패스워드 최소 사용기간 설정 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 사용자가 자주 패스워드를 변경할 수 없도록 하고 관련 설정(최근 암호 기 억)과 함께 시스템에 적용하여 패스워드 변경 전에 사용했던 패스워드를 재 사용 할 수 없도록 방지하는지 확인하기 위함 ■ 보안 위협 - ※ 최소 사용기간이 설정되어 있지 않아 반복적으로 즉시 변경이 가능한 경 우 이전 패스워드 기억 횟수를 설정하여도 반복적으로 즉시 변경하여 이전 패스워드로 설정이 가능함 점검 및 조치 방법 ■ 판단 기준 - 양호 : 패스워드 최소 사용기간이 1일 이상 설정되어 있는 경우 - 취약 : 패스워드 최소 사용기간이 설정되어 있지 않는 경우 ■ 조치 방법 - 패스워드 정책 설정파일을 수정하여 패스워드 최소 사용기간을 1일(1주)로 ..
패스워드 최대 사용기간 설정 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 패스워드 최대 사용 기간 설정이 적용되어 있는지 점검하여 시스템 정책에 서 사용자 계정의 장기간 패스워드 사용을 방지하고 있는지 확인하기 위함 ■ 보안 위협 - 패스워드 최대 사용기간을 설정하지 않은 경우 비인가자의 각종 공격(무작 위 대입 공격, 사전 대입 공격 등)을 시도할 수 있는 기간 제한이 없으므로 공격자 입장에서는 장기적인 공격을 시행할 수 있어 시행한 기간에 비례하 여 사용자 패스워드가 유출될 수 있는 확률이 증가함 점검 및 조치 방법 ■ 판단 기준 - 양호 : 패스워드 최대 사용기간이 90일(12주) 이하로 설정되어 있는 경우 - 취약 : 패스워드 최대 사용기간이 90일(12주) 이하로 설정되어 있지 않는 경우 ■..
패스워드 최소 길이 설정 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - 패스워드 최소 길이 설정이 적용되어 있는지 점검하여 짧은(8자 미만) 패스워드 길이로 발생하는 취약점을 이용한 공격(무작위 대입 공격, 사전 대입 공격 등)에 대한 대비(사용자 패스워드 유출)가 되어 있는지 확인하기 위함 ■ 보안 위협 - 패스워드 최소 길이 설정이 적용되어 있지 않을 경우 비인가자의 각종 공격(무작위 대입 공격, 사전 대입 공격 등)에 취약하여 사용자 계정 패스워드 유출 유려가 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 패스워드 최소 길이가 8자 이상으로 설정되어 있는 경우(공공기관의 경우 9자리 이상) - 취약 : 패스워드 최소 길이가 8자 미만으로 설정되어 있는 경우(공공기관의 경우 9자리 미만) ■ ..
root 계정 su 제한 취약점 개요 ■ 위험도 - 하 ■ 점검 목적 - su 관련 그룹만 su 명령어 사용 권한이 부여되어 있는지 점검하여 su 그룹에 포함되지 않은 일반 사용자의 su 명령 사용을 원천적으로 차단하는지 확인하기 위함 ■ 보안 위협 - su 명령어를 모든 사용자가 사용하도록 설정되어 있는 경우 root 계정 권한을 얻기 위해 패스워드 무작위 공격(Brute Force Attack) 이나 패스워드 추측 공격(Password Guessing)을 시도하여 root 계정 패스워드가 유출될 위협이 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : su 명령어를 특정 그룹에 속한 사용자만 사용하도록 제한되어 있는 경우 - 취약 : su 명령어를 모든 사용자가 사용하도록 설정되어 있는 경우 ■ 조..
root 이외의 UID가 '0' 금지 취약점 개요 ■ 위험도 - 중 ■ 점검 목적 - root 계정과 동일한 UID가 존재하는지 점검하여 root 권한이 일반 사용자 계정이나 비인가자의 접근 위협에 안전하게 보호되고 있는지 확인하기 위함 ■ 보안 위협 - root 계정과 동일한 UID가 존재하여 비인가자에 노출되었을 경우 root 계정 권한과 동일한 권한으로 시스템에 로그인 하여 시스템 계정 정보 유출, 환경설정 파일 및 디렉토리 변조 및 삭제 등의 행위를 하여 시스템 가용성(서비스 다운, 악성코드 유포지 감염)에 영향을 미칠 수 있는 위협이 존재함 - root와 동일한 UID를 사용하므로 사용자 감사 추적 시 어려움이 발생함 점검 및 조치 방법 ■ 판단 기준 - 양호 : root 계정과 동일한 UID를..
일반사용자의 Sendmail 실행 방지 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 일반사용자의 q 옵션을 제한하여 Sendmail 설정 및 메일큐를 강제적으로 drop 시킬 수 없게 하여 비인가자에 의한 SMTP 서비스 오류 방지 ■ 보안 위협 - 일반 사용자가 q 옵션을 이용해서 메일큐, Sendmail 설정을 보거나 메일큐 를 강제적으로 drop 시킬 수 있어 악의적으로 SMTP 서버의 오류를 발생시 킬 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : SMTP 서비스 미사용 또는, 일반 사용자의 Sendmail 실행 방지가 설정된 경우 - 취약 : sMTP 서비스 사용 및 일반 사용자의 Sendmail 실행 방지가 설정되어 있지 않은 경우 ■ 조치 방법 - Sendmail 서비스를 사용하..
로그의 정기적 검토 및 보고 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 정기적인 로그 점검을 통해 안정적인 시스템 상태 유지 및 외부 공격 여부를 파악하기 위함 ■ 보안 위협 - 로그의 검토 및 보고 절차가 없는 경우 외부 침입 시도에 대한 식별이 누락될 수 있고, 침입 시도가 의심되는 사례 발견 시 관련 자료를 분석하여 해당 장비에 대한 접근을 차단하는 등의 추가 조치가 어려움 점검 및 조치 방법 ■ 판단 기준 - 양호 : 접속기록 등의 보안로그, 응용 프로그램 및 시스템 로그 기록에 대한 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어지는 경우 - 취약 : 위 로그 기록에 대해 정기적으로 검토, 분석, 리포트 작성 및 보고 등의 조치가 이루어 지지 않는 경우 ■ 조치 방법 - ..
최신 보안패치 및 벤더 권고사항 적용 방법 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 주기적인 패치 적용을 통하여 보안성 및 시스템 안정성을 확보함 ■ 보안 위협 - 최신 보안패치가 적용되지 않을 경우, 이미 알려진 취약점을 통하여 공격자에 의해 시스템 침해사고 발생 가능성이 존재함 점검 및 조치 사례 ■ 판단 기준 - 양호 : 패치 적용 정책을 수립하여 주기적으로 패치관리를 하고 있으며, 패치 관련 내용을 확인하고 적용했을 경우 - 취약 : 패치 적용 정책을 수립하지 않고 주기적으로 패치관리를 하고 있지 않거나 패치 관련 내용을 확인하지 않고 적용하지 않았을 경우 ■ 조치 방법 - OS관리자, 서비스 개발자가 패치적용에 따른 서비스 영향 정도를 파악하여 OS 관리자 및 벤더에서 적용 SOLARIS..
Apache 웹 서비스 영역의 분리 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 웹 서비스 영역과 시스템 영역을 분리시켜서 웹 서비스의 침해가 시스템 영역으로 확장될 가능성을 최소화하기 위함 ■ 보안 위협 - 웹 서버의 루트 디렉토리와 OS의 루트 디렉토리를 다르게 지정하지 않았을 경우, 비인가자가 웹 서비스를 통해 해킹이 성공할 경우 시스템 영역까지 접근이 가능하여 피해가 확장될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : DocumentRoot를 별도의 디렉토리로 지정한 경우 - 취약 : DocumentRoot를 기본 디렉토리로 지정한 경우 ■ 조치 방법 - DocumentRoot "/usr/local/apache/htdocs", "/usr/local/apache2/htdocs", "/..
Apache 파일 업로드 및 다운로드 제한 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 기반시설 특성상 원칙적으로 파일 업로드 및 다운로드를 금지하고 있지만 불가피하게 필요시 용량 사이즈를 제한함으로써 불필요한 업로드와 다운로드를 방지해 서버의 과부하 예방 및 자원을 효율적으로 관리하기 위함 ■ 보안 위협 - 악의적 목적을 가진 사용자가 반복 업로드 및 웹 쉘 공격 등으로 시스템 권한을 탈취하거나 대용량 파일의 반복 업로드로 서버자원을 고갈시키는 공격의 위험이 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 파일 업로드 및 다운로드를 제한한 경우 - 취약 : 파일 업로드 및 다운로드를 제한하지 않은 경우 ■ 조치 방법 - 파일 업로드 및 다운로드 용량 제한 (/[Apache_home]/conf/h..
주요정보통신기반시설 Apache 링크 사용금지에 대해서 알아보겠습니다. 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 무분별한 심볼릭 링크, aliases 사용제한으로 시스템 권한의 탈취 방지를 목적으로 함 ■ 보안 위협 - 시스템 자체의 root 디렉토리(/) 에 링크를 걸게 되면 웹 서버 구동 사용자 권한(nobody)으로 모든 파일 시스템의 파일에 접근할 수 있게 되어 "/etc/passwd" 파일과 같은 민감한 파일을 누구나 열람할 수 있게 됨 점검 및 조치 방법 ■ 판단 기준 - 양호 : 심볼릭 링크, aliases 사용을 제한한 경우 - 취약 : 심볼릭 링크, aliases 사용을 제한하지 않은 경우 ■ 조치 방법 - 심볼릭 링크, aliases 사용 제한 (/[Apache_home]/con..
Apache 불필요한 파일 제거 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - Apache 설치 시 디폴트로 설치되는 불필요한 파일을 제거함을 목적으로 함 ■ 보안 위협 - Apache 설치 시 htdocs 디렉토리 내에 매뉴얼 파일은 시스템 관련 정보를 노출하거나 해킹에 악용될 수 있음 점검 및 조치 방법 ○ SOLARIS, LINUX, AIX, HP-UX Step 1) # ls 명령어로 확인된 매뉴얼 디렉토리 및 파일 제거 # rm -rf /[Apache_home] /htdocs/manual # rm -rf /[Apache_home] /manual ■ 판단 기준 - 양호 : 기본으로 생성되는 불필요한 파일 및 디렉토리가 제거되어 있는 경우 - 취약 : 기본으로 생성되는 불필요한 파일 및 디렉토리가 ..
