본문 바로가기
[파일 및 디렉토리 관리]2.6 CentOS 6.7 /etc/(x)inetd.conf 파일 소유자 및 권한 설정 /etc/(x)inetd.conf(인터넷 슈퍼데몬 서비스) 설정파일인 inetd.conf(xinetd.d) 파일에 대한 접근 권한을 제한하고 있는지에 대한 여부를 점검하며, inetd.conf(xinetd.d)의 접근권한이 과도하게 설정되어 있을 경우 비 인가자가 악의적인 프로그램을 등록하고 root 권한으로 서비스를 실행시켜, 기존 서비스에 영향을 줄 수 있다. /etc/(x)inetd.conf 파일 소유자 및 권한 설정(취약한 설정) xinetd.d 디렉토리의 퍼미션을 확인했을 때 과도하게 권한이 지정되어 있는 것을 확인했다. 동작 중인 서비스를 확인 시 finger 서비스가 동작중임을 확인했다. xinetd.d 파일에서 finger 서비스 역시도 권한이 과도하게 설정되어 있어, 모든 사용자가 fin..
[파일 및 디렉토리 관리]2.5 CentOS 6.7 /etc/hosts 파일 소유자 및 권한 설정 /etc/hosts 파일은 Ip주소와 호스트네임을 매핑하는데 사용되는 파일이며, 이 파일에 비 인가자 쓰기 권한이 부여된 경우, 공격자는 /etc/hosts 파일에 악의적인 시스템을 등록하고, 이를 통해 정상적인 DNS를 우회하여 악성사이트로 접속을 유도하는 파밍(Pharming)공격 등에 악용될 수 있으므로 파일에 대한 접근권한을 제한하고 있는지 점검해야 한다. /etc/hosts 파일 소유자 및 권한 설정(취약한 설정) hosts 파일의 퍼미션을 확인했을 때 모든 계정에서 읽기, 쓰기, 실행 모두 가능한 것을 확인했다. hosts 파일에 등록된 정보를 확인했을 때 googledns가 등록되어 있는 것을 확인했다. 이를 통해서, ping 통신을 시도했을 때 root 계정에서는 아무 이상 없이 통신이 가..
[파일 및 디렉토리 관리]2.4 CentOS 6.7 /etc/shadow 파일 소유자 및 권한 설정 /etc/shadow 파일은 시스템에 등록된 모든 계정의 패스워드를 암호화된 형태로 저장 및 관리하고 있는 중요 파일로 root 계정을 제외한 모든 사용자의 접근을 제한해야 한다. 해당 파일에 대한 권한 관리가 이뤄지지 않을 경우 ID 및 패스워드 정보가 외부로 노출될 수 있는 위험이 존재한다. /etc/shadow 파일 소유자 및 권한 설정(취약한 설정) 관리자의 계정을 제외한 그룹 및 일반 사용자에게 필요 이상으로 과도한 퍼미션이 할당되어 있다. 일반 사용자의 계정으로 shadow 파일을 열람 할 수 있는 것을 확인했다. 모든 계정의 암호화된 password 값을 통해 복호화를 진행하여, 모든 계정의 패스워드를 알아낼 수 있는 위험이 있다. /etc/shadow 파일 소유자 및 권한 설정(양호한 설정..
[파일 및 디렉토리 관리]2.3 CentOS 6.7 /etc/passwd 파일 소유자 및 권한 설정 /etc/passwd 파일은 사용자의 ID, 패스워드(보안상 'x'로 표시), UID, GID, 홈 디렉토리 쉘 정보를 담공 ㅣㅅ는 중요 파일로 관리자 이외의 사용자가 /etc/passwd 파일에 접근 시 root 계정의 권한 획득이 가능하므로 해당 파일의 접근을 제한해야 한다. /etc/passwd 파일 소유자 및 권한 설정(취약한 설정) /etc/passwd 파일의 권한을 확인했을 때 과도하게 많은 권한이 부여되어 있는 것을 확인했다. 과도한 권한이 부여되어 있는 경우, 일반 계정으로 /etc/passwd 파일에 접근해, 일반 사용자가 자신의 권한을 상승시킬 수 있다. 일반 사용자의 계정으로 접근해, UID, 와 GID를 확인해 보면, mbl3ck의 계정으로 접근을 시도 했지만, root 계정으로 권..
[파일 및 디렉토리 관리] 2.2 CentOS 6.7 파일 및 디렉터리 소유자 설정 소유자가 존재하지 않는 파일 및 디렉토리는 현재 권한이 없는 자(퇴직자, 전직, 휴직 등)의 소유였거나, 관리 소홀로 인해 생긴 파일일 가능성이 존재한다. 만약 중요 파일 및 디렉토리일 경우 문제가 발생할 수 있으므로 관리를 해야한다. 파일 및 디렉토리 소유자 설정(취약한 설정) secure.txt파일에, 그룹이 할당되어 있는 것을 확인했고, 해당하는 그룹에 포함되어 있는 사용자가 누구인지 확인 했을 때,퇴직자의 계정인 것을 확인했다. 퇴직자의 계정에 할당되어 있는 UID와 GID를 확인 시 일반 계정인 것을 확인했으며, 파일을 열람 및 실행이 가능하다. 파일 및 디렉토리 소유자 설정(양호한 설정) 퇴직자의 계정이 속해있는 그룹을 삭제 소유자나 소유그룹이 지정되지 않은 파일을 확인했을 때 /tmp/sec..
[계정관리]1.15 CentOS 6.7 Session Timeout 설정 계정이 접속된 상태로 방치될 경우 권한이 없는 사용자가 접근된 계정에 물리적으로 접근해 중요 시스템이 노출되어 악의적인 목적으로 사용될 수 있으므로 일정 시간 이후 어떠한 이벤트가 발생하지 않으면 연결을 종료하는 Session Timeout 설정이 필요하다. Session Timeout 설정(취약한 설정) 일정 시간이 지나도 계정이 로그아웃되지 않고 유지되는 것을 확인할 수 있다. 계정이 로그아웃되지 않고 유지된다면, 물리적으로 악의적인 목적을 가진 사용자가 접근해 시스템에 악의적인 목적을 행할 수 있다. Session Timeout 설정(양호한 설정) /etc/profile 파일에서 Session Timeout 설정을 지정해준다. 가이드에 따라서 600(10분)으로 지정했다. 그 후 source /et..
[계정관리]1.14 CentOS 6.7 사용자 Shell 점검 로그인이 필요 없는 계정을 이용해 시스템에 접근해 사용자의 명령어를 해석하고 악용할 가능성이 있으므로, /bin/false 쉘(shell)을 부여해 로그인을 금지해야 한다. 사용자 Shell 점검(취약한 설정) 로그인이 불 필요한 계정이 존재하는지 확인한다. 불 필요하게 로그인 권한이 부여된 계정들을 존재하는 것을 파악했다. 사용자 Shell 점검(양호한 설정) 불 필요하게 로그인 권한이 부여된 계정을 로그인이 불가능하게 설정을 변경한다.
[계정관리]1.13 CentOS 6.7 동일한 UID 금지 Unix 시스템은 모든 사용자 계정에 UID를 부여해 해당 UID로 사용자 이름, 패스워드, 홈 디렉터리 등과 같은 사용자 정보를 대응시키며, 만약 중복된 UID가 존재하는 경우 시스템에서 사용자로 인식하여 문제가 발생될 수 있으며 공격자에 의한 개인정보 및 관련 데이터 유출 발생 시에도 감사 추적이 어렵게 된다. 동일한 UID 금지(취약한 설정) /etc/passwd 파일에서 계정이 어떤 것들이 존재하는지 확인한다. mbl3ck가 UID가 501을 갖고 존재하고 있는데, 일부로 동일한 UID 값을 갖는 mbl2ck 계정을 생성했다. /etc/passwd 파일에 UID 값이 501을 갖는 계정이 존재하는지 확인하며, 계정이 잘 생성됐는지 확인한다. mbl3ck의 홈 디렉터리에 secret이라는 파일을 하..
[계정관리]1.12 CentOS 6.7 계정이 존재하지 않는 GID 금지 미흡한 계정 그룹 관리로 인해 구성원이 없는 그룹이 존재할 경우 해당 그룹 소유의 파일이 비인가자에게 노출 될 위험이 있으며, 계정이 존재하지 않는 GID(Group Identification) 설정을 관리자와 검토 후 제거해야 한다. GID(Group Identification)이란, 다수의 사용자가 특정 개체를 공유할 수 있게 연계시키는 특정 그룹의 이름으로 주로 계정처리 목적으로 사용되며, 한 사용자는 여러 개의 GID를 가질 수 있다. 관리자 그룹에 최소한의 계정 포함(취약한 설정) /etc/group 파일에 있는 그룹들 중 구성원이 존재하지 않는 그룹이 있는지 확인한다. mbl3ck 계정이 존재하는지 확인했지만 존재하지 않는 것을 확인 wheel 그룹에 존재하므로, su 명령어를 사용할 수 있는..
[계정관리]1.11 CentOS 6.7 관리자 그룹에 최소한의 계정 포함 root 그룹은 시스템 운영 파일에 대한 접근 권한이 부여되어 있으므로 최소한의 계정만이 등록되어 있어야 하며, 그룹관리가 이루어지지 않으면 허가되지 않은 일반 사용자가 관리자권한으로 접근할 수 있어 파일수정 및 변경등의 악의적인 작업으로 인해 시스템 운영에 피해를 줄 수 있다. 관리자 그룹에 최소한의 계정 포함(취약한 설정) group 파일을 확인해 관리자 그룹에 어떤 계정들이 등록되어 있는지를 확인한다. mbl3ck라는 일반 계정이 존재하는 것을 확인했다. shadow와 같은 시스템 운영 파일을 확인할 수 있다. 이때, 중요한 것은 root 그룹에 추가만 해준다고해서, 시스템 운영 파일을 읽기 및 수정까지 가능한 것은 아닌 것 같다. 수정까지 가능하게 하기 위해서는 UID와 GID 역시 0으로 변경해..

티스토리툴바