분류 전체보기 (45) 썸네일형 리스트형 [UNIX] U-10 / "/etc/(x)inetd.conf" 파일 소유자 및 권한 설정 /etc/(x)inetd.conf 파일의 권한이 적절한지 점검한다 (x)inetd는 서버에 설치된 인터넷 서비스 데몬의 관리를 위한 슈퍼 서비스 데몬이다. 유닉스에서 돌아가는 데몬이 inetd를 통해 관리되는 경우 (x)inetd.conf의 설정을 통해 관리된다. 판단 기준 : /etc/(x)inetd.conf 파일의 소유자가 root 이고 권한이 600인 경우 양호로 판단 솔라리스, 리눅스, AIX, HP-UX # ls -l /etc/inetd.conf를 확인할 때 rw------- root inetd.conf 이면 양호한 것으로 본다. 리눅스(xinetd.conf) /etc/inetd.conf 및 /etc/xinetd.d/ 하위 모든 파일의 소유자 및 권한을 확인한다. # ls -l /etc/xine.. [UNIX] U-09 / "/etc/hosts" 파일 소유자 및 권한 설정 /etc/hosts 파일의 권한이 잘 되있나 점검한다 판단 기준 : /etc/hosts 파일의 소유자가 root이고 권한이 600(?)인 경우 /etc/hosts는 IP 주소랑 hostname을 매핑하는 파일인데.. 옛날 어르신들 시대엔 네임서버가 없어서 hosts 파일로 주소 매핑시켜서 접속했다고 한다.. 그래서 인터넷 통신할 때 DNS한테 주소 물어보기 전에 /etc/hosts를 먼저 참조한다. 그래서 파밍당하기가 쉽다. 192.168.1.239가 네이버야! 하면 파밍되기 좋음 솔라리스, 리눅스, AIX, HP-UX ls -l /etc/hosts 했을 때 rw------- root hosts 파일이 600이면 양호이다. /etc/hosts의 퍼미션 관련해서 논란이 좀 있긴 한데 해당 서버가 hosts.. [UNIX] U-08 / "/etc/shadow" 파일 소유자 및 권한 설정 /etc/shadow 파일의 권한이 적절한지 점검한다. 판단 기준 : /etc/shadow 파일의 소유자가 root이고 권한이 400인 경우 양호로 본다. 솔라리스, 리눅스 ls -l /etc/shadow를 했을 때 r------ root shadow 이면 양호하다 AIX ls -ld /etc/security/passwd를 했을 때 r------ root passwd 이면 양호하다 HP-UX ls -ld /tcb/files/auth를 했을 때(Trusted 모드임) r------ root auth 디렉터리이면 양호하다. HP-UX는 Trusted일때와 UnTrusted일때가 각각 다른데 여기 블로그에서 확인했을 때 스탠다드모드일때, 쉐도우 모드일 때, Trusted 모드, UnTrusted 모드가 각각 .. [UNIX] U-07 / "/etc/passwd" 파일 소유자 및 권한 설정 /etc/passwd 파일의 권한이 적절한지 점검한다. 판단 기준 : /etc/passwd의 파일 소유자가 root이고 권한이 644 이하인 경우 양호로 본다. 솔라리스, 리눅스, AIX, HP-UX ls -l /etc/passwd를 했을 때 permission을 확인한다. rw-r--r-- root passwd 어떤 블로그 글을 보니 400으로 가이드가 나왔을 적에 400으로 설정했더니 로그인이 안된다고 따지던 이슈가 있었다고 한다.. 왠만하면 644로 하는 것이 좋을듯 root 계정의 쓰기권한이 들어가야 passwd에 계정생성이 가능할테니.. 그룹과 other는 읽기만 되면 로그인하는데 지장없음. [UNIX] U-06 / 파일 및 디렉터리 소유자 설정 소유자가 불분명한 파일이나 디렉토리가 존재하는지 여부를 점검한다. 판단 기준 : 소유자가 존재하지 않는 파일이나 디렉토리가 존재하지 않으면 양호로 판단 -nouser 소유자가 없는 파일을 찾을 경우에 사용한다. 즉, /etc/passwd 파일에 없는 소유자의 파일을 찾을 경우에 사용 -nogroup 올바른 그룹의 소유가 아닌 파일을 찾을 경우에 사용한다. 즉, /etc/groups 파일에 없는 그룹의 소유인 파일을 찾을 경우에 사용 솔라리스, AIX 소유자가 nouser, nogroup인 파일이나 디렉토리를 검색한다. find / -nouser -o -nogroup -xdev -ls 2>/dev/null -> nouser나 nogroup이 설정되어 있는 파일에 대해 검색하고 ls명령어 수행.. 2>/de.. [UNIX] U-05 / root홈, 패스 디렉터리 권한 및 패스 설정 root 계정의 PATH 환경변수에 "."이 포함되어 있는지 점검한다. 판단 기준 : PATH 환경변수에 "."이 맨 앞이나 중간에 포함되어 있지 않는다면 양호한 것으로 본다. 솔라리스, 리눅스, AIX, HP-UX $PATH 환경 변수에 .이 있는지 확인한다. 환경 변수를 보기 이전에 해당 root 계정의 쉘을 먼저 확인하고 그 쉘에 맞는 환경설정 파일 전부를 확인하여 PATH 설정을 확인한다. * unix에선 ksh를 주로 쓰는거같고.. 공공쪽은 csh를 주로 쓰는듯 대개 /etc/profile에 적용되있는 경우가 있으나 root 홈 디렉토리에도 적용시키는 경우도 있어 각 쉘 별로 홈디렉토리의 환경설정 파일을 보는 것이 좋다. * /etc/profile -> $HOME/환경설정파일 순으로 홈디렉토리 .. [UNIX] U-04 / 패스워드 파일 보호 시스템의 사용자 계정(root, 일반계정) 정보가 저장된 파일(/etc/passwd, /etc/shadow)에 사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검 판단기준 : 쉐도우 패스워드를 사용하거나 패스워드를 암호화하여 저장하고 있으면 양호한 것으로 본다. 솔라리스 /etc/shadow 2번째 필드 확인 root:x:0:0:root:/root:/bin/bash 리눅스 /etc/shadow 2번째 필드 확인 root:x:0:0:root:/root:/bin/bash AIX AIX는 기본적으로 /etc/security/passwd 파일에 패스워드가 암호화되어 저장 및 관리된다. HP-UX HP-UX는 Trusted Mode로 전환했을 때 패스워드가 암호화되어 /tcb/files/auth 디렉토리 하위.. [UNIX] U-03 / 계정 잠금 임계값 설정 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검 판단기준은 계정 잠금 임계값이 5 이하의 값으로 설정되어 있는 경우 양호 솔라리스 /etc/default/login에서 다음 정책을 체크한다. RETRIES=5 솔라리스 5.9이상인 경우 policy.conf 파일 확인 /etc/default/login RETRIES=5 /etc/security/policy.conf LOCK_AFTER_RETRIES=YES 리눅스 /etc/pam.d/system-auth에서 다음 정책을 체크한다. auth required /lib/security/pam_tally.so deny=5 unlock_time=120 no_magic_root account required /lib/security/pam_tally... 이전 1 2 3 4 5 6 다음
