본문 바로가기

인프라 진단/전자금융기반시설(서버) - Linux70

SRV-063 DNS Recursive Query 설정 미흡 SRV-063 DNS Recursive Query 설정 미흡 【 상세설명 】 공격자가 스푸핑 IP 주소(IP Spoofing)로 다량의 DNS 응답을 보내는 공격(DNS Cache Poisoning-DNS 캐시에 거짓정보가 들어가게 하는 공격) 등의 DNS 공격 위협이 존재하므로 DNS 서버가 불필요하게 Recursive Query를 지원하고 있는지 점검 【 판단기준 】 - 양호 : Recurisve query를 금지하고 있거나, 신뢰된 호스트만 허용하는 경우 - 취약 : Recursive query를 접근 통제 없이 허용하고 있는 경우 【 판단방법 】 1. DNS Recursive Query 제한 설정 확인 ※ option 내부에 recursion yes 옵션이 없거나 no 로 설정된 경우는 recur.. 2024. 1. 3.
SRV-062 DNS 서비스 정보 노출 SRV-062 DNS 서비스 정보 노출 【 상세설명 】 DNS 서버 종류 및 버전 등의 정보가 노출될 경우 공격자가 기타 공격에 활용할 가능성이 있으므로, 적절한 보안 설정이 되었는지 점검 【 판단기준 】 - 양호 : DNS 응답에 불필요한 정보가 노출되지 않는 경우 - 취약 : DNS 응답에 서비스명과 버전 정보가 함께 노출되고 있는 경우 ※ 정보 노출: 서비스명 + 버전 정보가 노출되는 경우 취약 【 판단방법 】 1. DNS 서비스 정보 노출 확인 2. DNS 서비스 설정 파일의 options 섹션 version 구문 설정 확인 ※ option 내부에 version "" 구문과 같이 빈 문자열로 설정되어 있으면 버전 정보 노출 안 됨 ※ option 내부에 version 구문에 DNS 서버의 버전 정.. 2024. 1. 2.
SRV-037 취약한 FTP 서비스 실행 SRV-037 취약한 FTP 서비스 실행 【 상세설명 】 FTP 는 파일을 전송하기 위한 프로토콜로 계정과 패스워드를 암호화하지 않고 평문 전송을 하여 네트워크 스니핑의 위협이 존재하므로, 해당 서비스가 추가 보안 수단 없이 취약하게 실행되고 있는지 점검 【 판단기준 】 - 양호 : FTP 서비스가 비활성화 되어 있는 경우 - 취약 : FTP 서비스가 활성화 되어 있는 경우 (단, 업무상 필요하여 FTPS 를 활용하는 등 통신 암호화를 위한 별도의 보안수단이 적용된 경우는 양호) 【 판단방법 】 1. 업무상 불필요한 FTP 서비스(ftp, proftp, vsftp 등) 중지 ■ Linux, AIX, HP-UX, SOLARIS 9 이하 # ps -ef | egrep "ftp|proftpd|vsftpd" |.. 2024. 1. 1.
SRV-035 취약한 서비스 활성화 SRV-035 취약한 서비스 활성화 【 상세설명 】 알려진 취약점이 존재하는 서비스를 실행할 경우, 공격자의 침입 경로로 활용될 수 있기 때문에 취약한 서비스나 취약한 버전의 서비스가 실행되고 있는지 점검(tftp, talk, ntalk, finger, 취약한 r 계열 서비스, echo, discard, daytime, chargen, NIS, NIS+ 서비스 등) 【 판단기준 】 - 양호 : 아래의 항목 중 해당 사항이 없는 경우 - 취약 : 아래의 항목 중 해당하는 조건이 있는 경우 1. tftp, talk, ntalk 서비스가 불필요하게 활성화된 경우 2. finger 서비스 활성화 3. rexec, rlogin, rsh 서비스 활성화 4. DoS 공격에 취약한 echo, discard, dayti.. 2024. 1. 1.
SRV-034 불필요한 서비스 활성화 SRV-034 불필요한 서비스 활성화 【 상세설명 】 시스템 운영 중 불필요한 서비스들이 설치되어 실행되고 있는 경우, 시스템의 성능 저하를 야기하거나 잠재적인 보안 취약점이 발생할 수 있으므로 업무와 관계 없이 활성화되어 있는 서비스를 점검(취약한 버전의 automountd , NetBIOS, DMI, WebDAV, RDS 등 일반적으로 불필요한 서비스 점검) 【 판단기준 】 - 양호 : 불필요한 autmountd 서비스가 비활성화된 경우(SOLARIS : 불필요한 autmountd 또는 dmi 서비스가 비활성화된 경우) - 취약 : 취약한 버전의 automountd 서비스가 불필요하게 활성화된 경우(SOLARIS : 취약한 버전의 automountd 서비스 또는 dmi 서비스가 불필요하게 활성화된 경.. 2024. 1. 1.
SRV-028 원격 터미널 접속 타임아웃 미설정 SRV-028 원격 터미널 접속 타임아웃 미설정 【 상세설명 】 사용자 부재 시, 비인가자에 의한 시스템 무단 사용을 방지하기 위해 일정 시간 사용하지 않는 세션에 대한 자동 종료 시간 설정 여부를 점검하고, 세션 종료 시간이 설정되어 있을 경우 과도하게 설정 되어 있는지 점검 【 판단기준 】 - 양호 : 세션 타임아웃 값이 900초 이하(15분)로 설정 되어 있을 경우 - 취약 : 세션 타임아웃 값이 900초 이하(15분)로 설정 되어 있지 않을 경우 (아래 내용 중 해당사항이 있는 경우) 1) 내부 규정에 세션 종료 시간이 명시되어 있을 경우 - 세션 타임아웃이 내부 규정에 명시된 세션 종료 시간보다 초과 설정 시 "취약"으로 판단 2) 내부 규정에 세션 종료시간이 명시되어 있지 않을 경우 - 세션 .. 2024. 1. 1.
SRV-027 서비스 접근 IP 및 포트 제한 미비 SRV-027 서비스 접근 IP 및 포트 제한 미비 【 상세설명 】 서비스로의 접근이 통제되지 않을 경우 악의적인 사용자의 공격 목표가 될 수 있기 때문에 보안상 접근통제가 필요함. 방화벽, 3rd-party 제품 또는 tcpwrapper를 활용하여 서비스에 대한 IP 및 포트 접근제어를 수행하고 있는지 점검 【 판단기준 】 - 양호 : 시스템 서비스로의 접근통제가 적절하게 수행되고 있을 경우 (방화벽, tcp-wrapper, 3rd-party 제품 등을 활용) - 취약 : 시스템 서비스로의 접근통제가 적절하게 수행되고 있지 않을 경우 【 판단방법 】 1. 서비스 접근 IP 및 포트 제한 설정 확인 ■ TCP Wrapper # cat /etc/hosts.deny # cat /etc/hosts.allow .. 2024. 1. 1.
SRV-026 root 계정 원격 접속 제한 미비 SRV-026 root 계정 원격 접속 제한 미비 【 상세설명 】 시스템 관리를 위한 root 계정의 원격 접속 허용은 악의적인 사용자가 무작위 대입 공격을 통해 시스템의 관리자 권한을 획득할 수 있는 위협을 증가시키므로, root 계정의 직접적인 원격 접속을 차단하고 있는지 여부를 점검 【 판단기준 】 - 양호 : root 계정의 원격 접속이 허용되지 않은 경우 - 취약 [Linux] 1. Telnet 사용 시 : /etc/securetty 파일이 존재하지 않거나 파일 내에 pts/0 ~ pts/x 등 가상 터미널이 허용된 경우 2. SSH 사용 시 : /etc/ssh/sshd_config 파일에 PermitRootLogin yes로 설정되어 있을 경우 [AIX] 1. rlogin 사용 시 : /etc.. 2024. 1. 1.
SRV-025 취약한 hosts.equiv 또는 .rhosts 설정 존재 SRV-025 취약한 hosts.equiv 또는 .rhosts 설정 존재 【 상세설명 】 hosts.equiv, .rhosts 파일 내에 등록된 시스템이나 사용자는 시스템 접근 시 인증 절차 없이 r 계열 명령어(rexec, rlogin등)를 사용이 가능함. 특히 hosts.equiv, .rhosts 파일 내에 `+ +` 구문 존재 시 시스템 root를 제외한 모든 사용자가 인증절차 없이 r 계열 명령어를 실행할 수 있는 등 보안 수준이 낮으므로 이러한 설정이 존재하는지 점검 【 판단기준 】 - 양호 : /etc/hosts.equiv, 각 계정들의 $HOME/.rhosts 파일이 없을 경우 혹은 신뢰된 호스트들의 목록만 가지고 있을 경우 - 취약 : /etc/hosts.equiv 또는 각 계정들의 $HO.. 2024. 1. 1.

티스토리툴바