U-49 불필요한 계정 제거 ■ 점검영역 : 계정 관리 ■ 항목 중요도 : 하 ■ 점검내용 시스템 계정 중 불필요한 계정(퇴직, 전직, 휴직 등의 이유로 사용하지 않는 계정 및 장기적으로 사용하지 않는 계정 등)이 존재하는지 점검 ■ 점검목적 불필요한 계정이 존재하는지 점검하여 관리되지 않은 계정에 의한 침입에 대비하는지 확인하기 위함 ■ 보안위협 로그인이 가능하고 현재 사용하지 않는 불필요한 계정은 사용중인 계정보다 상대적으로 관리가 취약하여 공격자의 목표가 되어 계정이 탈취될 수 있음 ※ 퇴직, 전직, 휴직 등의 사유발생시 즉시 권한을 회수 ■ 참고 ※ Default 계정: OS나 Package 설치 시 기본적으로 생성되는 계정(예 lp, uucp, nuucp 등) ※ 불필요한 default 계정 삭..
U-47 패스워드 최대 사용기간 설정 ■ 점검영역 : 계정 관리 ■ 항목 중요도 : 중 ■ 점검내용 시스템 정책에 패스워드 최대(90일 이하) 사용기간 설정이 적용되어 있는지 점검 ■ 점검목적 패스워드 최대 사용 기간 설정이 적용되어 있는지 점검하여 시스템 정책에서 사용자 계정의 장기간 패스워드 사용을 방지하고 있는지 확인하기 위함 ■ 보안위협 패스워드 최대 사용기간을 설정하지 않은 경우 비인가자의 각종 공격(무작위 대입 공격, 사전 대입 공격 등)을 시도할 수 있는 기간 제한이 없으므로 공격자 입장에서는 장기적인 공격을 시행할 수 있어 시행한 기간에 비례하여 사용자 패스워드가 유출될 수 있는 확률이 증가함 점검대상 및 판단기준 ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 양호 패스워..
U-46 패스워드 최소 길이 설정 ■ 점검영역 : 계정 관리 ■ 항목 중요도 : 중 ■ 점검내용 시스템 정책에 패스워드 최소(8자 이상) 길이 설정이 적용되어 있는 점검 ■ 점검목적 패스워드 최소 길이 설정이 적용되어 있는지 점검하여 짧은(8자 미만) 패스워드 길이로 발생하는 취약점을 이용한 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비(사용자 패스워드 유출)가 되어 있는지 확인하기 위함 ■ 보안위협 패스워드 문자열이 짧은 경우 유추가 가능 할 수 있으며 암호화된 패스워드 해시값을 무작위 대입공격, 사전대입 공격 등으로 단시간에 패스워드 크렉이 가능함 ■ 참고 ※ 패스워드 최소길이를 8자리 이상으로 설정하여도 특수문자, 대소문자, 숫자를 혼합하여 사용하여함 점검대상 및 판단기준 ■ 대상 : ..
U-48 패스워드 최소 사용기간 설정 ■ 점검영역 : 계정 관리 ■ 항목 중요도 : 중 ■ 점검내용 시스템 정책에 패스워드 최소 사용기간 설정이 적용되어 있는지 점검 ■ 점검목적 사용자가 자주 패스워드를 변경할 수 없도록 하고 관련 설정(최근 암호 기억)과 함께 시스템에 적용하여 패스워드 변경 전에 사용했던 패스워드를 재사용 할 수 없도록 방지하는지 확인하기 위함 ■ 보안위협 ※ 최소 사용기간이 설정되어 있지 않아 반복적으로 즉시 변경이 가능한 경우 이전 패스워드 기억 횟수를 설정하여도 반복적으로 즉시 변경하여 이전 패스워드로 설정이 가능함 ■ 참고 ※ 최근 암호 기억 사용자가 현재 암호 또는 최근에 사용했던 암호와 동일한 새 암호를 만드는 것을 방지하는 설정. 예를 들어 값 1은 마지막 암호만 기억한다..
U-51 계정이 존재하지 않는 GID 금지 ■ 점검영역 : 계정 관리 ■ 항목 중요도 : 하 ■ 점검내용 그룹(예 /etc/group) 설정 파일에 불필요한 그룹(계정이 존재하지 않고 시스템 관리나 운용에 사용되지 않는 그룹, 계정이 존재하고 시스템 관리나 운용에 사용되지 않는 그룹 등)이 존재하는지 점검 ■ 점검목적 시스템에 불필요한 그룹이 존재하는지 점검하여 불필요한 그룹의 소유권으로 설정되어 있는 파일의 노출에 의해 발생할 수 있는 위험에 대한 대비가 되어 있는지 확인하기 위함 ■ 보안위협 계정이 존재하지 않는 그룹은 현재 사용되고 있는 그룹이 아닌 불필요한 그룹으로 삭제 조치가 필요함 ■ 참고 ※ GID(Group Identification) 다수의 사용자가 특정 개체를 공유할 수 있게 연계시키는..
U-52 동일한 UID 금지 ■ 점검영역 : 계정 관리 ■ 항목 중요도 : 중 ■ 점검내용 /etc/passwd 파일 내 UID가 동일한 사용자 계정 존재 여부 점검 ■ 점검목적 UID가 동일한 사용자 계정을 점검함으로써 타 사용자 계정 소유의 파일 및 디렉터리로의 악의적 접근 예방 및 침해사고 시 명확한 감사추적을 목적으로 함 ■ 보안위협 중복된 UID가 존재할 경우 시스템은 동일한 사용자로 인식하여 소유자의 권한이 중복되어 불필요한 권한이 부여되며 시스템 로그를 이용한 감사 추적 시 사용자가 구분되지 않음 (권한 할당은 그룹권한을 이용하여 운영) ■ 참고 ※ UID(User Identification) 여러 명의 사용자가 동시에 사용하는 시스템에서 사용자가 자신을 대표하기 위해 사용되는 식별 번호 ※..
U-50 root 계정 원격접속 제한 ■ 점검영역 : 계정 관리 ■ 항목 중요도 : 하 ■ 점검내용 시스템 관리자 그룹에 최소한(root 계정과 시스템 관리에 허용된 계정)의 계정만 존재하는지 점검 ■ 점검목적 관리자 그룹에 최소한의 계정만 존재하는지 점검하여 불필요하게 권한이 남용되고 있는지 확인하기 위함 ■ 보안위협 시스템을 관리하는 root 계정이 속한 그룹은 시스템 운영 파일에 대한 접근 권한이 부여되어 있으므로 해당 관리자 그룹에 속한 계정이 비인가자에게 유출될 경우 관리자 권한으로 시스템에 접근하여 계정 정보 유출, 환경설정 파일 및 디렉터리 변조 등의 위협이 존재함 점검대상 및 판단기준 ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 양호 관리자 그룹에 불필요한 계정이 등록되..
U-53 사용자 shell 점검 ■ 점검영역 : 계정 관리 ■ 항목 중요도 : 하 ■ 점검내용 로그인이 불필요한 계정(adm, sys, daemon 등)에 쉘 부여 여부 점검 ■ 점검목적 로그인이 불필요한 계정에 쉘 설정을 제거하여, 로그인이 필요하지 않은 계정을 통한 시스템 명령어를 실행하지 못하게 하기 위함 ■ 보안위협 로그인이 불필요한 계정은 일반적으로 OS 설치 시 기본적으로 생성되는 계정으로 쉘이 설정되어 있을 경우, 공격자는 기본 계정들을 이용하여 시스템에 명령어를 실행 할 수 있음 ■ 참고 ※ 쉘(Shell) 대화형 사용자 인터페이스로써, 운영체제(OS) 가장 외곽계층에 존재하여 사용자의 명령어를 이해하고 실행함 점검대상 및 판단기준 ■ 대상 : SOLARIS, LINUX, AIX, HP-U..
U-57 홈디렉토리 소유자 및 권한 설정 ■ 점검영역 : 파일 및 디렉토리 관리 ■ 항목 중요도 : 중 ■ 점검내용 홈 디렉터리의 소유자 외 타사용자가 해당 홈 디렉터리를 수정할 수 없도록 제한하는지 점검 ■ 점검목적 사용자 홈 디렉터리 내 설정파일이 비인가자에 의한 변조를 방지함 ■ 보안위협 홈 디렉터리 내 설정파일 변조 시 정상적인 서비스 이용이 제한될 우려가 존재함 점검대상 및 판단기준(리눅스, 유닉스) ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 양호 홈 디렉터리 소유자가 해당 계정이고, 타 사용자 쓰기 권한이 제거된 경우 취약 홈 디렉터리 소유자가 해당 계정이 아니고, 타 사용자 쓰기 권한이 부여된 경우 ■ 조치방법 사용자별 홈 디렉터리 소유주를 해당 계정으로 변경하고, 타사..
U-54 Session Timeout 설정 ■ 점검영역 : 계정 관리 ■ 항목 중요도 : 하 ■ 점검내용 사용자 쉘에 대한 환경설정 파일에서 session timeout 설정 여부 점검 ■ 점검목적 사용자의 고의 또는 실수로 시스템에 계정이 접속된 상태로 방치됨을 차단하기 위함 ■ 보안위협 Session timeout 값이 설정되지 않은 경우 유휴 시간 내 비인가자의 시스템 접근으로 인해 불필요한 내부 정보의 노출 위험이 존재함 ■ 참고 ※ session 프로세스들 사이에 통신을 수행하기 위해서 메시지 교환을 통해 서로를 인식한 이후부터 통신을 마칠 때까지의 시간 점검대상 및 판단기준 ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 양호 Session Timeout이 600초(10분) 이..
U-55 hosts.lpd 파일 소유자 및 권한 설정 ■ 점검영역 : 파일 및 디렉토리 관리 ■ 항목 중요도 : 하 ■ 점검내용 /etc/hosts.lpd 파일의 삭제 및 권한 적절성 점검 ■ 점검목적 비인가자의 임의적인 hosts.lpd 변조를 막기 위해 hosts.lpd 파일 삭제 또는 소유자 및 권한 관리를 해야 함 ■ 보안위협 hosts.lpd 파일의 접근권한이 적절하지 않을 경우 비인가자가 /etc/hosts.lpd 파일을 수정하여 허용된 사용자의 서비스를 방해할 수 있으며, 호스트 정보를 획득 할 수 있음 ■ 참고 ※ hosts.lpd 파일: 로컬 프린트 서비스를 사용할 수 있는 허가된 호스트(사용자) 정보를 담고 있는 파일 (hostname 또는, IP 주소를 포함하고 있음) 점검대상 및 판..
U-56 UMASK 설정 관리 ■ 점검영역 : 파일 및 디렉토리 관리 ■ 항목 중요도 : 중 ■ 점검내용 시스템 UMASK 값이 022 이상인지 점검 ■ 점검목적 잘못 설정된 UMASK 값으로 인해 신규 파일에 대한 과도한 권한 부여되는 것을 방지하기 위함 ■ 보안위협 r잘못된 UMASK 값으로 인해 파일 및 디렉터리 생성시 과도하게 퍼미션이 부여 될 수 있음 ■ 참고 시스템 내에서 사용자가 새로 생성하는 파일의 접근권한은 UMASK 값에 따라 정해지며, 계정 Start Profile 에 명령을 추가하면 사용자가 로그인 한 후에도 변경된 UMASK 값을 적용받게 됨 ※ Start Profile: /etc/profile, /etc/default/login, .cshrc, .kshrc, .bashrc, .l..
U-62 ftp 계정 shell 제한 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 중 ■ 점검내용 ftp 기본 계정에 쉘 설정 여부 점검 ■ 점검목적 FTP 서비스 설치 시 기본으로 생성되는 ftp 계정은 로그인이 필요하지 않은 계정으로 쉘을 제한하여 해당 계정으로의 시스템 접근을 차단하기 위함 ■ 보안위협 불필요한 기본 계정에 쉘(Shell)을 부여할 경우, 공격자에게 해당 계정이 노출되어 ftp 기본 계정으로 시스템 접근하여 공격이 가능해짐 ■ 참고 ※ 쉘(Shell): 대화형 사용자 인터페이스로써, 운영체제(OS) 가장 외곽계층에 존재하여 사용자의 명령어를 이해하고 실행함 ※ 기반시설 시스템에서 ftp 서비스의 이용은 원칙적으로 금지하나, 부득이 해당 기능을 활용해야 하는 경우 shell 제한 ..
U-61 ftp 서비스 확인 ■ 점검영역 : 서비스 관리 ■ 항목 중요도 : 하 ■ 점검내용 FTP 서비스가 활성화 되어있는지 점검 ■ 점검목적 취약한 서비스인 FTP서비스를 가급적 제한함을 목적으로 함 ■ 보안위협 FTP 서비스는 통신구간이 평문으로 전송되어 계정정보(아이디, 패스워드) 및 전송 데이터의 스니핑이 가능함 ■ 참고 ※ 기반시설 시스템에서 ftp 서비스의 이용은 원칙적으로 금지하나, 부득이 해당 기능을 활용해야 하는 경우 SFTP 사용을 권고함 점검대상 및 판단기준(리눅스, 유닉스) ■ 대상 : SOLARIS, LINUX, AIX, HP-UX 등 양호 FTP 서비스가 비활성화 되어 있는 경우 취약 FTP 서비스가 활성화 되어 있는 경우 ■ 조치방법 FTP 서비스 중지 점검 방법 ■ OS별 ..