서비스_관리

차이

문서의 선택한 두 판 사이의 차이를 보여줍니다.

차이 보기로 링크

양쪽 이전 판 이전 판
다음 판		 이전 판
서비스_관리 [2022/01/18 00:31] – [로그온 시 경고 메시지 제공] fatp11th서비스_관리 [2022/01/18 00:59] (현재) – [Apache 웹 서비스 정보 숨김] fatp11th
줄 1484: 줄 1484:
 \\ \\
 ====NFS 설정파일 접근 제한==== ====NFS 설정파일 접근 제한====
 +
 점검목적 점검목적
 비인가자에 의한 불법적인 외부 시스템 마운트를 차단하기 위해 NFS 접근제어 파일의 소유자 및 파일 권한을 설정 비인가자에 의한 불법적인 외부 시스템 마운트를 차단하기 위해 NFS 접근제어 파일의 소유자 및 파일 권한을 설정
 +
 보안위협 보안위협
 NFS 접근제어 설정파일에 대한 권한 관리가 이루어지지 않을 시 인가되지 않은 사용자를 등록하고 파일시스템을 마운트하여 불법적인 변조를 시도할 수 있음 NFS 접근제어 설정파일에 대한 권한 관리가 이루어지지 않을 시 인가되지 않은 사용자를 등록하고 파일시스템을 마운트하여 불법적인 변조를 시도할 수 있음
 +
 점검방법 점검방법
 +점검 파일 위치
 +<WRAP prewrap>
 +<code bash>
 #ls -al /etc/exports #ls -al /etc/exports
  rw-r--r-- root <nfs 접근제어 파일>  rw-r--r-- root <nfs 접근제어 파일>
 +</code>
 +</WRAP>
 +
 "NFS" 접근제어 설정파일의 소유자가 root가 아니거나 파일의 권한이 644 이하가 아닌 경우 아래의 보안설정방법에 따라 설정을 변경함 "NFS" 접근제어 설정파일의 소유자가 root가 아니거나 파일의 권한이 644 이하가 아닌 경우 아래의 보안설정방법에 따라 설정을 변경함
-/etc/exports” 파일의 소유자 및 권한 변경 (소유자 root, 권한 644) + 
- #chown root /etc/exports +''/etc/exports'' 파일의 소유자 및 권한 변경 (소유자 root, 권한 644) 
- #chmod 644 /etc/exports+<WRAP prewrap> 
 +<code bash> 
 +#chown root /etc/exports 
 +#chmod 644 /etc/exports 
 +</code> 
 +</WRAP> 
 \\ \\
 ====expn, vrfy 명령어 제한==== ====expn, vrfy 명령어 제한====
 +
 점검목적 점검목적
 SMTP 서비스의 expn, vrfy 명령을 통한 정보 유출을 막기 위하여 두 명령어를 사용하지 못하게 옵션을 설정해야함 SMTP 서비스의 expn, vrfy 명령을 통한 정보 유출을 막기 위하여 두 명령어를 사용하지 못하게 옵션을 설정해야함
 +
 보안위협 보안위협
 VRFY, EXPN 명령어를 통하여 특정 사용자 계정의 존재유무를 알 수 있고, 사용자의 정보를 외부로 유출 할 수 있음 VRFY, EXPN 명령어를 통하여 특정 사용자 계정의 존재유무를 알 수 있고, 사용자의 정보를 외부로 유출 할 수 있음
 +
 점검방법 점검방법
 noexpn, novrfy 옵션 설정 확인 noexpn, novrfy 옵션 설정 확인
 +<WRAP prewrap>
 +<code bash>
 #vi /etc/mail/sendmail.cf #vi /etc/mail/sendmail.cf
 O PrivacyOptions= (noexpn, novrfy 또는 goaway 옵션 설정 여부) O PrivacyOptions= (noexpn, novrfy 또는 goaway 옵션 설정 여부)
 +</code>
 +</WRAP>
 ※ goaway 옵션 : authwarnings, noexpn, novrfy, noverb, needmailhelo, needexpnhelo, needvrfyhelo, nobodyreturn 통합하는 단축 옵션 ※ goaway 옵션 : authwarnings, noexpn, novrfy, noverb, needmailhelo, needexpnhelo, needvrfyhelo, nobodyreturn 통합하는 단축 옵션
 +
 <서비스 필요 시> <서비스 필요 시>
-Step 1) vi 편집기를 이용하여 /etc/mail/sendmail.cf” 파일을 연 후 (단, AIX는 /etc/sendmail.cf) +Step 1) vi 편집기를 이용하여 ''/etc/mail/sendmail.cf'' 파일을 연 후 
- #vi /etc/mail/sendmail.cf +<WRAP prewrap> 
-Step 2) /etc/mail/sendmail.cf” 파일에 noexpn, novrfy 옵션 추가+<code bash> 
 +#vi /etc/mail/sendmail.cf 
 +</code> 
 +</WRAP> 
 + 
 +Step 2) ''/etc/mail/sendmail.cf'' 파일에 noexpn, novrfy 옵션 추가 
 +<WRAP prewrap> 
 +<code vim>
 (수정 전) O PrivacyOptions=authwarnings (수정 전) O PrivacyOptions=authwarnings
- (수정 후) O PrivacyOptions=authwarnings, noexpn, novrfy 또는 goaway+(수정 후) O PrivacyOptions=authwarnings, noexpn, novrfy 또는 goaway 
 +</code> 
 +</WRAP> 
 Step 3) SMTP 서비스 재시작 Step 3) SMTP 서비스 재시작
 +
 < 서비스 불필요 시> < 서비스 불필요 시>
 Step 1) 실행중인 서비스 중지 Step 1) 실행중인 서비스 중지
- #ps –ef | grep sendmail +<WRAP prewrap> 
- root 441 1 0 Sep19 ? 00:00:00 sendmail: accepting connections +<code bash> 
- #kill -9 [PID]+#ps –ef | grep sendmail 
 +root 441 1 0 Sep19 ? 00:00:00 sendmail: accepting connections 
 +#kill -9 [PID] 
 +</code> 
 +</WRAP> 
 Step 2) 시스템 재시작 시 SMTP 서버가 시작되지 않도록 OS별로 아래와 같이 설정함 Step 2) 시스템 재시작 시 SMTP 서버가 시작되지 않도록 OS별로 아래와 같이 설정함
  1. 위치 확인  1. 위치 확인
- #ls –al /etc/rc*.d/* | grep sendmail+<WRAP prewrap> 
 +<code bash> 
 +#ls –al /etc/rc*.d/* | grep sendmail 
 +</code> 
 +</WRAP> 
  2. 이름 변경  2. 이름 변경
- #mv /etc/rc2.d/S88sendmail /etc/rc2.d/_S88sendmail+<WRAP prewrap> 
 +<code bash> 
 +#mv /etc/rc2.d/S88sendmail /etc/rc2.d/_S88sendmail 
 +</code> 
 +</WRAP> 
 \\ \\
 ====Apache 웹 서비스 정보 숨김==== ====Apache 웹 서비스 정보 숨김====
 +
 점검목적 점검목적
- HTTP 헤더, 에러페이지에서 웹 서버 버전 및 종류, OS 정보 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하기 위함+HTTP 헤더, 에러페이지에서 웹 서버 버전 및 종류, OS 정보 등 웹 서버와 관련된 불필요한 정보가 노출되지 않도록 하기 위함 
 보안위협 보안위협
 불필요한 정보가 노출될 경우 해당 정보를 이용하여 시스템의 취약점을 수집할 수 있음 불필요한 정보가 노출될 경우 해당 정보를 이용하여 시스템의 취약점을 수집할 수 있음
 +
 점검방법 점검방법
 ServerTokens, ServerSignature 옵션 설정 여부 확인 ServerTokens, ServerSignature 옵션 설정 여부 확인
 +<WRAP prewrap>
 +<code bash>
 # vi /[Apache_Home]/conf/httpd.conf # vi /[Apache_Home]/conf/httpd.conf
  ServerTokens Prod  ServerTokens Prod
  ServerSignature off  ServerSignature off
-httpd.conf” 파일 내에 ServerTokens, ServerSignature 지시자가 위와 같이 설정되어 있지 않은 경우 아래의 보안설정방법에 따라 옵션 추가 +</code> 
-Step 1) vi 편집기를 이용하여 /[Apache_home]/conf/httpd.conf 파일을 연 후 +</WRAP> 
- #vi /[Apache_home]/conf/httpd.conf+ 
 +''httpd.conf'' 파일 내에 ServerTokens, ServerSignature 지시자가 위와 같이 설정되어 있지 않은 경우 아래의 보안설정방법에 따라 옵션 추가 
 + 
 +Step 1) vi 편집기를 이용하여 ''/[Apache_home]/conf/httpd.conf'' 파일을 연 후 
 +<WRAP prewrap> 
 +<code bash> 
 +#vi /[Apache_home]/conf/httpd.conf 
 +</code> 
 +</WRAP> 
 Step 2) 설정된 모든 디렉터리의 ServerTokens 지시자에서 Prod 옵션 설정 및 ServerSignature Off 지시자에 Off 옵션 설정 (없으면 신규 삽입) Step 2) 설정된 모든 디렉터리의 ServerTokens 지시자에서 Prod 옵션 설정 및 ServerSignature Off 지시자에 Off 옵션 설정 (없으면 신규 삽입)
 +<WRAP prewrap>
 +<code bash>
 <Directory /> <Directory />
- Options Indexes FollowSymlinks +   Options Indexes FollowSymlinks 
- ServerTokens Prod +   ServerTokens Prod 
- ServerSignature Off +   ServerSignature Off 
- - 이하 생략-+   - 이하 생략-
 </Directory> </Directory>
 +</code>
 +</WRAP>
 +
 ServerTokens 지시자 옵션 ServerTokens 지시자 옵션
-키워드  제공하는 정보            예문 +키워드  제공하는 정보            예문                                  | 
-Prod    웹 서버 종류             Apache +Prod    웹 서버 종류             Apache                                | 
-Min     웹 서버 버전             Apache/2.2.3 +Min     웹 서버 버전             Apache/2.2.3                          | 
-OS      웹 서버 버전 + 운영체제  Apache/2.2.3 (CentOS) (기본값) +OS      웹 서버 버전 + 운영체제  Apache/2.2.3 (CentOS) (기본값)        | 
-Full    웹 서버의 모든 정보      Apache/2.2.3 (CentOS) DAV/2 PHP/5.16+Full    웹 서버의 모든 정보      Apache/2.2.3 (CentOS) DAV/2 PHP/5.16  | 
 \\ \\
  
  • 서비스_관리.1642465909.txt.gz
  • 마지막으로 수정됨: 2022/01/18 00:31
  • 저자 fatp11th