서비스_관리

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판		 이전 판
서비스_관리 [2022/01/18 00:26] – [SNMP 서비스 구동 점검] fatp11th서비스_관리 [2022/01/18 00:59] (현재) – [Apache 웹 서비스 정보 숨김] fatp11th
줄 1389: 줄 1389:
 \\ \\
 ====SNMP 서비스 커뮤니티스트링의 복잡성 설정==== ====SNMP 서비스 커뮤니티스트링의 복잡성 설정====
 +
 점검목적 점검목적
 Community String 기본 설정인 Public, Private는 공개된 내용으로 공격자가 이를 이용하여 SNMP 서비스를 통해 시스템 정보를 얻을 수 있기 때문에 Community String을 유추하지 못하도록 설정해야함 Community String 기본 설정인 Public, Private는 공개된 내용으로 공격자가 이를 이용하여 SNMP 서비스를 통해 시스템 정보를 얻을 수 있기 때문에 Community String을 유추하지 못하도록 설정해야함
 +
 보안위협 보안위협
 Community String은 Default로 public, private로 설정된 경우가 많으며, 이를 변경하지 않으면 이 String을 악용하여 환경설정 파일 열람 및 수정을 통한 공격, Community String은 Default로 public, private로 설정된 경우가 많으며, 이를 변경하지 않으면 이 String을 악용하여 환경설정 파일 열람 및 수정을 통한 공격,
 간단한 정보수집에서부터 관리자 권한 획득 및 Dos공격까지 다양한 형태의 공격이 가능함 간단한 정보수집에서부터 관리자 권한 획득 및 Dos공격까지 다양한 형태의 공격이 가능함
 +
 점검방법 점검방법
 +
 +<WRAP prewrap>
 +<code bash>
 #vi /etc/snmp/snmpd.conf #vi /etc/snmp/snmpd.conf
 +
 com2sec notConfigUser default public com2sec notConfigUser default public
-위의 설정과 같이 디폴트 커뮤니티명인 public또는, private"을 사용하는 경우 아래의 보안설정방법에 따라 설정을 변경함+</code> 
 +</WRAP> 
 + 
 +위의 설정과 같이 디폴트 커뮤니티명인 ''public'' 또는, ''private''을 사용하는 경우 아래의 보안설정방법에 따라 설정을 변경함 
 Step 1) vi 편집기를 이용하여 SNMP 설정파일 열기 Step 1) vi 편집기를 이용하여 SNMP 설정파일 열기
- #vi /etc/snmp/snmpd.conf+<WRAP prewrap> 
 +<code bash> 
 +#vi /etc/snmp/snmpd.conf 
 +</code> 
 +</WRAP> 
 Step 2) Community String 값 설정 변경 (추측하기 어려운 값으로 설정) Step 2) Community String 값 설정 변경 (추측하기 어려운 값으로 설정)
- (수정 전) com2sec notConfigUser default public +<WRAP prewrap> 
- (수정 후) com2sec notConfigUser default <변경 값>+<code bash> 
 +(수정 전) com2sec notConfigUser default public 
 +(수정 후) com2sec notConfigUser default <변경 값> 
 +</code> 
 +</WRAP> 
 Step 3) 서비스 재구동 Step 3) 서비스 재구동
- # service snmpd rstart+<WRAP prewrap> 
 +<code bash> 
 +# service snmpd restart 
 +</code> 
 +</WRAP> 
 \\ \\
 ====로그온 시 경고 메시지 제공==== ====로그온 시 경고 메시지 제공====
 +
 점검목적 점검목적
 비인가자들에게 서버에 대한 불필요한 정보를 제공하지 않고, 서버 접속 시관계자만 접속해야 한다는 경각심을 심어 주기위해 경고 메시지 설정이 필요함 비인가자들에게 서버에 대한 불필요한 정보를 제공하지 않고, 서버 접속 시관계자만 접속해야 한다는 경각심을 심어 주기위해 경고 메시지 설정이 필요함
 +
 보안위협 보안위협
 로그인 배너가 설정되지 않을 경우 배너에 서버 OS 버전 및 서비스 버전이 공격자에게 노출될 수 있으며 공격자는 이러한 정보를 통하여 해당 OS 및 서비스의 취약점을 이용하여 공격을 시도할 수 있음 로그인 배너가 설정되지 않을 경우 배너에 서버 OS 버전 및 서비스 버전이 공격자에게 노출될 수 있으며 공격자는 이러한 정보를 통하여 해당 OS 및 서비스의 취약점을 이용하여 공격을 시도할 수 있음
 +
 점검방법 점검방법
-Step 1) 서버 로그온 메시지 설정: vi 편집기로 "/etc/motd파일을 연 후 로그온 메시지 입력 +Step 1) 서버 로그온 메시지 설정: vi 편집기로 ''/etc/motd'' 파일을 연 후 로그온 메시지 입력 
- #vi /etc/motd+<WRAP prewrap> 
 +<code bash> 
 +#vi /etc/motd
  경고 메시지 입력  경고 메시지 입력
-Step 2) Telnet 배너 설정: vi 편집기로 "/etc/issue.net파일을 연 후 로그온 메시지 입력 +</code> 
- #vi /etc/issue.net+</WRAP> 
 + 
 +Step 2) Telnet 배너 설정: vi 편집기로 ''/etc/issue.net'' 파일을 연 후 로그온 메시지 입력 
 +<WRAP prewrap> 
 +<code bash> 
 +#vi /etc/issue.net
  경고 메시지 입력  경고 메시지 입력
-Step 3) FTP 배너 설정: vi 편집기로 "/etc/vsftpd/vsftpd.conf파일을 연 후 로그인 메시지 입력 +</code> 
- #vi /etc/vsftpd/vsftpd.conf+</WRAP> 
 + 
 +Step 3) FTP 배너 설정: vi 편집기로 ''/etc/vsftpd/vsftpd.conf'' 파일을 연 후 로그인 메시지 입력 
 +<WRAP prewrap> 
 +<code bash> 
 +#vi /etc/vsftpd/vsftpd.conf
  ftpd_banner="경고 메시지 입력"  ftpd_banner="경고 메시지 입력"
-Step 4) SMTP 배너 설정: vi 편집기로 "/etc/mail/sendmail.cf파일을 연 후 로그인 메시지 입력 +</code> 
- #vi /etc/mail/sendmail.cf+</WRAP> 
 + 
 +Step 4) SMTP 배너 설정: vi 편집기로 ''/etc/mail/sendmail.cf'' 파일을 연 후 로그인 메시지 입력 
 +<WRAP prewrap> 
 +<code bash> 
 +#vi /etc/mail/sendmail.cf
  O Smtp GreetingMessage="경고 메시지 입력"  O Smtp GreetingMessage="경고 메시지 입력"
-Step 5) DNS 배너 설정: vi 편집기로 "/etc/named.conf파일을 연 후 로그인 메시지 입력 +</code> 
- #vi /etc/named.conf+</WRAP> 
 + 
 + 
 +Step 5) DNS 배너 설정: vi 편집기로 ''/etc/named.conf'' 파일을 연 후 로그인 메시지 입력 
 +<WRAP prewrap> 
 +<code bash> 
 +#vi /etc/named.conf
  경고 메시지 입력  경고 메시지 입력
 +</code>
 +</WRAP>
 +
 \\ \\
 ====NFS 설정파일 접근 제한==== ====NFS 설정파일 접근 제한====
 +
 점검목적 점검목적
 비인가자에 의한 불법적인 외부 시스템 마운트를 차단하기 위해 NFS 접근제어 파일의 소유자 및 파일 권한을 설정 비인가자에 의한 불법적인 외부 시스템 마운트를 차단하기 위해 NFS 접근제어 파일의 소유자 및 파일 권한을 설정
 +
 보안위협 보안위협
 NFS 접근제어 설정파일에 대한 권한 관리가 이루어지지 않을 시 인가되지 않은 사용자를 등록하고 파일시스템을 마운트하여 불법적인 변조를 시도할 수 있음 NFS 접근제어 설정파일에 대한 권한 관리가 이루어지지 않을 시 인가되지 않은 사용자를 등록하고 파일시스템을 마운트하여 불법적인 변조를 시도할 수 있음
 +
 점검방법 점검방법
 +점검 파일 위치
 +<WRAP prewrap>
 +<code bash>
 #ls -al /etc/exports #ls -al /etc/exports
  rw-r--r-- root <nfs 접근제어 파일>  rw-r--r-- root <nfs 접근제어 파일>
 +</code>
 +</WRAP>
 +
 "NFS" 접근제어 설정파일의 소유자가 root가 아니거나 파일의 권한이 644 이하가 아닌 경우 아래의 보안설정방법에 따라 설정을 변경함 "NFS" 접근제어 설정파일의 소유자가 root가 아니거나 파일의 권한이 644 이하가 아닌 경우 아래의 보안설정방법에 따라 설정을 변경함
-/etc/exports” 파일의 소유자 및 권한 변경 (소유자 root, 권한 644) + 
- #chown root /etc/exports +''/etc/exports'' 파일의 소유자 및 권한 변경 (소유자 root, 권한 644) 
- #chmod 644 /etc/exports+<WRAP prewrap> 
 +<code bash> 
 +#chown root /etc/exports 
 +#chmod 644 /etc/exports 
 +</code> 
 +</WRAP> 
 \\ \\
 ====expn, vrfy 명령어 제한==== ====expn, vrfy 명령어 제한====
 +
 점검목적 점검목적
 SMTP 서비스의 expn, vrfy 명령을 통한 정보 유출을 막기 위하여 두 명령어를 사용하지 못하게 옵션을 설정해야함 SMTP 서비스의 expn, vrfy 명령을 통한 정보 유출을 막기 위하여 두 명령어를 사용하지 못하게 옵션을 설정해야함
 +
 보안위협 보안위협
 VRFY, EXPN 명령어를 통하여 특정 사용자 계정의 존재유무를 알 수 있고, 사용자의 정보를 외부로 유출 할 수 있음 VRFY, EXPN 명령어를 통하여 특정 사용자 계정의 존재유무를 알 수 있고, 사용자의 정보를 외부로 유출 할 수 있음
 +
 점검방법 점검방법
 noexpn, novrfy 옵션 설정 확인 noexpn, novrfy 옵션 설정 확인
 +<WRAP prewrap>
 +<code bash>
 #vi /etc/mail/sendmail.cf #vi /etc/mail/sendmail.cf
 O PrivacyOptions= (noexpn, novrfy 또는 goaway 옵션 설정 여부) O PrivacyOptions= (noexpn, novrfy 또는 goaway 옵션 설정 여부)
 +</code>
 +</WRAP>
 ※ goaway 옵션 : authwarnings, noexpn, novrfy, noverb, needmailhelo, needexpnhelo, needvrfyhelo, nobodyreturn 통합하는 단축 옵션 ※ goaway 옵션 : authwarnings, noexpn, novrfy, noverb, needmailhelo, needexpnhelo, needvrfyhelo, nobodyreturn 통합하는 단축 옵션
 +
 <서비스 필요 시> <서비스 필요 시>
-Step 1) vi 편집기를 이용하여 /etc/mail/sendmail.cf” 파일을 연 후 (단, AIX는 /etc/sendmail.cf) +Step 1) vi 편집기를 이용하여 ''/etc/mail/sendmail.cf'' 파일을 연 후 
- #vi /etc/mail/sendmail.cf +<WRAP prewrap> 
-Step 2) /etc/mail/sendmail.cf” 파일에 noexpn, novrfy 옵션 추가+<code bash> 
 +#vi /etc/mail/sendmail.cf 
 +</code> 
 +</WRAP> 
 + 
 +Step 2) ''/etc/mail/sendmail.cf'' 파일에 noexpn, novrfy 옵션 추가 
 +<WRAP prewrap> 
 +<code vim>
 (수정 전) O PrivacyOptions=authwarnings (수정 전) O PrivacyOptions=authwarnings
- (수정 후) O PrivacyOptions=authwarnings, noexpn, novrfy 또는 goaway+(수정 후) O PrivacyOptions=authwarnings, noexpn, novrfy 또는 goaway 
 +</code> 
 +</WRAP> 
 Step 3) SMTP 서비스 재시작 Step 3) SMTP 서비스 재시작
 +
 < 서비스 불필요 시> < 서비스 불필요 시>
 Step 1) 실행중인 서비스 중지 Step 1) 실행중인 서비스 중지
- #ps –ef | grep sendmail +<WRAP prewrap> 
- root 441 1 0 Sep19 ? 00:00:00 sendmail: accepting connections +<code bash> 
- #kill -9 [PID]+#ps –ef | grep sendmail 
 +root 441 1 0 Sep19 ? 00:00:00 sendmail: accepting connections 
 +#kill -9 [PID] 
 +</code> 
 +</WRAP> 
 Step 2) 시스템 재시작 시 SMTP 서버가 시작되지 않도록 OS별로 아래와 같이 설정함 Step 2) 시스템 재시작 시 SMTP 서버가 시작되지 않도록 OS별로 아래와 같이 설정함
  1. 위치 확인  1. 위치 확인
- #ls –al /etc/rc*.d/* | grep sendmail+<WRAP prewrap> 
 +<code bash> 
 +#ls –al /etc/rc*.d/* | grep sendmail 
 +</code> 
 +</WRAP> 
  2. 이름 변경  2. 이름 변경
- #mv /etc/rc2.d/S88sendmail /etc/rc2.d/_S88sendmail+<WRAP prewrap> 
 +<code bash> 
 +#mv /etc/rc2.d/S88sendmail /etc/rc2.d/_S88sendmail 
 +</code> 
 +</WRAP> 
 \\ \\
 ====Apache 웹 서비스 정보 숨김==== ====Apache 웹 서비스 정보 숨김====
 +
 점검목적 점검목적
- HTTP 헤더, 에러페이지에서 웹 서버 버전 및 종류, OS 정보 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하기 위함+HTTP 헤더, 에러페이지에서 웹 서버 버전 및 종류, OS 정보 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하기 위함 
 보안위협 보안위협
 불필요한 정보가 노출될 경우 해당 정보를 이용하여 시스템의 취약점을 수집할 수 있음 불필요한 정보가 노출될 경우 해당 정보를 이용하여 시스템의 취약점을 수집할 수 있음
 +
 점검방법 점검방법
 ServerTokens, ServerSignature 옵션 설정 여부 확인 ServerTokens, ServerSignature 옵션 설정 여부 확인
 +<WRAP prewrap>
 +<code bash>
 # vi /[Apache_Home]/conf/httpd.conf # vi /[Apache_Home]/conf/httpd.conf
  ServerTokens Prod  ServerTokens Prod
  ServerSignature off  ServerSignature off
-httpd.conf” 파일 내에 ServerTokens, ServerSignature 지시자가 위와 같이 설정되어 있지 않은 경우 아래의 보안설정방법에 따라 옵션 추가 +</code> 
-Step 1) vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일을 연 후 +</WRAP> 
- #vi /[Apache_home]/conf/httpd.conf+ 
 +''httpd.conf'' 파일 내에 ServerTokens, ServerSignature 지시자가 위와 같이 설정되어 있지 않은 경우 아래의 보안설정방법에 따라 옵션 추가 
 + 
 +Step 1) vi 편집기를 이용하여 ''/[Apache_home]/conf/httpd.conf'' 파일을 연 후 
 +<WRAP prewrap> 
 +<code bash> 
 +#vi /[Apache_home]/conf/httpd.conf 
 +</code> 
 +</WRAP> 
 Step 2) 설정된 모든 디렉터리의 ServerTokens 지시자에서 Prod 옵션 설정 및 ServerSignature Off 지시자에 Off 옵션 설정 (없으면 신규 삽입) Step 2) 설정된 모든 디렉터리의 ServerTokens 지시자에서 Prod 옵션 설정 및 ServerSignature Off 지시자에 Off 옵션 설정 (없으면 신규 삽입)
 +<WRAP prewrap>
 +<code bash>
 <Directory /> <Directory />
- Options Indexes FollowSymlinks +   Options Indexes FollowSymlinks 
- ServerTokens Prod +   ServerTokens Prod 
- ServerSignature Off +   ServerSignature Off 
- - 이하 생략-+   - 이하 생략-
 </Directory> </Directory>
 +</code>
 +</WRAP>
 +
 ServerTokens 지시자 옵션 ServerTokens 지시자 옵션
-키워드  제공하는 정보            예문 +키워드  제공하는 정보            예문                                  | 
-Prod    웹 서버 종류             Apache +Prod    웹 서버 종류             Apache                                | 
-Min     웹 서버 버전             Apache/2.2.3 +Min     웹 서버 버전             Apache/2.2.3                          | 
-OS      웹 서버 버전 + 운영체제  Apache/2.2.3 (CentOS) (기본값) +OS      웹 서버 버전 + 운영체제  Apache/2.2.3 (CentOS) (기본값)        | 
-Full    웹 서버의 모든 정보      Apache/2.2.3 (CentOS) DAV/2 PHP/5.16+Full    웹 서버의 모든 정보      Apache/2.2.3 (CentOS) DAV/2 PHP/5.16  | 
 \\ \\
  
  • 서비스_관리.1642465564.txt.gz
  • 마지막으로 수정됨: 2022/01/18 00:26
  • 저자 fatp11th