Apache 상위 디렉토리 접근 금지 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 상위 경로 이동 명령으로 비인가자의 특정 디렉토리에 대한 접근 및 열람을 제한하여 중요 파일 및 데이터 보호를 목적으로 함 ■ 보안 위협 - 상위 경로로 이동하는 것이 가능할 경우 접근하고자 하는 디렉토리의 하위 경로에 접속하여 상위경로로 이동함으로써 악의적인 목적을 가진 사용자의 접근이 가능함 점검 및 조치 방법 ■ 판단 기준 - 양호 : 상위 디렉토리에 이동제한을 설정한 경우 - 취약 : 상위 디렉토리에 이동제한을 설정하지 않은 경우 ■ 조치 방법 Step 1) 사용자 인증을 하기 위해서 각 디렉토리 별로 httpd.conf 파일 내 AllowOverride 지시자의 옵션 설정을 변경 (None 에서 AuthConf..
Apache 웹 프로세스 권한 제한 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - Apache 데몬을 root 권한으로 구동하지 않고 별도의 권한으로 서비스함으로써 침해사고 발생 시 피해범위 확산 방지를 목적으로 함 ■ 보안 위협 - 웹 프로세스 취약점 공격으로 Apache 권한이 탈취 당할 경우 Apache 프로세스의 권한이 root이면 시스템 전체의 제어권을 탈취 당해 피해범위가 확산될 가능성이 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : Apache 데몬이 root 권한으로 구동되지 않는 경우 - 취약 : Apache 데몬이 root 권한으로 구동되는 경우 ■ 조치 방법 - Apache 데몬을 root가 아닌 별도 계정으로 구동 ■ 점검 및 조치 사례 ● SOLARIS, LINUX, AIX..
Apache 디렉토리 리스팅 제거 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 외부에서 디렉토리 내의 모든 파일에 접근 및 열람을 제한함을 목적으로 함 ■ 보안 위협 - 디렉토리 검색 기능이 활성화 되어 있을 경우, WEB 서버 구조 노출뿐만 아니라 백업 파일이나 소스파일, 공개되어서는 안되는 파일 등이 노출될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 디렉토리 검색 기능을 사용하지 않는 경우 - 취약 : 디렉토리 검색 기능을 사용하는 경우 ■ 조치 방법 - 디렉토리 검색 기능 제거 (/[Apache_home]/conf/httpd.conf 파일에 설정된 모든 디렉토리의 Options 지시자에서 Indexes 옵션 제거) ■ 점검 및 조치 사례 ● SOLARIS, LINUX, AIX, HP..
DNS Zone Transfer 설정 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 허가되지 않는 사용자에게 Zone Transfer를 제한함으로써 호스트 정보, 시스템 정보 등 정보 유출의 방지를 목적으로 함 ■ 보안 위협 - 비인가자 Zone Transfer를 이용해 Zone 정보를 전송받아 호스트 정보, 시스템 정보, 네트워크 구성 형태 등의 많은 정보를 파악할 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : DNS 서비스 미사용 또는, Zone Transfer를 허가된 사용자에게만 허용한 경우 - 취약 : DNS서비스를 사용하며 Zone Transfer를 모든 사용자에게 허용한 경우 ■ 조치 방법 - DNS 서비스를 사용하지 않을 경우 서비스 중지, 사용한다면 DNS 설정을 통해 내부 Z..
DNS 보안 버전 패치 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 취약점이 발표되지 않은 BIND 버전의 사용을 목적으로 함 ■ 보안 위협 - 최신버전(2016.01 기준 9.10.3-P2) 이하의 버전에서는 서비스거부 공격, 버퍼 오버플로우 및 DNS 서버 침입 등의 취약성이 존재함 점검 및 조치 방법 ■ 판단 기준 - 양호 : DNS 서비스를 사용하지 않거나 주기적으로 패치를 관리하고 있는 경우 - 취약 : DNS 서비스를 사용하며 주기적으로 패치를 관리하고 있지 않는 경우 ■ 조치 방법 DNS 서비스를 사용하지 않을 경우 서비스 중지, 사용할 경우 패치 관리 정책을 수립하여 주기적으로 패치 적용 ■ 점검 및 조치 사례 ● SOLARIS, LINUX, AIX, HP-UX 1. BIND는 거의 모..
일반사용자의 Sendmail 실행 방지 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 일반사용자의 q 옵션을 제한하여 Sendmail 설정 및 메일큐를 강제적으로 drop 시킬 수 있어 악의적인 SMTP 서버의 오류를 방지 ■ 보안 위협 - 일반 사용자가 q 옵션을 이용해서 메일큐, Sendmail 설정을 보거나 메일큐를 강제적으로 drop 시킬 수 있어 악의적인 SMTP 서버의 오류를 발생시킬 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : SMTP 서비스 미사용 또는, 일반 사용자의 Sendmail 실행 방지가 설정된 경우 - 취약 : SMTP 서비스 사용 및 일반 사용자의 Sendmail 실행 방지가 설정되어 있지 않은 경우 ■ 조치 방법 - Sendmail 서비스를 사용하지 않을 경우 서..
스팸 메일 릴레이 제한 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 스팸 메일 서버로의 악용 방지 및 서버 과부하의 방지를 위함 ■ 보안 위협 - SMTP 서버의 릴레이 기능을 제한하지 않는 경우, 악의적인 사용목적을 가진 사용자들이 스팸메일 서버로 사용하거나 DoS 공격의 대상이 될 수 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : SMTP 서비스를 사용하지 않거나 릴레이 제한이 설정되어 있는 경우 - 취약 : SMTP 서비스를 사용하며 릴레이 제한이 설정되어 있지 않은 경우 ■ 조치 방법 - Sendmail 서비스를 사용하지 않을 경우 서비스 중지 - 사용할 경우 릴레이 방지 설정 또는, 릴레이 대상 접근 제어 ■ 점검 및 조치 사례 ● SOLARIS, LINUX, HP-UX, AIX Ste..
Sendmail 버전 점검 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - Sendmail 서비스 사용 목적 검토 및 취약점이 없는 버전의 사용 유무를 점검하여 최적화된 Sendmail 서비스의 운영을 위함 ■ 보안 위협 - 취약점이 발견된 Sendmail 버전의 경우 버퍼 오버플로우(Buffer Overflow) 공격에 의한 시스템 권한 획득 및 주요 정보 유출 가능성 존재 점검 및 조치 방법 ■ 판단 기준 양호 : Sendmail 버전이 최신버전인 경우 취약 : Sendmail 버전이 최신버전이 아닌 경우 ■ 조치 방법 - Sendmail 서비스를 사용하지 않을 경우 서비스 중지, 재부팅 후 다시 시작하지 않도록 스크립트 변경 - Sendmail 서비스 사용 시 패치 관리 정책을 수립하여 주기적 패치..
tftp, talk 서비스 비활성화 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 안전하지 않거나 불필요한 서비스를 제거함으로써 시스템 보안성 및 리소스의 효율적 운용 ■ 보안 위협 - 사용하지 않는 서비스나 취약점이 발표된 서비스 운용 시 공격 시도 가능 점검 및 조치 방법 ■ 판단 기준 - 양호 : tftp, talk, ntalk 서비스가 비활성화 되어 있는 경우 - 취약 : tftp, talk, ntalk 서비스가 활성화 되어 있는 경우 ■ 조치 방법 - 시스템 운영에 불필요한 서비스(tftp, talk, ntalk) 비활성화 ■ 점검 및 조치 사례 ▶ LINUX, AIX, HP-UX, SOLARIS 5.9 이하 버전 Step 1) vi 편집기를 이용하여 "/etc/inetd.conf" 파일 열기..
NIS, NIS+ 점검 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 안전하지 않은 NIS 서비스를 비활성화 하고 NIS+ 서비스를 활성화하여 시스템 보안수준을 향상하고자 함 ■ 보안 위협 - 보안상 취약한 서비스인 NIS를 사용하는 경우 비인가자가 타시스템의 root 권한 획득이 가능하므로 사용하지 않는 것이 가장 바람직하나 만약 NIS를 사용해야 하는 경우 사용자 정보보안에 많은 문제점을 내포하고 있는 NIS 보다 NIS+를 사용하는 것을 권장함 점검 및 조치 방법 ■ 판단 기준 - 양호 : NIS 서비스가 비활성화 되어 있거나, 필요 시 NIS+ 를 사용하는 경우 - 취약 : NIS 서비스가 활성화 되어 있는 경우 ■ 조치 방법 - NIS 관련 서비스 비활성화 ■ 점검 및 조치 사례 ● LINUX..
RPC 서비스 관리 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 다양한 취약점(버퍼 오버플로우, DoS, 원격실행 등) 이 존재하는 RPC 서비스를 점검하여 해당 서비스를 비활성화 하도록 함 ■ 보안 위협 - 버퍼 오버플로우(Buffer Overflow), DoS, 원격실행 등의 취약성이 존재하는 RPC 서비스를 통해 비인가자의 root 권한 획득 및 침해사고 발생 위험이 있으므로 서비스를 중지하여야 함 점검 및 조치 방법 ■ 판단 기준 - 양호 : 불필요한 RPC 서비스가 비활성화 되어 있는 경우 - 취약 : 불필요한 RPC 서비스가 활성화 되어 있는 경우 ■ 조치 방법 - 일반적으로 사용하지 않는 RPC 서비스들을 inetd.conf 파일에서 주석 처리한 후 inetd 재구동 ■ 점검 및 조치 사..
NFS 접근 통제 취약점 개요 ■ 위험도 - 상 ■ 점검 목적 - 접근권한이 없는 비인가자의 접근을 통제함 ■ 보안 위협 - 접근제한 설정이 적절하지 않을 경우 인증절차 없이 비인가자의 디렉터리나 파일의 접근이 가능하며, 해당 공유 시스템에 원격으로 마운트하여 중요 파일을 변조하거나 유출할 위험이 있음 점검 및 조치 방법 ■ 판단 기준 - 양호 : 불필요한 NFS 서비스를 사용하지 않거나, 불가피하게 사용 시 everyone 공유를 제한한 경우 - 취약 : 불필요한 NFS 서비스를 사용하고 있고, everyone 공유를 제한하지 않은 경우 ■ 조치 방법 - 사용하지 않는다면 NFS 서비스 중지, 사용할 경우 NFS 설정파일에 everyone 공유 설정 제거 ■ 점검 및 조치 사례 ▶ /etc/dfs/df..
