공지
주요정보통신기반시설 상세가이드 UNIX(2021.03.)
1. 계정 관리
1.1. root 계정 원격접속 제한 [U-01] (상)
1.1 root 계정 원격 접속 제한 [U-01] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법
가. 취약점 개요 ■ 내용 : 시스템 정책에 root 계정의 원격터미널 접속차단 설정이 적용되어 있는지 점검 ■ 목적 : 관리자계정 탈취로 인한 시스템 장악을 방지하기 위해 외부 비인가자의 ro
jaeminsg.tistory.com
1.2. 패스워드 복잡성 설정 [U-02] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법
가. 취약점 개요 ■ 내용 : 시스템 정책에 사용자 계정(root 및 일반계정 모두 해당) 패스워드 복잡성 관련 설정이 되어 있는지 점검 ■ 목적 : 패스워드 복잡성 관련 정책이 설정되어 있는지
jaeminsg.tistory.com
1.3. 계정 잠금 임계값 설정 [U-03] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법
가. 취약점 개요 ■ 내용 - 사용자 계정 로그인 실패 시 계정잠금 임계값이 설정되어 있는지 점검 ■ 목적 - 계정탈취 목적의 무작위 대입 공격 시 해당 계정을 잠금하여 인증
jaeminsg.tistory.com
1.4. 패스워드 파일 보호 [U-04] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상
가. 취약점 개요 ■ 내용 - 시스템의 사용자 계정(root, 일반계정) 정보가 저장된 파일(예 /etc/passwd, /etc/shadow)에 사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검 ■ 목적 -
jaeminsg.tistory.com
1.5. root 이외의 UID가 ‘0’ 금지 [U-44]
1.5. root 이외의 UID가 ‘0’ 금지 [U-44] (중) - 주요정보통신기반시설 기술적 취약점 분석 평가 방
가. 취약점 개요 ■ 내용 : 사용자 계정 정보가 저장된 파일(예 /etc/passwd)에 root(UID=0) 계정과 동일한 UID(User Identification)를 가진 계정이 존재하는지 점검 ■ 목적 : root 계정과 동일한 UID가..
jaeminsg.tistory.com
1.6. root 계정 su 제한 [U-45] (하) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가
가. 취약점 개요 ■ 내용 : su 명령어 사용을 허용하는 사용자를 지정한 그룹이 설정되어 있는지 점검 ■ 목적 : su 관련 그룹만 su 명령어 사용 권한이 부여되어 있는지 점검하여 su 그룹에
jaeminsg.tistory.com
1.7. 패스워드 최소 길이 설정 [U-46] (중) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법
가. 취약점 개요 ■ 내용 : 시스템 정책에 패스워드 최소(8자 이상) 길이 설정이 적용되어 있는 점검 ■ 목적 : 패스워드 최소 길이 설정이 적용되어 있는지 점검하여 짧은(8자 미만) 패스워
jaeminsg.tistory.com
1.8. 패스워드 최대 사용기간 설정 [U-47] (중)
1.8. 패스워드 최대 사용기간 설정 [U-47] (중) - 주요정보통신기반시설 기술적 취약점 분석 평가
가. 취약점 개요 ■ 내용 : 시스템 정책에 패스워드 최대(90일 이하) 사용기간 설정이 적용되어 있는지 점검 ■ 목적 : 패스워드 최대 사용 기간 설정이 적용되어 있는지 점검하여 시스템 정
jaeminsg.tistory.com
1.9. 패스워드 최소 사용기간 설정 [U-48] (중)
1.9. 패스워드 최소 사용 기간 설정 [U-48] (중) - 주요정보통신기반시설 기술적 취약점 분석 평가
가. 취약점 개요 ■ 내용 : 시스템 정책에 패스워드 최소 사용기간 설정이 적용되어 있는지 점검 ■ 목적 : 사용자가 자주 패스워드를 변경할 수 없도록 하고 관련 설정(최근 암호 기억)과
jaeminsg.tistory.com
1.10. 불필요한 계정 제거 [U-49] (하) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상
가. 취약점 개요 ■ 내용 : 시스템 계정 중 불필요한 계정(퇴직, 전직, 휴직 등의 이유로 사용하지 않는 계정 및 장기적으로 사용하지 않는 계정 등)이 존재하는지 점검 ■ 목적 : 불필요한
jaeminsg.tistory.com
1.11. 관리자 그룹에 최소한의 계정 포함 [U-50] (하)
1.11. 관리자 그룹에 최소한의 계정 포함 [U-50] (하) - 주요정보통신기반시설 기술적 취약점 분석
가. 취약점 개요 ■ 내용 : 시스템 관리자 그룹에 최소한(root 계정과 시스템 관리에 허용된 계정)의 계정만 존재하는지 점검 ■ 목적 : 관리자 그룹에 최소한의 계정만 존재하는지 점검하여
jaeminsg.tistory.com
1.12. 계정이 존재하지 않는 GID 금지 [U-51] (하)
1.12. 계정이 존재하지 않는 GID 금지 [U-51] (하) - 주요정보통신기반시설 기술적 취약점 분석 평
가. 취약점 개요 ■ 내용 : 그룹(예 /etc/group) 설정 파일에 불필요한 그룹(계정이 존재하지 않고 시스템 관리나 운용에 사용되지 않는 그룹, 계정이 존재하고 시스템 관리나 운용 에 사용되지
jaeminsg.tistory.com
1.13. 동일한 UID 금지 [U-52] (중) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가
가. 취약점 개요 ■ 내용 : /etc/passwd 파일 내 UID가 동일한 사용자 계정 존재 여부 점검 ■ 목적 : UID가 동일한 사용자 계정을 점검함으로써 타 사용자 계정 소유의 파일 및 디렉터리로의 악
jaeminsg.tistory.com
1.14. 사용자 shell 점검 [U-53] (하) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세
가. 취약점 개요 ■ 내용 : 로그인이 불필요한 계정(adm, sys, daemon 등)에 쉘 부여 여부 점검 ■ 목적 : 로그인이 불필요한 계정에 쉘 설정을 제거하여, 로그인이 필요하지 않은 계정을 통한 시
jaeminsg.tistory.com
1.15. Session Timeout 설정 [U-54] (하)
1.15. Session Timeout 설정 [U-54] (하) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세
가. 취약점 개요 ■ 내용 : 사용자 쉘에 대한 환경설정 파일에서 session timeout 설정 여부 점검 ■ 목적 : 사용자의 고의 또는 실수로 시스템에 계정이 접속된 상태로 방치됨을 차단하기 위함
jaeminsg.tistory.com
2. 파일 및 디렉토리 관리 41
2.1. root홈, 패스 디렉터리 권한 및 패스 설정 [U-05] (상)
2.1. root홈, 패스 디렉터리 권한 및 패스 설정 [U-05] (상) - 주요정보통신기반시설 기술적 취약점
가. 취약점 개요 ■ 내용 - root 계정의 PATH 환경변수에 “.”이(마침표) 포함되어 있는지 점검 ■ 목적 - 비인가자가 불법적으로 생성한 디렉터리 및 명령어를 우선으로 실행되
jaeminsg.tistory.com
2.2. 파일 및 디렉터리 소유자 설정 [U-06] (상)
2.2. 파일 및 디렉터리 소유자 설정 [U-06] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가
가. 취약점 개요 ■ 내용 : 소유자 불분명한 파일이나 디렉터리가 존재하는지 여부를 점검 ■ 목적 : 소유자가 존재하지 않는 파일 및 디렉터리를 삭제 및 관리하여 임의의 사용자가 해당
jaeminsg.tistory.com
2.3. /etc/passwd 파일 소유자 및 권한 설정 [U-07] (상)
2.3. /etc/passwd 파일 소유자 및 권한 설정 [U-07] (상) - 주요정보통신기반시설 기술적 취약점 분석
가. 취약점 개요 ■ 내용 : /etc/passwd 파일 권한 적절성 점검 ■ 목적 : /etc/passwd 파일의 임의적인 변경을 차단하기 위해 비인가자가 권한 상승하는 것을 막기 위함 ■ 보안 위협 - 관
jaeminsg.tistory.com
2.4. /etc/shadow 파일 소유자 및 권한 설정 [U-08] (상)
2.4. /etc/shadow 파일 소유자 및 권한 설정 [U-08] (상) - 주요정보통신기반시설 기술적 취약점 분석
가. 취약점 개요 ■ 내용 : /etc/shadow 파일 권한 적절성 점검 ■ 목적 : /etc/shadow 파일을 관리자만 제어할 수 있게 하여 비인가자들의 접근을 차단하도록 shadow 파일 소유자 및 권한을 관리해
jaeminsg.tistory.com
2.5. /etc/hosts 파일 소유자 및 권한 설정 [U-09] (상) 48
2.6. /etc/(x)inetd.conf 파일 소유자 및 권한 설정 [U-10] (상)
2.6. /etc/(x)inetd.conf 파일 소유자 및 권한 설정 [U-10] (상) - 주요정보통신기반시설 기술적 취약점
가. 취약점 개요 ■ 내용 : /etc/(x)inetd.conf 파일 권한 적절성 점검 ■ 목적 : /etc/(x)inetd.conf 파일을 관리자만 제어할 수 있게 하여 비인가자들의 임의 적인 파일 변조를 방지하기 위함 ■
jaeminsg.tistory.com
2.7. /etc/syslog.conf 파일 소유자 및 권한 설정 [U-11] (상)
2.7. /etc/syslog.conf 파일 소유자 및 권한 설정 [U-11] (상) - 주요정보통신기반시설 기술적 취약점 분
가. 취약점 개요 ■ 내용 : /etc/syslog.conf 파일 권한 적절성 점검 ■ 목적 : /etc/syslog.conf 파일의 권한 적절성을 점검하여, 관리자 외 비인가자의 임 의적인 syslog.conf 파일 변조를 방지하기 위..
jaeminsg.tistory.com
2.8. /etc/services 파일 소유자 및 권한 설정 [U-12] (상)
2.8. /etc/services 파일 소유자 및 권한 설정 [U-12] (상) - 주요정보통신기반시설 기술적 취약점 분
가. 취약점 개요 ■ 내용 : /etc/services 파일 권한 적절성 점검 ■ 목적 : /etc/services 파일을 관리자만 제어할 수 있게 하여 비인가자들의 임의적인 파일 변조를 방지하기 위함 ■ 보안 위협
jaeminsg.tistory.com
2.9. SUID, SGID, 설정 파일점검 [U-13] (상)
2.9. SUID, SGID, 설정 파일점검 [U-13] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법
가. 취약점 개요 ■ 내용 : 불필요하거나 악의적인 파일에 SUID, SGID 설정 여부 점검 ■ 목적 : 불필요한 SUID, SGID 설정 제거로 악의적인 사용자의 권한상승을 방지하기 위함 ■ 보안 위협 -
jaeminsg.tistory.com
2.10. 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 [U-14] (상)
2.10. 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 [U-14] (상) - 주요정보통신기반
가. 취약점 개요 ■ 내용 : 홈 디렉터리 내의 환경변수 파일에 대한 소유자 및 접근권한이 관리자 또는 해당 계정으로 설정되어 있는지 점검 ■ 목적 : 비인가자의 환경변수 조작으로 인한
jaeminsg.tistory.com
2.11. world writable 파일 점검 [U-15] (상)
2.11. world writable 파일 점검 [U-15] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상
가. 취약점 개요 ■ 내용 : 불필요한 world writable 파일 존재 여부 점검 ■ 목적 : world writable 파일을 이용한 시스템 접근 및 악의적인 코드 실행을 방지하기 위함 ■ 보안 위협 - 시스
jaeminsg.tistory.com
2.12. /dev에 존재하지 않는 device 파일 점검 [U-16] (상)
2.12. /dev에 존재하지 않는 device 파일 점검 [U-16] (상) - 주요정보통신기반시설 기술적 취약점 분
가. 취약점 개요 ■ 내용 : 존재하지 않는 device 파일 존재 여부 점검 ■ 목적 : 실제 존재하지 않는 디바이스를 찾아 제거함으로써 root 파일 시스템 손상 및 다운 등의 문제를 방지하기 위함
jaeminsg.tistory.com
2.13. $HOME/.rhosts, hosts.equiv 사용 금지 [U-17] (상)
2.13. $HOME/.rhosts, hosts.equiv 사용 금지 [U-17] (상) - 주요정보통신기반시설 기술적 취약점 분석 평
가. 취약점 개요 ■ 내용 - /etc/hosts.equiv 파일 및 .rhosts 파일 사용자를 root 또는, 해당 계정으로 설정한 뒤 권한을 600으로 설정하고 해당파일 설정에 ‘+’ 설정(모든 호스트 허용)이 포함
jaeminsg.tistory.com
2.14. 접속 IP 및 포트 제한 [U-18] (상)
2.14. 접속 IP 및 포트 제한 [U-18] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상
가. 취약점 개요 ■ 내용 : 허용할 호스트에 대한 접속 IP 주소 제한 및 포트 제한 설정 여부 점검 ■ 목적 : 허용한 호스트만 서비스를 사용하게 하여 서비스 취약점을 이용한 외부자 공격
jaeminsg.tistory.com
2.15. hosts.lpd 파일 소유자 및 권한 설정 [U-55] (상)
2.15. hosts.lpd 파일 소유자 및 권한 설정 [U-55] (상) - 주요정보통신기반시설 기술적 취약점 분석
가. 취약점 개요 ■ 내용 : /etc/hosts.lpd 파일의 삭제 및 권한 적절성 점검 ■ 목적 : 비인가자의 임의적인 hosts.lpd 변조를 막기위해 hosts.lpd 파일 삭제 또는 소유자 및 권한 관리를 해야 함 ■
jaeminsg.tistory.com
2.17. UMASK 설정 관리 [U-56] (중) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이
가. 취약점 개요 ■ 내용 : 시스템 UMASK 값이 022 이상인지 점검 ■ 목적 : 잘못 설정된 UMASK 값으로 인해 신규 파일에 대한 과도한 권한 부여되는 것을 방지하기 위함 ■ 보안 위협 -
jaeminsg.tistory.com
2.18. 홈디렉토리 소유자 및 권한 설정 [U-57] (중)
2.18. 홈디렉토리 소유자 및 권한 설정 [U-57] (중) - 주요정보통신기반시설 기술적 취약점 분석
가. 취약점 개요 ■ 내용 : 홈 디렉터리의 소유자 외 타사용자가 해당 홈 디렉터리를 수정할 수 없도록 제한하는지 점검 ■ 목적 : 사용자 홈 디렉터리 내 설정파일이 비인가자에 의한 변조
jaeminsg.tistory.com
2.19. 홈디렉토리로 지정한 디렉토리의 존재 관리 [U-58] (중)
2.19. 홈디렉토리로 지정한 디렉토리의 존재 관리 [U-58] (중) - 주요정보통신기반시설 기술적 취
가. 취약점 개요 ■ 내용 : 사용자 계정과 홈 디렉터리의 일치 여부를 점검 ■ 목적 : /home 이외 사용자의 홈 디렉터리 존재 여부를 점검하여 비인가자가 시스템 명령어의 무단 사용을 방지
jaeminsg.tistory.com
2.20. 숨겨진 파일 및 디렉토리 검색 및 제거 [U-59] (하)
2.20. 숨겨진 파일 및 디렉토리 검색 및 제거 [U-59] (하) - 주요정보통신기반시설 기술적 취약점
가. 취약점 개요 ■ 내용 : 숨김 파일 및 디렉터리 내 의심스러운 파일 존재 여부 점검 ■ 목적 : 숨겨진 파일 및 디렉터리 중 의심스러운 내용은 정상 사용자가 아닌 공격자에 의해 생성되
jaeminsg.tistory.com
3. 서비스 관리 76
3.1. Finger 서비스 비활성화 [U-19] (상)
3.1. Finger 서비스 비활성화 [U-19] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상
가. 취약점 개요 ■ 내용 : Finger 서비스 비활성화 여부 점검 ■ 목적 : Finger(사용자 정보 확인 서비스)를 통해서 네트워크 외부에서 해당 시스템에 등록된 사용자 정보를 확인할 수 있어 비
jaeminsg.tistory.com
3.2. Anonymous FTP 비활성화 [U-20] (상)
3.2. Anonymous FTP 비활성화 [U-20] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세
가. 취약점 개요 ■ 내용 : 익명 FTP 접속 허용 여부 점검 ■ 목적 : 실행중인 FTP 서비스에 익명FTP 접속이 허용되고 있는지 확인하여 접속허용을 차단하는 것을 목적으로 함 ■ 보안 위협
jaeminsg.tistory.com
3.3. r 계열 서비스 비활성화 [U-21] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법
가. 취약점 개요 ■ 내용 : r-command 서비스 비활성화 여부 점검 ■ 목적 : r-command 사용을 통한 원격 접속은 NET Backup 또는 클러스터링 등 용 도로 사용되기도 하나, 인증 없이 관리자 원격접속
jaeminsg.tistory.com
3.4. crond 파일 소유자 및 권한 설정 [U-22] (상)
3.4. crond 파일 소유자 및 권한 설정 [U-22] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가
가. 취약점 개요 ■ 내용 : cron 관련 파일의 권한 적절성 점검 ■ 목적 : 관리자외 cron 서비스를 사용할 수 없도록 설정하고 있는지 점검하는 것을 목적으로 함 ■ 보안 위협 - root
jaeminsg.tistory.com
3.5. DoS 공격에 취약한 서비스 비활성화 [U-23] (상)
3.5. DoS 공격에 취약한 서비스 비활성화 [U-23] (상) - 주요정보통신기반시설 기술적 취약점 분석
가. 취약점 개요 ■ 내용 : 사용하지 않는 Dos 공격에 취약한 서비스의 실행 여부 점검 ■ 목적 : 시스템 보안성을 높이기 위해 취약점이 많이 발표된 echo, discard, daytime, chargen, ntp, snmp 등 서..
jaeminsg.tistory.com
3.6. NFS 서비스 비활성화 [U-24] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세
가. 취약점 개요 ■ 내용 : 불필요한 NFS 서비스 사용여부 점검 ■ 목적 : NFS(Network File System) 서비스는 한 서버의 파일을 많은 서비스 서버들 이 공유하여 사용할 때 많이 이용되는 서비스이
jaeminsg.tistory.com
3.7. NFS 접근 통제 [U-25] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이
가. 취약점 개요 ■ 내용 : NFS(Network File System) 사용 시 허가된 사용자만 접속할 수 있도록 접근 제한 설정 적용 여부 점검 ■ 목적 : 접근권한이 없는 비인가자의 접근을 통제함 ■ 보안
jaeminsg.tistory.com
3.8. automountd 제거 [U-26] (상) 93
3.9. RPC 서비스 확인 [U-27] (상)
3.9. RPC 서비스 확인 [U-27] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가
가. 취약점 개요 ■ 내용 : 불필요한 RPC 서비스의 실행 여부 점검 ■ 목적 : 다양한 취약성(버퍼 오버플로우, Dos, 원격실행 등)이 존재하는 RPC 서비스를 점검하여 해당 서비스를 비활성화 하
jaeminsg.tistory.com
3.10. NIS, NIS+ 점검 [U-28] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가이
가. 취약점 개요 ■ 내용 : 안전하지 않은 NIS 서비스의 비활성화, 안전한 NIS+ 서비스의 활성화 여부 점검 ■ 목적 : 안전하지 않은 NIS 서비스를 비활성화 하고 안전한 NIS+ 서비스를 활성화
jaeminsg.tistory.com
3.11. tftp, talk 서비스 비활성화 [U-29] (상)
3.11. tftp, talk 서비스 비활성화 [U-29] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방
가. 취약점 개요 ■ 내용 : tftp, talk 등의 서비스를 사용하지 않거나 취약점이 발표된 서비스의 활성화 여부 점검 ■ 목적 : 안전하지 않거나 불필요한 서비스를 제거함으로써 시스템 보안
jaeminsg.tistory.com
3.12. Sendmail 버전 점검 [U-30] (상)
3.12. Sendmail 버전 점검 [U-30] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세
가. 취약점 개요 ■ 내용 : 취약한 버전의 Sendmail 서비스 이용 여부 점검 ■ 목적 : Sendmail 서비스 사용 목적 검토 및 취약점이 없는 버전의 사용 유무 점검 으로 최적화된 Sendmail 서비스의 운
jaeminsg.tistory.com
3.13. 스팸 메일 릴레이 제한 [U-31] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법
가. 취약점 개요 ■ 내용 : SMTP 서버의 릴레이 기능 제한 여부 점검 ■ 목적 : 스팸 메일 서버로의 악용방지 및 서버 과부하의 방지를 위함 ■ 보안 위협 - SMTP 서버의 릴레이 기능을
jaeminsg.tistory.com
3.14. 일반사용자의 Sendmail 실행 방지 [U-32] (상)
3.14. 일반사용자의 Sendmail 실행 방지 [U-32] (상) - 주요정보통신기반시설 기술적 취약점 분석 평
가. 취약점 개요 ■ 내용 : SMTP 서비스 사용 시 일반사용자의 q 옵션 제한 여부 점검 목적 : ■ 보안 위협 - 일반사용자의 q 옵션을 제한하여 Sendmail 설정 및 메일큐를 강제적으로 drop 시
jaeminsg.tistory.com
3.15. DNS 보안 버전 패치 [U-33] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세
가. 취약점 개요 ■ 내용 : BIND 최신버전 사용 유무 및 주기적 보안 패치 여부 점검 ■ 목적 : 취약점이 발표되지 않은 BIND 버전의 사용을 목적으로 함 ■ 보안 위협 - 최신버전(2016.0
jaeminsg.tistory.com
3.16. DNS Zone Transfer 설정 [U-34] (상)
3.16. DNS Zone Transfer 설정 [U-34] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세
가. 취약점 개요 ■ 내용 : Secondary Name Server로만 Zone 정보 전송 제한 여부 점검 ■ 목적 : 허가되지 않는 사용자에게 Zone Transfer를 제한함으로써 호스트 정보, 시스템 정보 등 정보 유출의 방
jaeminsg.tistory.com
3.17. 웹서비스 디렉토리 리스팅 제거 [U-35] (상)
3.17. 웹서비스 디렉토리 리스팅 제거 [U-35] (상) - 주요정보통신기반시설 기술적 취약점 분석
가. 취약점 개요 ■ 내용 : 디렉터리 검색 기능의 활성화 여부 점검 ■ 목적 : 외부에서 디렉터리 내의 모든 파일에 대한 접근 및 열람을 제한함을 목적으로 함 ■ 보안 위협 - 디렉
jaeminsg.tistory.com
3.18. 웹서비스 웹 프로세스 권한 제한 [U-36] (상)
3.18. 웹서비스 웹 프로세스 권한 제한 [U-36] (상) - 주요정보통신기반시설 기술적 취약점 분석 평
가. 취약점 개요 ■ 내용 : Apache 데몬이 root 권한으로 구동되는지 여부 점검 ■ 목적 : Apache 데몬을 root 권한으로 구동하지 않고 별도의 권한으로 구동함으로써 침해사고 발생 시 피해범위
jaeminsg.tistory.com
3.19. 웹서비스 상위 디렉토리 접근 금지 [U-37] (상)
3.19. 웹서비스 상위 디렉토리 접근 금지 [U-37] (상) - 주요정보통신기반시설 기술적 취약점 분석
가. 취약점 개요 ■ 내용 : “..” 와 같은 문자 사용 등으로 상위 경로로 이동이 가능한지 여부 점검 ■ 목적 : 상위 경로 이동 명령으로 비인가자의 특정 디렉터리에 대한 접근 및 열람을
jaeminsg.tistory.com
3.20. 웹서비스 불필요한 파일 제거 [U-38] (상)
3.20. 웹서비스 불필요한 파일 제거 [U-38] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가
가. 취약점 개요 ■ 내용 : Apache 설치 시 기본으로 생성되는 불필요한 파일의 삭제 여부 점검 ■ 목적 : Apache 설치 시 디폴트로 설치되는 불필요한 파일을 제거함을 목적으로 함. ■ 보안
jaeminsg.tistory.com
3.21. 웹서비스 링크 사용금지 [U-39] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법
가. 취약점 개요 ■ 내용 : 심볼릭 링크, aliases 사용 제한 여부 점검 ■ 목적 : 무분별한 심볼릭 링크, aliases 사용제한으로 시스템 권한의 탈취 방지를 목적으로 함 ■ 보안 위협 -
jaeminsg.tistory.com
3.22. 웹서비스 파일 업로드 및 다운로드 제한 [U-40] (상)
3.22. 웹서비스 파일 업로드 및 다운로드 제한 [U-40] (상) - 주요정보통신기반시설 기술적 취약점
가. 취약점 개요 ■ 내용 : 파일 업로드 및 다운로드의 사이즈 제한 여부 점검 ■ 목적 : 기반시설 특성상 원칙적으로 파일 업로드 및 다운로드를 금지하고 있지만 불가피하게 필요시 용량
jaeminsg.tistory.com
3.23. 웹서비스 영역의 분리 [U-41] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법
가. 취약점 개요 ■ 내용 : 웹 서버의 루트 디렉터리와 OS의 루트 디렉터리를 다르게 지정하였는지 점검 ■ 목적 : 웹 서비스 영역과 시스템 영역을 분리시켜서 웹 서비스의 침해가 시스템
jaeminsg.tistory.com
3.24. ssh 원격접속 허용 [U-60] (중) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세
가. 취약점 개요 ■ 내용 : 원격 접속 시 SSH 프로토콜을 사용하는지 점검 ■ 목적 : 비교적 안전한 SSH 프로토콜을 사용함으로써 스니핑 등 아이디/패스워드의 누출의 방지를 목적으로 함 ■
jaeminsg.tistory.com
3.25. ftp 서비스 확인 [U-61] (하) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세 가
가. 취약점 개요 ■ 내용 : FTP 서비스가 활성화 되어있는지 점검 ■ 목적 : 취약한 서비스인 FTP서비스를 가급적 제한함을 목적으로 함 ■ 보안 위협 - FTP 서비스는 통신구간이 평문
jaeminsg.tistory.com
3.26. ftp 계정 shell 제한 [U-62] (중)
3.26. ftp 계정 shell 제한 [U-62] (중) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상세
가. 취약점 개요 ■ 내용 : ftp 기본 계정에 쉘 설정 여부 점검 ■ 목적 : FTP 서비스 설치 시 기본으로 생성되는 ftp 계정은 로그인이 필요하지 않은 계정으로 쉘을 제한하여 해당 계정으로의
jaeminsg.tistory.com
3.27. ftpusers 파일 소유자 및 권한 설정 [U-63] (하)
3.27. ftpusers 파일 소유자 및 권한 설정 [U-63] (하) - 주요정보통신기반시설 기술적 취약점 분석
가. 취약점 개요 ■ 내용 : FTP 접근제어 설정파일에 관리자 외 비인가자들이 수정 제한 여부 점검 ■ 목적 : 비인가자들의 ftp 접속을 차단하기 위해 ftpusers 파일 소유자 및 권한을 관리해야
jaeminsg.tistory.com
3.28. ftpusers 파일 설정(FTP 서비스 root 계정 접근제한) [U-64] (중)
3.28. ftpusers 파일 설정(FTP 서비스 root 계정 접근제한) [U-64] (중) - 주요정보통신기반시설 기술적
가. 취약점 개요 ■ 내용 : FTP 서비스를 사용할 경우 ftpusers 파일 root 계정이 포함 여부 점검 ■ 목적 : root의 FTP 직접 접속을 방지하여 root 패스워드 정보를 노출되지 않도록 하기 위함 ■
jaeminsg.tistory.com
3.29. at 서비스 권한 설정 [U-65] (중) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상
가. 취약점 개요 ■ 내용 : 관리자(root)만 at.allow파일과 at.deny 파일을 제어할 수 있는지 점검 ■ 목적 : 관리자외 at 서비스를 사용할 수 없도록 설정하고 있는지 점검하는 것을 목적으로 함
jaeminsg.tistory.com
3.30. SNMP 서비스 구동 점검 [U-66] (중)
3.30. SNMP 서비스 구동 점검 [U-66] (중) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상
가. 취약점 개요 ■ 내용 : SNMP 서비스 활성화 여부 점검 ■ 목적 : 불필요한 SNMP 서비스 활성화로 인해 필요 이상의 정보가 노출되는 것을 막기 위해 SNMP 서비스를 중지해야함 ■ 보안 위
jaeminsg.tistory.com
3.31. SNMP 서비스 Community String의 복잡성 설정 [U-67] (중)
3.31. SNMP 서비스 Community String의 복잡성 설정 [U-67] (중) - 주요정보통신기반시설 기술적 취약점
가. 취약점 개요 ■ 내용 : SNMP Community String 복잡성 설정 여부 점검 ■ 목적 : Community String 기본 설정인 Public, Private는 공개된 내용으로 공격자가 이를 이용하여 SNMP 서비스를 통해 시스..
jaeminsg.tistory.com
3.32. 로그온 시 경고 메시지 제공 [U-68] (하)
3.32. 로그온 시 경고 메시지 제공 [U-68] (하) - 주요정보통신기반시설 기술적 취약점 분석 평가
가. 취약점 개요 ■ 내용 : 서버 및 서비스에 로그온 시 불필요한 정보 차단 설정 및 불법적인 사용에 대한 경고 메시지 출력 여부 점검 ■ 목적 : 비인가자들에게 서버에 대한 불필요한 정
jaeminsg.tistory.com
3.33. NFS 설정파일 접근권한 [U-69] (중)
3.33. NFS 설정파일 접근권한 [U-69] (중) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법
가. 취약점 개요 ■ 내용 : NFS 접근제어 설정파일에 대한 비인가자들의 수정 제한 여부 점검 ■ 목적 : 비인가자에 의한 불법적인 외부 시스템 마운트를 차단하기 위해 NFS 접근 제어 파일의
jaeminsg.tistory.com
3.34. expn, vrfy 명령어 제한 [U-70] (중)
3.34. expn, vrfy 명령어 제한 [U-70] (중) - 주요정보통신기반시설 기술적 취약점 분석 평가 방법 상
가. 취약점 개요 ■ 내용 : SMTP 서비스 사용 시 vrfy, expn 명령어 사용 금지 설정 여부 점검 ■ 목적 : SMTP 서비스의 expn, vrfy 명령을 통한 정보 유출을 막기 위하여 두 명령어 를 사용하지 못하
jaeminsg.tistory.com
3.35. Apache 웹 서비스 정보 숨김 [U-71] (상)
3.35. Apache 웹 서비스 정보 숨김 [U-71] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가 방
가. 취약점 개요 ■ 내용 : 웹페이지에서 오류 발생 시 출력되는 메시지 내용 점검 ■ 목적 : HTTP 헤더, 에러페이지에서 웹 서버 버전 및 종류, OS 정보 등 웹 서버와 관련된 불필요한 정보가
jaeminsg.tistory.com
4. 패치 관리 151
4.1. 최신 보안패치 및 벤더 권고사항 적용 [U-42] (상)
4.1. 최신 보안패치 및 벤더 권고사항 적용 [U-42] (상) - 주요정보통신기반시설 기술적 취약점 분
가. 취약점 개요 ■ 내용 : 시스템에서 최신 패치가 적용되어 있는지 점검 ■ 목적 : 주기적인 패치 적용을 통하여 보안성 및 시스템 안정성을 확보함 ■ 보안 위협 - 최신 보안패
jaeminsg.tistory.com
5. 로그 관리
5.1. 로그의 정기적 검토 및 보고 [U-43] (상)
5.1. 로그의 정기적 검토 및 보고 [U-43] (상) - 주요정보통신기반시설 기술적 취약점 분석 평가
가. 취약점 개요 ■ 내용 : 로그의 정기적 검토 및 보고 여부 점검 ■ 목적 : 정기적인 로그 점검을 통해 안정적인 시스템 상태 유지 및 외부 공격 여부 를 파악하기 위함 ■ 보안 위협 -
jaeminsg.tistory.com
5.2. 정책에 따른 시스템 로깅 설정 [U-72] (하)
5.2. 정책에 따른 시스템 로깅 설정 [U-72] (하) - 주요정보통신기반시설 기술적 취약점 분석 평가
가. 취약점 개요 ■ 내용 : 내부 정책에 따른 시스템 로깅 설정 적용 여부 점검 ■ 목적 : 보안 사고 발생 시 원인 파악 및 각종 침해 사실에 대한 확인을 하기 위함 ■ 보안 위협 -
jaeminsg.tistory.com