본문 바로가기

리눅스

[파일 및 디렉토리 관리]2.8 CentOS 6.7 /etc/services 파일 소유자 및 권한 설정 서비스 관리를 위해 사용되는 /etc/services 파일이 일반 사용자에 의해 접근 및 변경이 가능하면, 정상적인 서비스를 제한하거나 허용되지 않은 서비스를 악의적으로 실행시켜 침해사고를 발생 시킬 수 있다. /etc/services 파일 소유자 및 권한 설정(취약한 설정) /etc/services 파일은 리눅스 서버에서 사용하는 모든 포트들에 대해 정의 되어 있는 파일임에도 불구하고, 불 필요한 퍼미션으로 관리되어 지고 있음을 확인할 수 있다. 악의적인 목적을 가진 사용자가 서비스 중인 항목을 확인했을 때 telnet이 동작 중임을 확인하고 services 파일에 접근해 telnet의 port 번호를 23에서 10번으로 수정했다. 그 후 원격에서 접근할 수 있는 프로그램인 Xshell을 통해 변견한 ..
[파일 및 디렉토리 관리]2.7 CentOS 6.7 /etc/syslog.conf 파일 소유자 및 권한 설정 기본적으로 시스템 운영 중 발생하는 info 및 alert 등에 대한 기록을 남기기 위한 (r)syslog.conf 파일의 보안 설정이 되어 있는지 점검이 필요하며, syslog 데몬은 시스템의 로그를 기록하는 전용 데몬으로써 원격 또는 로컬 시스템의 커널 메시지 및 시스템 로그를 감시하는 역할을 하며, 이 설정이 제대로 되어 있지 않을 경우 적절한 로그가 시스템 로그 파일에 남지 않아 악의적인 목적의 사용자가 침입했을 때의 흔적이나 시스템 오류 사항에 대한 분석이 어렵게 된다. /etc/syslog.conf 파일 소유자 및 권한 설정(취약한 설정) rsyslog.conf 파일은 데몬 프로세스의 구성 파일 중 하나로, 메시지를 생성하는 대상, 위험수준, 메시지 전달 대상을 가지고 규칙을 설정해줌에도 불구..
[파일 및 디렉토리 관리]2.6 CentOS 6.7 /etc/(x)inetd.conf 파일 소유자 및 권한 설정 /etc/(x)inetd.conf(인터넷 슈퍼데몬 서비스) 설정파일인 inetd.conf(xinetd.d) 파일에 대한 접근 권한을 제한하고 있는지에 대한 여부를 점검하며, inetd.conf(xinetd.d)의 접근권한이 과도하게 설정되어 있을 경우 비 인가자가 악의적인 프로그램을 등록하고 root 권한으로 서비스를 실행시켜, 기존 서비스에 영향을 줄 수 있다. /etc/(x)inetd.conf 파일 소유자 및 권한 설정(취약한 설정) xinetd.d 디렉토리의 퍼미션을 확인했을 때 과도하게 권한이 지정되어 있는 것을 확인했다. 동작 중인 서비스를 확인 시 finger 서비스가 동작중임을 확인했다. xinetd.d 파일에서 finger 서비스 역시도 권한이 과도하게 설정되어 있어, 모든 사용자가 fin..
[파일 및 디렉토리 관리]2.5 CentOS 6.7 /etc/hosts 파일 소유자 및 권한 설정 /etc/hosts 파일은 Ip주소와 호스트네임을 매핑하는데 사용되는 파일이며, 이 파일에 비 인가자 쓰기 권한이 부여된 경우, 공격자는 /etc/hosts 파일에 악의적인 시스템을 등록하고, 이를 통해 정상적인 DNS를 우회하여 악성사이트로 접속을 유도하는 파밍(Pharming)공격 등에 악용될 수 있으므로 파일에 대한 접근권한을 제한하고 있는지 점검해야 한다. /etc/hosts 파일 소유자 및 권한 설정(취약한 설정) hosts 파일의 퍼미션을 확인했을 때 모든 계정에서 읽기, 쓰기, 실행 모두 가능한 것을 확인했다. hosts 파일에 등록된 정보를 확인했을 때 googledns가 등록되어 있는 것을 확인했다. 이를 통해서, ping 통신을 시도했을 때 root 계정에서는 아무 이상 없이 통신이 가..
[파일 및 디렉토리 관리]2.4 CentOS 6.7 /etc/shadow 파일 소유자 및 권한 설정 /etc/shadow 파일은 시스템에 등록된 모든 계정의 패스워드를 암호화된 형태로 저장 및 관리하고 있는 중요 파일로 root 계정을 제외한 모든 사용자의 접근을 제한해야 한다. 해당 파일에 대한 권한 관리가 이뤄지지 않을 경우 ID 및 패스워드 정보가 외부로 노출될 수 있는 위험이 존재한다. /etc/shadow 파일 소유자 및 권한 설정(취약한 설정) 관리자의 계정을 제외한 그룹 및 일반 사용자에게 필요 이상으로 과도한 퍼미션이 할당되어 있다. 일반 사용자의 계정으로 shadow 파일을 열람 할 수 있는 것을 확인했다. 모든 계정의 암호화된 password 값을 통해 복호화를 진행하여, 모든 계정의 패스워드를 알아낼 수 있는 위험이 있다. /etc/shadow 파일 소유자 및 권한 설정(양호한 설정..
[파일 및 디렉토리 관리]2.3 CentOS 6.7 /etc/passwd 파일 소유자 및 권한 설정 /etc/passwd 파일은 사용자의 ID, 패스워드(보안상 'x'로 표시), UID, GID, 홈 디렉토리 쉘 정보를 담공 ㅣㅅ는 중요 파일로 관리자 이외의 사용자가 /etc/passwd 파일에 접근 시 root 계정의 권한 획득이 가능하므로 해당 파일의 접근을 제한해야 한다. /etc/passwd 파일 소유자 및 권한 설정(취약한 설정) /etc/passwd 파일의 권한을 확인했을 때 과도하게 많은 권한이 부여되어 있는 것을 확인했다. 과도한 권한이 부여되어 있는 경우, 일반 계정으로 /etc/passwd 파일에 접근해, 일반 사용자가 자신의 권한을 상승시킬 수 있다. 일반 사용자의 계정으로 접근해, UID, 와 GID를 확인해 보면, mbl3ck의 계정으로 접근을 시도 했지만, root 계정으로 권..
[파일 및 디렉토리 관리] 2.2 CentOS 6.7 파일 및 디렉터리 소유자 설정 소유자가 존재하지 않는 파일 및 디렉토리는 현재 권한이 없는 자(퇴직자, 전직, 휴직 등)의 소유였거나, 관리 소홀로 인해 생긴 파일일 가능성이 존재한다. 만약 중요 파일 및 디렉토리일 경우 문제가 발생할 수 있으므로 관리를 해야한다. 파일 및 디렉토리 소유자 설정(취약한 설정) secure.txt파일에, 그룹이 할당되어 있는 것을 확인했고, 해당하는 그룹에 포함되어 있는 사용자가 누구인지 확인 했을 때,퇴직자의 계정인 것을 확인했다. 퇴직자의 계정에 할당되어 있는 UID와 GID를 확인 시 일반 계정인 것을 확인했으며, 파일을 열람 및 실행이 가능하다. 파일 및 디렉토리 소유자 설정(양호한 설정) 퇴직자의 계정이 속해있는 그룹을 삭제 소유자나 소유그룹이 지정되지 않은 파일을 확인했을 때 /tmp/sec..
[계정관리]1.15 CentOS 6.7 Session Timeout 설정 계정이 접속된 상태로 방치될 경우 권한이 없는 사용자가 접근된 계정에 물리적으로 접근해 중요 시스템이 노출되어 악의적인 목적으로 사용될 수 있으므로 일정 시간 이후 어떠한 이벤트가 발생하지 않으면 연결을 종료하는 Session Timeout 설정이 필요하다. Session Timeout 설정(취약한 설정) 일정 시간이 지나도 계정이 로그아웃되지 않고 유지되는 것을 확인할 수 있다. 계정이 로그아웃되지 않고 유지된다면, 물리적으로 악의적인 목적을 가진 사용자가 접근해 시스템에 악의적인 목적을 행할 수 있다. Session Timeout 설정(양호한 설정) /etc/profile 파일에서 Session Timeout 설정을 지정해준다. 가이드에 따라서 600(10분)으로 지정했다. 그 후 source /et..
[계정관리]1.14 CentOS 6.7 사용자 Shell 점검 로그인이 필요 없는 계정을 이용해 시스템에 접근해 사용자의 명령어를 해석하고 악용할 가능성이 있으므로, /bin/false 쉘(shell)을 부여해 로그인을 금지해야 한다. 사용자 Shell 점검(취약한 설정) 로그인이 불 필요한 계정이 존재하는지 확인한다. 불 필요하게 로그인 권한이 부여된 계정들을 존재하는 것을 파악했다. 사용자 Shell 점검(양호한 설정) 불 필요하게 로그인 권한이 부여된 계정을 로그인이 불가능하게 설정을 변경한다.
[계정관리]1.13 CentOS 6.7 동일한 UID 금지 Unix 시스템은 모든 사용자 계정에 UID를 부여해 해당 UID로 사용자 이름, 패스워드, 홈 디렉터리 등과 같은 사용자 정보를 대응시키며, 만약 중복된 UID가 존재하는 경우 시스템에서 사용자로 인식하여 문제가 발생될 수 있으며 공격자에 의한 개인정보 및 관련 데이터 유출 발생 시에도 감사 추적이 어렵게 된다. 동일한 UID 금지(취약한 설정) /etc/passwd 파일에서 계정이 어떤 것들이 존재하는지 확인한다. mbl3ck가 UID가 501을 갖고 존재하고 있는데, 일부로 동일한 UID 값을 갖는 mbl2ck 계정을 생성했다. /etc/passwd 파일에 UID 값이 501을 갖는 계정이 존재하는지 확인하며, 계정이 잘 생성됐는지 확인한다. mbl3ck의 홈 디렉터리에 secret이라는 파일을 하..

티스토리툴바