[U-17] $HOME/.rhosts, hosts.equiv 사용금지

점검내용 

양호 : login, shell, exec 서비스를 사용하지 않거나, 사용 시 아래와 같은 설정이 적용된 경우
           1. /etc/hosts.equiv 및 $HOME/.rhosts 파일 소유자가 root 또는, 해당 계정인 경우
           2. /etc/hosts.equiv 및 $HOME/.rhosts 파일 권한이 600 이하인 경우
           3. /etc/hosts.equiv 및 $HOME/.rhosts 파일 설정에 ‘+’ 설정이 없는 경우
취약 : login, shell, exec 서비스를 사용하고, 위와 같은 설정이 적용되지 않은 경우

 

1. r 커맨드 사용 여부 (login, shell, exec 서비스해당. RPC랑 혼돈 X)

2. 관련 파일 권한 설정

3. 파일 내부에 옵션 설정을 제대로 했는지 확인 

 

항목분석

r-command

원격으로 다른 시스템을 제어하기 위한 일련의 명령어. R-Command는 원격 시스템에서 다양한 작업을 수행할 수 있는 명령어 모음이다. rlogin, rsh, rexec가 이에 해당한다.

 

RPC

네트워크 상에서 다른 컴퓨터에 있는 프로그램을 호출하기 위한 프로토콜

 

rlogin

호스트에 원격으로 로그인할 수 있는 서비스. 원격으로 접속할 원격지에는 rhosts파일 또는 hosts.equiv에 호스트가 등록되어 있어야한다.

rsh 

원격으로 쉘 명령을 내리는 서비스

 

$HOME/.rhosts, hosts.equiv
원격 접속 프로토콜 중 하나인 rlogin,rsh,rexec에서 사용되는 호스트 인증 파일이다. r-command 설정파일. 원격 호스트에서 로컬 호스트로 접속할 수 있는 리스트가 담겨있다. 둘의 차이점은 사용자 단인지, 시스템 단(전체사용자) 인지의 차이이다. 사용자 환경변수랑 시스템 환경변수 따로 있는거랑 같은 의미라고 보면 된다

 

아래는 설정파일 예시.

# $HOME/.rhosts, hosts.equiv 파일 내용 
1) test.co.kr qqq
test.co.kr라는 사이트에 qqq라는 사용자가 PW없이 들어올 수 있음

2) test.co.kr +
test.co.kr라는 사이트에 모든 계정에서 내 계정(.rhosts파일이 존재하는 홈디렉터리)로 PW없이 접속 가능

3) 123.123.123.123
해당 IP에서 PW없이 접속 가능

+를 없애라는게 아무나 들어올 수 없게 설정하라는 의미이다.. 그니까 없애야해

 

두 파일 다 없으면 기본적으로 아무도 접속할 수 없으나, 이 서비스 자체가 보안통신이 안되는 서비스라서 취약한 서비스. 따라서 보안설정이 철저하게 안되어있으면  안되지않을까 한다

 

ㅎㅈㅇㅇ r커맨드를 쓰는지 확인하고 설정파일 보라는 얘기임