차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

--- 서비스_관리 [2022/01/18 00:21] – [at 파일 소유자 및 권한 설정] fatp11th
+++ 서비스_관리 [2022/01/18 00:59] (현재) – [Apache 웹 서비스 정보 숨김] fatp11th
@@ 줄 1364: / 줄 1364: @@
 \\
 ====SNMP 서비스 구동 점검====
 점검목적
 불필요한 SNMP 서비스 활성화로 인해 필요 이상의 정보가 노출되는 것을 막기 위해 SNMP 서비스를 중지해야함
 보안위협
- SNMP 서비스로 인하여 시스템의 주요 정보 유출 및 정보의 불법수정이 발생할 수 있음
+SNMP 서비스로 인하여 시스템의 주요 정보 유출 및 정보의 불법수정이 발생할 수 있음
 점검방법
 Step 1) ps –ef | grep snmp로 검색
- root 2028 1 0 Nov 24 ? 0:00 /usr/sbin/snmpdm
+<WRAP prewrap>
+<code bash>
+#ps –ef | grep snmp
+root 2028 1 0 Nov 24 ? 0:00 /usr/sbin/snmpdm
+</code>
+</WRAP>
 Step 2) snmp 사용하지 않을 시 서비스 중지
- #service snmpd stop
+<WRAP prewrap>
+<code bash>
+#service snmpd stop
+</code>
+</WRAP>
 \\
 ====SNMP 서비스 커뮤니티스트링의 복잡성 설정====
 점검목적
 Community String 기본 설정인 Public, Private는 공개된 내용으로 공격자가 이를 이용하여 SNMP 서비스를 통해 시스템 정보를 얻을 수 있기 때문에 Community String을 유추하지 못하도록 설정해야함
 보안위협
 Community String은 Default로 public, private로 설정된 경우가 많으며, 이를 변경하지 않으면 이 String을 악용하여 환경설정 파일 열람 및 수정을 통한 공격,
 간단한 정보수집에서부터 관리자 권한 획득 및 Dos공격까지 다양한 형태의 공격이 가능함
 점검방법
+<WRAP prewrap>
+<code bash>
 #vi /etc/snmp/snmpd.conf
 com2sec notConfigUser default public
-위의 설정과 같이 디폴트 커뮤니티명인 “public" 또는, ”private"을 사용하는 경우 아래의 보안설정방법에 따라 설정을 변경함
+</code>
+</WRAP>
+위의 설정과 같이 디폴트 커뮤니티명인 ''public'' 또는, ''private''을 사용하는 경우 아래의 보안설정방법에 따라 설정을 변경함
 Step 1) vi 편집기를 이용하여 SNMP 설정파일 열기
- #vi /etc/snmp/snmpd.conf
+<WRAP prewrap>
+<code bash>
+#vi /etc/snmp/snmpd.conf
+</code>
+</WRAP>
 Step 2) Community String 값 설정 변경 (추측하기 어려운 값으로 설정)
- (수정 전) com2sec notConfigUser default public
+<WRAP prewrap>
- (수정 후) com2sec notConfigUser default <변경 값>
+<code bash>
+(수정 전) com2sec notConfigUser default public
+(수정 후) com2sec notConfigUser default <변경 값>
+</code>
+</WRAP>
 Step 3) 서비스 재구동
- # service snmpd rstart
+<WRAP prewrap>
+<code bash>
+# service snmpd restart
+</code>
+</WRAP>
 \\
 ====로그온 시 경고 메시지 제공====
 점검목적
 비인가자들에게 서버에 대한 불필요한 정보를 제공하지 않고, 서버 접속 시관계자만 접속해야 한다는 경각심을 심어 주기위해 경고 메시지 설정이 필요함
 보안위협
 로그인 배너가 설정되지 않을 경우 배너에 서버 OS 버전 및 서비스 버전이 공격자에게 노출될 수 있으며 공격자는 이러한 정보를 통하여 해당 OS 및 서비스의 취약점을 이용하여 공격을 시도할 수 있음
 점검방법
-Step 1) 서버 로그온 메시지 설정: vi 편집기로 "/etc/motd" 파일을 연 후 로그온 메시지 입력
+Step 1) 서버 로그온 메시지 설정: vi 편집기로 ''/etc/motd'' 파일을 연 후 로그온 메시지 입력
- #vi /etc/motd
+<WRAP prewrap>
+<code bash>
+#vi /etc/motd
  경고 메시지 입력
-Step 2) Telnet 배너 설정: vi 편집기로 "/etc/issue.net" 파일을 연 후 로그온 메시지 입력
+</code>
- #vi /etc/issue.net
+</WRAP>
+Step 2) Telnet 배너 설정: vi 편집기로 ''/etc/issue.net'' 파일을 연 후 로그온 메시지 입력
+<WRAP prewrap>
+<code bash>
+#vi /etc/issue.net
  경고 메시지 입력
-Step 3) FTP 배너 설정: vi 편집기로 "/etc/vsftpd/vsftpd.conf" 파일을 연 후 로그인 메시지 입력
+</code>
- #vi /etc/vsftpd/vsftpd.conf
+</WRAP>
+Step 3) FTP 배너 설정: vi 편집기로 ''/etc/vsftpd/vsftpd.conf'' 파일을 연 후 로그인 메시지 입력
+<WRAP prewrap>
+<code bash>
+#vi /etc/vsftpd/vsftpd.conf
  ftpd_banner="경고 메시지 입력"
-Step 4) SMTP 배너 설정: vi 편집기로 "/etc/mail/sendmail.cf" 파일을 연 후 로그인 메시지 입력
+</code>
- #vi /etc/mail/sendmail.cf
+</WRAP>
+Step 4) SMTP 배너 설정: vi 편집기로 ''/etc/mail/sendmail.cf'' 파일을 연 후 로그인 메시지 입력
+<WRAP prewrap>
+<code bash>
+#vi /etc/mail/sendmail.cf
  O Smtp GreetingMessage="경고 메시지 입력"
-Step 5) DNS 배너 설정: vi 편집기로 "/etc/named.conf" 파일을 연 후 로그인 메시지 입력
+</code>
- #vi /etc/named.conf
+</WRAP>
+Step 5) DNS 배너 설정: vi 편집기로 ''/etc/named.conf'' 파일을 연 후 로그인 메시지 입력
+<WRAP prewrap>
+<code bash>
+#vi /etc/named.conf
  경고 메시지 입력
+</code>
+</WRAP>
 \\
 ====NFS 설정파일 접근 제한====
 점검목적
 비인가자에 의한 불법적인 외부 시스템 마운트를 차단하기 위해 NFS 접근제어 파일의 소유자 및 파일 권한을 설정
 보안위협
 NFS 접근제어 설정파일에 대한 권한 관리가 이루어지지 않을 시 인가되지 않은 사용자를 등록하고 파일시스템을 마운트하여 불법적인 변조를 시도할 수 있음
 점검방법
+점검 파일 위치
+<WRAP prewrap>
+<code bash>
 #ls -al /etc/exports
  rw-r--r-- root <nfs 접근제어 파일>
+</code>
+</WRAP>
 "NFS" 접근제어 설정파일의 소유자가 root가 아니거나 파일의 권한이 644 이하가 아닌 경우 아래의 보안설정방법에 따라 설정을 변경함
-“/etc/exports” 파일의 소유자 및 권한 변경 (소유자 root, 권한 644)
- #chown root /etc/exports
+''/etc/exports'' 파일의 소유자 및 권한 변경 (소유자 root, 권한 644)
- #chmod 644 /etc/exports
+<WRAP prewrap>
+<code bash>
+#chown root /etc/exports
+#chmod 644 /etc/exports
+</code>
+</WRAP>
 \\
 ====expn, vrfy 명령어 제한====
 점검목적
 SMTP 서비스의 expn, vrfy 명령을 통한 정보 유출을 막기 위하여 두 명령어를 사용하지 못하게 옵션을 설정해야함
 보안위협
 VRFY, EXPN 명령어를 통하여 특정 사용자 계정의 존재유무를 알 수 있고, 사용자의 정보를 외부로 유출 할 수 있음
 점검방법
 noexpn, novrfy 옵션 설정 확인
+<WRAP prewrap>
+<code bash>
 #vi /etc/mail/sendmail.cf
 O PrivacyOptions= (noexpn, novrfy 또는 goaway 옵션 설정 여부)
+</code>
+</WRAP>
 ※ goaway 옵션 : authwarnings, noexpn, novrfy, noverb, needmailhelo, needexpnhelo, needvrfyhelo, nobodyreturn 통합하는 단축 옵션
 <서비스 필요 시>
-Step 1) vi 편집기를 이용하여 “/etc/mail/sendmail.cf” 파일을 연 후 (단, AIX는 /etc/sendmail.cf)
+Step 1) vi 편집기를 이용하여 ''/etc/mail/sendmail.cf'' 파일을 연 후
- #vi /etc/mail/sendmail.cf
+<WRAP prewrap>
-Step 2) “/etc/mail/sendmail.cf” 파일에 noexpn, novrfy 옵션 추가
+<code bash>
+#vi /etc/mail/sendmail.cf
+</code>
+</WRAP>
+Step 2) ''/etc/mail/sendmail.cf'' 파일에 noexpn, novrfy 옵션 추가
+<WRAP prewrap>
+<code vim>
 (수정 전) O PrivacyOptions=authwarnings
- (수정 후) O PrivacyOptions=authwarnings, noexpn, novrfy 또는 goaway
+(수정 후) O PrivacyOptions=authwarnings, noexpn, novrfy 또는 goaway
+</code>
+</WRAP>
 Step 3) SMTP 서비스 재시작
 < 서비스 불필요 시>
 Step 1) 실행중인 서비스 중지
- #ps –ef | grep sendmail
+<WRAP prewrap>
- root 441 1 0 Sep19 ? 00:00:00 sendmail: accepting connections
+<code bash>
- #kill -9 [PID]
+#ps –ef | grep sendmail
+root 441 1 0 Sep19 ? 00:00:00 sendmail: accepting connections
+#kill -9 [PID]
+</code>
+</WRAP>
 Step 2) 시스템 재시작 시 SMTP 서버가 시작되지 않도록 OS별로 아래와 같이 설정함
 . 위치 확인
- #ls –al /etc/rc*.d/* | grep sendmail
+<WRAP prewrap>
+<code bash>
+#ls –al /etc/rc*.d/* | grep sendmail
+</code>
+</WRAP>
 . 이름 변경
- #mv /etc/rc2.d/S88sendmail /etc/rc2.d/_S88sendmail
+<WRAP prewrap>
+<code bash>
+#mv /etc/rc2.d/S88sendmail /etc/rc2.d/_S88sendmail
+</code>
+</WRAP>
 \\
 ====Apache 웹 서비스 정보 숨김====
 점검목적
- HTTP 헤더, 에러페이지에서 웹 서버 버전 및 종류, OS 정보 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하기 위함
+HTTP 헤더, 에러페이지에서 웹 서버 버전 및 종류, OS 정보 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하기 위함
 보안위협
 불필요한 정보가 노출될 경우 해당 정보를 이용하여 시스템의 취약점을 수집할 수 있음
 점검방법
 ServerTokens, ServerSignature 옵션 설정 여부 확인
+<WRAP prewrap>
+<code bash>
 # vi /[Apache_Home]/conf/httpd.conf
  ServerTokens Prod
  ServerSignature off
-“httpd.conf” 파일 내에 ServerTokens, ServerSignature 지시자가 위와 같이 설정되어 있지 않은 경우 아래의 보안설정방법에 따라 옵션 추가
+</code>
-Step 1) vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일을 연 후
+</WRAP>
- #vi /[Apache_home]/conf/httpd.conf
+''httpd.conf'' 파일 내에 ServerTokens, ServerSignature 지시자가 위와 같이 설정되어 있지 않은 경우 아래의 보안설정방법에 따라 옵션 추가
+Step 1) vi 편집기를 이용하여 ''/[Apache_home]/conf/httpd.conf'' 파일을 연 후
+<WRAP prewrap>
+<code bash>
+#vi /[Apache_home]/conf/httpd.conf
+</code>
+</WRAP>
 Step 2) 설정된 모든 디렉터리의 ServerTokens 지시자에서 Prod 옵션 설정 및 ServerSignature Off 지시자에 Off 옵션 설정 (없으면 신규 삽입)
+<WRAP prewrap>
+<code bash>
 <Directory />
- Options Indexes FollowSymlinks
+   Options Indexes FollowSymlinks
- ServerTokens Prod
+   ServerTokens Prod
- ServerSignature Off
+   ServerSignature Off
- - 이하 생략-
+   - 이하 생략-
 </Directory>
+</code>
+</WRAP>
 ServerTokens 지시자 옵션
-키워드  제공하는 정보            예문
+^ 키워드  ^ 제공하는 정보            | 예문                                  |
-Prod    웹 서버 종류             Apache
+| Prod    | 웹 서버 종류             | Apache                                |
-Min     웹 서버 버전             Apache/2.2.3
+| Min     | 웹 서버 버전             | Apache/2.2.3                          |
-OS      웹 서버 버전 + 운영체제  Apache/2.2.3 (CentOS) (기본값)
+| OS      | 웹 서버 버전 + 운영체제  | Apache/2.2.3 (CentOS) (기본값)        |
-Full    웹 서버의 모든 정보      Apache/2.2.3 (CentOS) DAV/2 PHP/5.16
+| Full    | 웹 서버의 모든 정보      | Apache/2.2.3 (CentOS) DAV/2 PHP/5.16  |
 \\