유닉스 보안 구성 가이드라인

=========================================================================
문 서 번 호 : CERTCC-KR 기술문서 : TR-97-004
문 서 제 목 : 유닉스 보안 구성 가이드라인
버전/작성일 : Version 1/ 1997. 6. 7
원       문 : CERT/CC, UNIX Configuration Guidelines
              August 1996, Version 1.1
             
ftp://info.cert.org/pub/tech_tips/UNIX_configuration_guidelines
=========================================================================
*  이 문서는 공격자에게 침입당할 수  있는 유닉스시스템의 일반적인 구성
문제에 대해 기술한다.
-------------------------------------------------------------------------
======================   내                용 ===========================
-------------------------------------------------------------------------

A. 약한 패스워드 

B. 패스워드가 없는 계정이나 기본(default) 패스워드 

C. 재사용 패스워드

D. TFTP의 사용

E. Sendmail 취약성

F. 잘못구성한 anonymous FTP

G. 부적절한 네트워크 파일의 구성

H. /etc/aliases (또는 /usr/lib/aliases)

I. 부적절한 파일과 디렉토리의 접근제어

J. 구 버전의 시스템 소프트웨어

K. setuid 쉘 스크립트의 사용

L. 부적절한 export 설정

M. 취약한 프로토콜이나 서비스

-------------------------------------------------------------------------
A. 약한 패스워드 
-------------------------------------------------------------------------

   * 공격자는 finger, ruser를 사용하여 사용자계정을 알아내어 패스워드 
추측을 시도한다. 

   1. 추측하기 힘든 패스워드를 사용해라
        - 사전의 단어는 사용금지
        - 이름과 관련된 패스워드 사용금지
        - 일반적인 명사 사용금지
        - 고유명사 사용금지

   2. 어느 시스템이든 평문으로  사용자이름, 패스워드를 남겨놓지않는다.

   3. 좋은 방법중의 하나가 기억하기 쉬운 문장의 첫 자를 따는 것이다.
        - 예를 들면 "By The Dawn's Early Light" -> bt}DeL{

   4. 공격자가 만일 패스워드 파일을 가져간 것으로 추측되면 모든 호스트의 
패스워드를 바꿔야 한다. 이러한 패스워드 공격을 막기 위해서는 다음을 
참조 바란다. 

        ftp://info.cert.org/tech_tips/passwd_file_protection

-------------------------------------------------------------------------
B. 패스워드가 없는계정이나 기본(default) 패스워드 
-------------------------------------------------------------------------

   * 패스워드가 없는 계정이나 기본(default) 패스워드 공격자들은 시스템 최초 
설치 후에 변하지 않은  기본 패스워드나 시스템 공급업체에서 제공하는 기본 
패스워드를 가진 계정으로 접근할 수 있다.

   1. 시스템 최초 설치 후에는 반드시 기본 패스워드를 바꿔라

   2. 제품 업그레이드시에도 따라오는 기본 패스워드를 바꿔라

   3. 패스워드화일에서 UID 0인 계정이  추가되지는 않았는지 패스워드가
 없는 계정은 없는지 조사한다.

   4. 사용하지 않는 계정은 패스워드 파일에서 다음과 같이 제거한다.
        - /etc/passwd 화일에서 패스워드부분을 '*"로 대치한다.
        -   /etc/passwd    화일에서   로그인쉘(login    shell)을
 /bin/false로 대치한다.

------------------------------------------------------------------------
C. 재사용 패스워드
------------------------------------------------------------------------

   * 아무리 잘 만든 패스워드라로 패킷  스니퍼 프로그램에는 
      무용지물이다.  
     외부로 부터의 접근과  네임서버나 라우터같은  중요한 자원에 
대한 접근에는 일회용 패스워드 사용을 권고한다.
(참조:CA-94:01.network.monitoring.attack)

-----------------------------------------------------------------------
D. TFTP의 사용
-----------------------------------------------------------------------

   * 당신 호스트가 이 취약점에 노출되었는지 알기위해서는
 다음과 같이 해본다.
     
   1. 먼저 tftp 로 당신 호스트에 연결한다.

   2. get /etc/motd를  시도해본다.

   3. 만일 파일을 받아온다면 외부 네트워크의 임의의 사용자도 
당신의 호스트에서 패스워드화일을  가져갈 수 있다.

   4. 이 문제를 해결하려면 tftpd를 제거한다.

   5. 반드시 사용해야 할 경우에는 제한적 구성을 사용한다.
      (참조 : CA-91:18.Active.Internet.tftp.Attacks)

-----------------------------------------------------------------------
E. Sendmail 취약성
-----------------------------------------------------------------------

   * Sendmail에는   몇 년간  계속해서 취약점이   발견되고 있다. 
Sendmail이 당신의  호스트에서 실행중인지  판단하려면 SMTP  
 포트(25)에 telnet을 사용하여 접속해  본다. 이 문제의  대책으로 항상 
최신의 패치를 설치할 것을 권고한다. 가장 최근의 패치에대한 정보는 
다음 사이트를 참조한다.

        ftp://info.cert.org/pub/latest_sw_versions/sendmail 
          추가로 다음의 보안도구를 소개한다.
    
   1. smrsh : Sendmail의 기능을 제한하여  사용하는 쉘이다. 예를들어
 공격자가 외부에서 파이프를 이용하여 임의의  명령 수행을 막을 수 있다.

        - ftp://info.cert.org/pub/tools/smrsh/

   2. mail.local : 당신 시스템에서  /bin/mail이 사용되는 방법을 
제어할 수 있다.(참조 : CA-95:02.binmail.vulnerabilities)
        - ftp://info.cert.org/pub/tools/mail.local
   * 이 보안도구들은 Sendmail 패치 후에 설치를 권고한다.

-----------------------------------------------------------------------
F. 잘못구성된 anonymous FTP
-----------------------------------------------------------------------

   * anonymous FTP를 사용하여 접근가능한 디렉토리나 파일들이 
제대로 구성되어 있는지 점검해야 한다.(소유자, 그룹, 접근권한 등) 
        
        -  FTP의 패스워드화일로 시스템 패스워드 파일을 사용하지 마라
        -  FTP의 그룹화일로 시스템 그룹화일을 사용하지 마라
        -  FTP 보조 디렉토리인 etc, bin 은 ftp의 소유여서는 안된다.
           (참조:ftp://info.cert.org/pub/tech_tips/anonymous_ftp_config)

-----------------------------------------------------------------------
G. 부적절한 네트워크 파일의 구성
-----------------------------------------------------------------------

   1. /etc/hosts.equiv, .rhost 화일에는 '+'  사용을 금지하고 접근이 
허락된 호스트만 기입한다. 그리고 이  파일은 World Writable하면 안된다.

   2. /usr/lib/X11/xdm/Xsession화일에  "/usr/bin/X11/xhost +"와 
같은 엔트리가 있다면 이 줄을 제거해라.

   3. /etc/ttys, /etc/ttytab의 부적절한 'secure' 설정
        - /etc/ttys, /etc/ttytab 파일을 점검하라. 오직 'secure' 
로 설정되는 터미널은 콘솔(console)이어야 한다.

-----------------------------------------------------------------------
H. /etc/aliases (또는 /usr/lib/aliases)
-----------------------------------------------------------------------

   * 메일 aliases 파일인 /etc/aliases에서 'uudecode'나 'decode'
같은 이름이 있는지 점검하여 제거한다.

----------------------------------------------------------------------
I. 부적절한 파일과 디렉토리의 접근제어
----------------------------------------------------------------------

   * 중요한 시스템화일과 디렉토리들의 소유자 및 접근권한을 조사한다.
        - '/etc' 나 '/' 디렉토리 

---------------------------------------------------------------------
J. 구 버전의 시스템 소프트웨어의 
---------------------------------------------------------------------

   * 운영체제의 버전이 구 버전일 경우  공격 대상이 되기쉽다. 
     최신의 운영체재 버전으로 패치를 권고한다.
     (참조:ftp://info.cert.org/pub/latest_sw_versions/)

---------------------------------------------------------------------
K. setuid 쉘 스크립트의 사용
---------------------------------------------------------------------

   * setuid 쉘 스크립트( 특히 setuid  root)는 잠재적인 보안문제를
 가지고 있다. setuid 쉘 스크립트는 만들지 마라.

--------------------------------------------------------------------
L. 부적절한 export 설정
--------------------------------------------------------------------

   * NFS에서 /etc/exports 파일의 부적절한  구성은 공격의 대상이 된다.

   1. showmount명령으로 현재의 NFS구성을 점검한다.

   2. 가능한한 파일시스템을 read-only로만 export한다.

   3. localhost 항목은 제외시킨다.

   4. 요구되는 시스템에만 export한다.

   5. 완전히 신용하는 시스템에만 export한다.

   6. export list가 256자를 넘지 않게 한다.( 넘을 경우 NFS 패치요망)
      (참조: CA-94:15.NFS.Vulnerabilities)

----------------------------------------------------------------------
M. 취약한 프로토콜이나 서비스
----------------------------------------------------------------------

   * 방화벽이나 라우터를 이용하여 취약한 TCP/IP 서비스들을
 필터링해야한다.
     (참조 :ftp://info.cert.org/pub/tech_tips/packet_filtering)

-- 한국정보보호센터 CERTCC-KR 침해사고 지원 안내 -----------------------
전 화  : 02-3488-4119                      삐 삐 : 015-993-4571
핸드폰 : 011-732-7821                      팩 스 : 3488-4129
Email  : cert@certcc.or.kr
침해사고 접수 방법은  http://www.certcc.or.kr/service.html을 참고 바람
=====================================================================