해킹공주의 일상

Overview 점검내용 불필요하게 SUID, SGID 가 부여된 파일이 있는지 확인 항목분석 Sticky bit 해당 파일을 생성한 사용자나 디렉터리 소유자만 삭제할 수 있음. 보안상 사용하는것. 이 Sticky bit가 설정된 디렉토리에 쓰기권한을 가진 사용자에 대한 권한 제어가 부족하면 보안상 위험이 발생할 수 있음. 이건 근데 관리자 계정으로 권한 제어를 하는데 관리자 털리면 끝이야랑 비슷한 거임.. 공유폴더같은곳에 설정하지않아야함. SUID, SGID SUID는 실행시에 파일 서유자 권한으로 실행됨. root권한으로 실행되는 프로그램은 일반 사용자가 실행해도 root 권한으로 실행됨. SGID는 실행시 파일이 속한 그룹의 권한으로 실행됨. > 일시적으로 파일 소유자의 권한을 갖고, 파일 소유그룹..

Overview 점검내용 1. cgi-bin 디렉터리 존재 여부 2. 임시파일, 백업파일 존재 여부 항목분석 cgi-bin cgi bin이란 cgi 스크립트가 저장되는 폴더이다. CGI 스크립트 CGI 스크립트는 javascript랑 비슷하게 동적인 웹페이지를 생성하는데 쓰이는 스크립트언어중 하나이다. 스크립트언어 동적인 효과나 상호작용을 구현하는 언어이다. 예를 들어 사용자가 웹사이트에서 버튼을 누르면 버튼에 대한 요청이 서버로 전달되고, 서버에서 데이터 처리하고 데이터를 받아와서 동적인 페이지를 생성해서 보여준다. 이때 이러한 동적페이지 생성을 스크립트 언어가 하게된다. 자바스크립트는 클라이언트 측에서 실행되는 언어이기 때문에 서버측에 별도의 처리기가 필요하지않지만 cgi 스크립트는 서버에서 실행되는..

Overview 점검내용 불필요한 RPC 서비스 활성화 여부 (EX. rpc.cmsd 등. 가이드에 나와있음) 항목분석 RPC 서비스 다른 컴퓨터에서 실행되는 프로그램을 내컴퓨터에서 실행되는 것처럼 사용할 수 있게 해주는 프로토콜. 즉, 분산환경에서 다른 시스템에 있는 프로그램을 호출해서 사용하는 프로토콜이다. 원격 프로시저 호출이라고 한다. 1. 필요한 RPC 서비스 1) NFS NFS는 파일 공유를 가능하게 해주는 분산파일 시스템이다. 우리가 프로젝트에 투입되거나 하면 파일 서버 주소를 알려주고 그 폴더에 보고서를 올리곤하는데 , 이때 사용되는 서비스라고 보면 된다. 공유폴더는 한 컴퓨터 내에서 사용자끼리 공유하는거라서 조금 다르다 2) NIS NIS는 사용자 계정관리를 수행하는 별도의 서버 개념이라..

Overview 점검내용 .netrc 파일 내 중요정보 유무 항목분석 .netrc 파일 유닉스 시스템에서 FTP 클라이언트가 호스트에 연결할때 아이디/비밀번호 기억하기 기능처럼 .netrc 파일에 저장해두고 자동으로 로그인할 수 있도록 생성되는 파일이다. 그니까 FTP 서버에 생성되는게 아니라, FTP에 접속하는 클라이언트 컴퓨터에 생성된다. 파일 내부에는 접근 IP와 비밀번호가 평문으로 저장되어있어서 위험하다. 없애는게 맞다 예시파일 machine ftp.example.com login myusername password mypassword machine anotherftp.example.com login anotherusername password anotherpassword 그래서 ftp.examp..

진단 내용 SNMP 커뮤니티 스트링 설정 확인(디폴트인 public이나 private로 안되어있는지) SNMP 네트워크 장비나 시스템에서 수집한 정보를 관리하기 위한 프로토콜. 이벤트 정보나 시스템 상태정보 수집해서 관리서버에 전송. 네트워크 상태 모니터링 하고 문제해결하는데에 쓰인다. 네트워크 연결안될때 나오는 해결마법사랑은 상관이 없다... 한줄요약 : 네트워크 기기 관리 모니터링 커뮤니티스트링 관리작업을 할 수 있는 비밀번호 같은 것. 따라서 디폴트로 설정하면 위험하다 SNMP 통신에서 인증된 사용자임을 증명하기 위해 커뮤니티 스트링을 입력하고, 해당 기기에 대한 관리 권한을 얻는다. 보안 위협 시나리오 - 장비 설정 변경 및 정보 유출 : SNMP 플토콜을 통해 장비 설정 정보를 조회하거나 변경가..

진단 내용 NTP 설정 및 시각 동기화 설정 여부 확인 NTP Network Time Protocol. 컴퓨터 네트워크 시간 동기화하는데 사용되는 프로토콜 보안 위협 시나리오 - 인증문제 : 시간이 정확하지 않으면 인증서 유효기간 검증에 문제가 생김.유효기간 검증은 시간 동기화에 의존하는데, 동기화가 안되면 인증이 제대로 안될 수 있음 - 로그분석 : 침해사고 발생 시 문제가 생길 수 있음 - 동기화 공격 : 시간을 조작해서 암호화된 패킷의 유효성 검사를 우회하거나, 로그 항목의 타임 스탬프를 조작하여 로그 분석을 방해한다던지, 현재 시간에 로그가 안남도록 한다던지 할수있음 대응방안 - NTP 설정 및 시간동기화 필요.

Overview 점검내용 Anonymous 계정의 FTP 서비스 접속 제한 항목분석 FTP 서비스 파일 전송을 위한 프로토콜 anonymous 계정 비밀번호 없이 누구나 접속할 수 있는 계정 Anonymous 계정이 활성화되어있으면 비밀번호 없이 누구나 서버에 접근가능하다. 따라서 권한 없는 사용자가 접속해서 파일 업로드 다운로드 악성코드 유포 중요파일 수정 삭제 등등 위험행위를 수행할 수 있다. 보안위협 관리자 계정 탈취 및 악성 행위 가능 Countermeasure - anonymous 접속제한 혹은 해당 계정 권한 최소화

Overview 점검내용 SMTP 서비스 사용유무 항목분석 SMTP 서비스 이메일을 전송하기 위한 프로토콜로, 이메일 서버에서 SMTP 서비스가 실행되어야만 이메일을 보내거나 받을 수 있다. SMTP 서비스는 인증절차 없이 메일을 전송할 수 있기 때문에 메일 송신자의 신원을 확인할 수 없으며, 이를 악용해서 스푸핑공격(대량전송)을 수행할 수 있는점이 문제다. 구글,네이버와 같은 대규모 서비스 업체는 보안 조치와 모니터링을 철저하게 수행한다. 일반적으로 전달 단계에서 메일 내용을 스캔해서 악성코드나 스팸메일, 스푸핑 공격을 수행하지 못하도록 차단하며, 수신단계에서도 검증해서 차단하기도 한다. 그래서 대규모 서비스를 통해서 메일을 수신발신하는 건 안전할 수 있어도, 개인이 SMTP를 열어서 메일을 발신할 수..