, 중지, 재시작 하기 서비스 시작은 다음과 같이 명령합니다. systemctl start service.. 더보기 09. /etc/hosts 파일 소유자 및 권한 설정 09. /etc/hosts 파일 소유자 및 권한 설정 ■ 대상 OS : SunOS, Linux, AIX, HP-UX ■ 취약점 개요 - "/etc/hosts" 파일은 IP 주소와 호스트네임을 매핑 하는데 사용되는 파일이며, 이 파일의 접근권한 설정이 잘못 설정되어 있을 경우 악의적인 시스템을 신뢰하게 되므로 "/etc/hosts" 파일에 대한 접근권한을 제한하고 있는지 점검함. ■ 보안대책 - 양호 : /etc/hosts 파일의 소유자가 root이고, 권한이 600인 경우 - 취약 " /etc/hosts 파일의 소유자가 root가 아니거나, 권한이 600이 아닌 경우 ■ 조치방법 - "/etc/hosts" 파일의 소유자 및 권한 변경 (소유자 root, 권한 600) ■ 보안설정 방법 ◆ OS별 점검 파.. 더보기 08. /etc/shadow 파일 소유자 및 권한 설정 08. /etc/shadow 파일 소유자 및 권한 설정 [root@centos7 proc]# ls -al /etc/shadow ----------. 1 root root 713 7월 1 20:12 /etc/shadow 권한이 000인데 읽힌다.. 머지? 원래 이러나? root라 특수한가? root라 특수한거가 보다.. centos6.x는 어떻나 모르겟음 [root@centos7 proc]# cp /etc/shadow /etc/shadow2 [root@centos7 proc]# chown root:mhpark /etc/shadow2 [root@centos7 proc]# ls -al /etc/shadow2 ----------. 1 root mhpark 713 7월 1 20:28 /etc/shadow2 [ro.. 더보기 07. /etc/passwd 파일 소유자 및 권한 설정 07. /etc/passwd 파일 소유자 및 권한 설정 ■ 대상 OS : SunOS, Linux, AIX, HP-UX ■ 취약점 개요 - "/etc/passwd" 파일은 사용자의 ID, 패스워드(보안상 'x'로 표시), UID, GID, 홈 디렉토리, 쉘 정보를 담고 있는 중요 파일로 관리자 이외의 사용자가 "/etc/passwd" 파일에 접근 시 root 권한 획득이 가능하므로 해당 파일의 접근을 제한하여야 함. 주의사항 : 440으로 설정시 패스워드를 받아서 사용하는 여러 프로그램들이 정상작동 하지 않을 수 있으므로 444로 하자. ex) cron을 이용하여 주기적으로 scp를 보내고자 할 때 암호가 필요한다. 440으로 실행시 암호를 읽지 못하게 된다. 말이 맞나? ■ 보안대책 - 양호 : /etc.. 더보기 이전 1 2 3 4 다음
