U-55 hosts.lpd 파일 소유자 및 권한 설정 ■ 점검영역 : 파일 및 디렉토리 관리 ■ 항목 중요도 : 하 ■ 점검내용 /etc/hosts.lpd 파일의 삭제 및 권한 적절성 점검 ■ 점검목적 비인가자의 임의적인 hosts.lpd 변조를 막기 위해 hosts.lpd 파일 삭제 또는 소유자 및 권한 관리를 해야 함 ■ 보안위협 hosts.lpd 파일의 접근권한이 적절하지 않을 경우 비인가자가 /etc/hosts.lpd 파일을 수정하여 허용된 사용자의 서비스를 방해할 수 있으며, 호스트 정보를 획득 할 수 있음 ■ 참고 ※ hosts.lpd 파일: 로컬 프린트 서비스를 사용할 수 있는 허가된 호스트(사용자) 정보를 담고 있는 파일 (hostname 또는, IP 주소를 포함하고 있음) 점검대상 및 판..
U-56 UMASK 설정 관리 ■ 점검영역 : 파일 및 디렉토리 관리 ■ 항목 중요도 : 중 ■ 점검내용 시스템 UMASK 값이 022 이상인지 점검 ■ 점검목적 잘못 설정된 UMASK 값으로 인해 신규 파일에 대한 과도한 권한 부여되는 것을 방지하기 위함 ■ 보안위협 r잘못된 UMASK 값으로 인해 파일 및 디렉터리 생성시 과도하게 퍼미션이 부여 될 수 있음 ■ 참고 시스템 내에서 사용자가 새로 생성하는 파일의 접근권한은 UMASK 값에 따라 정해지며, 계정 Start Profile 에 명령을 추가하면 사용자가 로그인 한 후에도 변경된 UMASK 값을 적용받게 됨 ※ Start Profile: /etc/profile, /etc/default/login, .cshrc, .kshrc, .bashrc, .l..
U-62 ftp 계정 shell 제한 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 ftp 기본 계정에 쉘 설정 여부 점검 ■ 점검목적 FTP 서비스 설치 시 기본으로 생성되는 ftp 계정은 로그인이 필요하지 않은 계정으로 쉘을 제한하여 해당 계정으로의 시스템 접근을 차단하기 위함 ■ 보안위협 불필요한 기본 계정에 쉘(Shell)을 부여할 경우, 공격자에게 해당 계정이 노출되어 ftp 기본 계정으로 시스템 접근하여 공격이 가능해짐 ■ 참고 ※ 쉘(Shell): 대화형 사용자 인터페이스로써, 운영체제(OS) 가장 외곽계층에 존재하여 사용자의 명령어를 이해하고 실행함 ※ 기반시설 시스템에서 ftp 서비스의 이용은 원칙적으로 금지하나, 부득이 해당 기능을 활용해야 하는 경우 shell 제한 ..
U-61 ftp 서비스 확인 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 하 ■ 점검내용 FTP 서비스가 활성화 되어있는지 점검 ■ 점검목적 취약한 서비스인 FTP서비스를 가급적 제한함을 목적으로 함 ■ 보안위협 FTP 서비스는 통신구간이 평문으로 전송되어 계정정보(아이디, 패스워드) 및 전송 데이터의 스니핑이 가능함 ■ 참고 ※ 기반시설 시스템에서 ftp 서비스의 이용은 원칙적으로 금지하나, 부득이 해당 기능을 활용해야 하는 경우 SFTP 사용을 권고함 점검대상 및 판단기준(리눅스, 유닉스) ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 양호 FTP 서비스가 비활성화 되어 있는 경우 취약 FTP 서비스가 활성화 되어 있는 경우 ■ 조치방법 FTP 서비스 중지 점검 방법 ■ OS별 ..
U-60 ssh 원격접속 허용 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 원격 접속 시 SSH 프로토콜을 사용하는지 점검 ■ 점검목적 비교적 안전한 SSH 프로토콜을 사용함으로써 스니핑 등 아이디/패스워드의 누출의 방지를 목적으로 함 ■ 보안위협 원격 접속 시 Telnet, FTP 등은 암호화되지 않은 상태로 데이터를 전송하기 때문에 아이디/패스워드 및 중요 정보가 외부로 유출될 위험성이 있음 ■ 참고 ※ SSH 사용 시 TCP/22번 포트를 기본 포트로 사용하기 때문에 공격자가 기본 포트를 통하여 공격을 시도할 수 있으므로 기본 포트를 변경하여 사용하는 것을 권고함 점검대상 및 판단기준(리눅스, 유닉스) ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 양호 원격 접..
U-58 홈디렉토리로 지정한 디렉토리의 존재 관리 ■ 점검영역 : 파일 및 디렉토리 관리 ■ 항목 중요도 : 하 ■ 점검내용 사용자 계정과 홈 디렉터리의 일치 여부를 점검 ■ 점검목적 /home 이외 사용자의 홈 디렉터리 존재 여부를 점검하여 비인가자가 시스템 명령어의 무단 사용을 방지하기 위함 ■ 보안위협 passwd 파일에 설정된 홈디렉터리가 존재하지 않는 경우, 해당 계정으로 로그인시 홈디렉터리가 루트 디렉터리(“/“)로 할당되어 접근이 가능함 ■ 참고 ※ 홈디렉터리: 사용자가 로그인한 후 작업을 수행하는 디렉터리 ※ 일반 사용자의 홈 디렉터리 위치: /home/user명 점검대상 및 판단기준(리눅스, 유닉스) ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 양호 홈 디렉터리가 존재..
U-63 ftpusers 파일 소유자 및 권한 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 하 ■ 점검내용 FTP 접근제어 설정파일에 관리자 외 비인가자들이 수정 제한 여부 점검 ■ 점검목적 비인가자들의 ftp 접속을 차단하기 위해 ftpusers 파일 소유자 및 권한을 관리해야함 ■ 보안위협 ftpusers 파일에 인가되지 않은 사용자를 등록하여 해당 계정을 이용, 불법적인 FTP 서비스에 접근이 가능함 ■ 참고 ※ ftpusers 파일: FTP 접근제어 설정파일로써 해당 파일에 등록된 계정은 ftp에 접속할수 없음 ※ 기반시설 시스템에서 ftp 서비스의 이용은 원칙적으로 금지하나, 부득이 해당 기능을 활용해야 하는 경우 shell 제한 등의 보안 조치를 반드시 적용하여야 함 점검대상 및 판단..
U-64 ftpusers 파일 설정(FTP 서비스 root 계정 접근제한) ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 FTP 서비스를 사용할 경우 ftpusers 파일 root 계정이 포함 여부 점검 ■ 점검목적 root의 FTP 직접 접속을 방지하여 root 패스워드 정보를 노출되지 않도록 하기 위함 ■ 보안위협 FTP 서비스는 아이디 및 패스워드가 암호화되지 않은 채로 전송되어 스니핑에 의해서 관리자 계정의 아이디 및 패스워드가 노출될 수 있음 ■ 참고 ※ 스니핑: 컴퓨터 네트워크상에 흘러 다니는 트래픽을 도청하는 행위 ※ 기반시설 시스템에서 ftp 서비스의 이용은 원칙적으로 금지하나, 부득이 해당 기능을 활용해야 하는 경우 shell 제한 등의 보안 조치를 반드시 적용하여야 함..
U-67 SNMP 서비스 Community String의 복잡성 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 SNMP Community String 복잡성 설정 여부 점검 ■ 점검목적 Community String 기본 설정인 Public, Private는 공개된 내용으로 공격자가 이를 이용하여 SNMP 서비스를 통해 시스템 정보를 얻을 수 있기 때문에 Community String을 유추하지 못하도록 설정해야함 ■ 보안위협 Community String은 Default로 public, private로 설정된 경우가 많으며, 이를 변경하지 않으면 이 String을 악용하여 환경설정 파일 열람 및 수정을 통한 공격, 간단한 정보수집에서부터 관리자 권한 획득 및 Dos공격까지 다양한..
U-65 at 서비스 권한 설정 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 관리자(root)만 at.allow파일과 at.deny 파일을 제어할 수 있는지 점검 ■ 점검목적 관리자외 at 서비스를 사용할 수 없도록 설정하고 있는지 점검하는 것을 목적으로 함 ■ 보안위협 root 외 일반사용자에게도 at 명령어를 사용할 수 있도록 할 경우, 고의 또는 실수로 불법적인 예약 파일 실행으로 시스템 피해를 일으킬 수 있음 ■ 참고 ※ at 데몬 (일회성 작업 예약): 지정한 시간에 어떠한 작업이 실행될 수 있도록 작업 스케줄을 예약 처리해 주는 기능을 제공함. /etc/at.allow 파일에 등록된 사용자만이 at명령을 사용할 수 있음 ※ 기반시설 시스템에서 at 데몬의 이용은 원칙적으로 ..
U-66 SNMP 서비스 구동 점검 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 SNMP 서비스 활성화 여부 점검 ■ 점검목적 불필요한 SNMP 서비스 활성화로 인해 필요 이상의 정보가 노출되는 것을 막기 위해 SNMP 서비스를 중지해야함 ■ 보안위협 SNMP 서비스로 인하여 시스템의 주요 정보 유출 및 정보의 불법수정이 발생할 수 있음 ■ 참고 ※ SNMP(Simple Network Management Protocol): TCP/IP 기반 네트워크상의 각 호스트에서 정기적으로 여러 정보를 자동으로 수집하여 네트워크 관리를 하기 위한 프로토콜을 의미함 ※ 기반시설 시스템에서 SNMP 서비스의 이용은 원칙적으로 금지하나, 부득이 해당 기능을 활용해야 하는 경우 기본 Comunity St..
U-69 NFS 설정파일 접근권한 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 NFS 접근제어 설정파일에 대한 비인가자들의 수정 제한 여부 점검 ■ 점검목적 비인가자에 의한 불법적인 외부 시스템 마운트를 차단하기 위해 NFS 접근 제어 파일의 소유자 및 파일 권한을 설정 ■ 보안위협 NFS 접근제어 설정파일에 대한 권한 관리가 이루어지지 않을 시 인가되지 않은 사용자를 등록하고 파일시스템을 마운트하여 불법적인 변조를 시도할 수 있음 ■ 참고 ※ NFS(Network File System): 원격 컴퓨터의 파일시스템을 로컬 시스템에 마운트하여 마치 로컬 파일시스템처럼 사용할 수 있는 프로그램 점검대상 및 판단기준(리눅스, 유닉스) ■ 대상 : SOLARIS, LINUX, AIX, HP-..
U-68 로그온 시 경고 메시지 제공 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 하 ■ 점검내용 서버 및 서비스에 로그온 시 불필요한 정보 차단 설정 및 불법적인 사용에 대한 경고 메시지 출력 여부 점검 ■ 점검목적 비인가자들에게 서버에 대한 불필요한 정보를 제공하지 않고, 서버 접속 시 관계자만 접속해야 한다는 경각심을 심어 주기위해 경고 메시지 설정이 필요함 ■ 보안위협 로그인 배너가 설정되지 않을 경우 배너에 서버 OS 버전 및 서비스 버전이 공격자에게 노출될 수 있으며 공격자는 이러한 정보를 통하여 해당 OS 및 서비스의 취약점을 이용하여 공격을 시도할 수 있음 ■ 참고 ※ 로그온 시 경고 메시지는 공격자의 활동을 주시하고 있다는 생각을 상기시킴으로써 간접적으로 공격 피해를 감소시키는 효과를..
U-70 expn, vrfy 명령어 제한 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 SMTP 서비스 사용 시 vrfy, expn 명령어 사용 금지 설정 여부 점검 ■ 점검목적 SMTP 서비스의 expn, vrfy 명령을 통한 정보 유출을 막기 위하여 두 명령어를 사용하지 못하게 옵션을 설정해야함 ■ 보안위협 VRFY, EXPN 명령어를 통하여 특정 사용자 계정의 존재유무를 알 수 있고, 사용자의 정보를 외부로 유출 할 수 있음 ■ 참고 ※ SMTP(Simple Mail Transfer Protocol) 서버: 인터넷상에서 전자우편(E-mail)을 전송할 때 이용하게 되는 표준 통신 규약을 말함 ※ VRFY: SMTP 클라이언트가 SMTP 서버에 특정 아이디에 대한 메일이 있는지 검증..