반응형 취약점 검사9 U-51) 계정이 존재하지 않는 GID 금지 오늘은 "계정이 존재하지 않는 GID 금지"라는 다소 설명드리기 애매한 점검 항목에 대해 말씀드리도록 하겠습니다. 해당 항목이 애매하다고 표현한 이유는 사실 이와 같은 상황에서 발생하는 취약점을 명확하게 설명드리지 못하기 때문인데요. 이후 확실하게 말씀드릴 수 있는 상황을 찾는다면 추가적인 설명을 드리도록 하겠습니다. 그래서 이번 글에서는 해당 항목을 기술적 측면이 아닌 관리적인 측면에서 설명드리도록 할텐데요. 그럼 이전 글과 마찬가지로 점검 가이드에 나와있는 취약점 개요에 대해 먼저 정리하고 가도록 하죠. 이번 점검 항목의 내용 자체는 굉장히 간단합니다. 불필요한 그룹이 존재하면 해당 그룹을 삭제하는 것인데, 점검하는 방법과 조치 방법까지는 어느 정도 예상하실 수 있겠죠. 하지만 문제는 불필요한 그룹의.. 2022. 7. 23. U-50) 관리자 그룹에 최소한의 계정 포함 이번에는 주요정보통신기반 취약점 점검 가이드에서 리눅스 서버의 50번째 점검 항목인 "관리자 그룹에 최소한의 계정 포함"에 대해 이야기를 해보도록 하겠습니다. 리눅스의 관리자인 root 계정의 중요성은 첫 점검 항목에서 부터 지겹도록 말씀을 드렸었는데요. "U-45) root 계정 su 제한" 글에서도 리눅스 권한 체계를 설명드리면서 소유자, 권한에 대한 내용도 함께 설명드렸었는데, 해당 부분을 이해하셨다면 root 계정 이외에 관리자 그룹에 포함된 사용자 계정이 존재할 때, root 그룹 권한으로 된 파일을 실행할 수 있는 문제가 존재한다는 것을 아실 수 있으실거라 생각합니다. 더 자세한 이야기에 앞서 우선 취약점 개요에 대해 정리해보도록 하죠. 리눅스에서 그룹에 대한 정보는 /etc/group 파일에.. 2022. 7. 17. U-49) 불필요한 계정 제거 이번에는 주통기 점검 가이드의 리눅스 서버 취약점 점검 49번째 항목인 "불필요한 계정 제거"에 대해 설명드리도록 하겠습니다. 리눅스 공부를 하면서 VMware와 같은 가상화 프로그램이나 물리적인 서버에 직접 리눅스를 설치하게 되면, 시스템에서 사용하기 위해 디폴트로 생성되는 계정들을 보실 수 있는데요. 이렇게 존재하는 디폴트 계정들은 실제로 서버를 운영할 때는 사용되지 않는 것들이 굉장히 많습니다. 이번 항목은 이런 불필요한 계정 때문에 발생하는 문제를 방지하기 위해 점검하는 것인데, 자세한 설명에 앞서 취약점 개요에 대해 정리해보죠. 여기서 말하는 불필요한 계정은 위에서 말씀드린 리눅스를 설치할 때 기본적으로 생성되지만 사용하지 않는 디폴트 계정을 포함하여, 관리자가 특정 사용자에게 계정을 할당해서 .. 2022. 7. 9. U-48) 패스워드 최소 사용기간 설정 이번에 다뤄볼 내용은 "패스워드 최소 사용기간 설정"이라는 항목입니다. 저번에 설명드린 "U-47) 패스워드 최대 사용기간 설정"과 한 단어만 빼고 동일하기에 같은 항목이 아닌가라고 생각하실 수도 있는데요. 심지어 패스워드 최대 사용기간을 설정하면서 최소 사용기간도 설정해야한다는 말 자체가 역설적으로 느껴질 수도 있습니다. 하지만 해당 항목도 어느 정도 의미가 있어서 점검 항목에 포함된 것이기 때문에, 자세한 이유는 아래서 설명하도록 하고 우선은 취약점 개요에 대해 정리하고 넘어가도록 하겠습니다. 이전 글을 읽으시고 패스워드 최대 사용기간 설정에 대한 점검을 하실 줄 알게 되셨다면, 이번 항목은 정말 쉬울거라고 생각합니다. 다만 패스워드 최대 사용기간 설정이 있음에도 불구하고, 최소 사용기간은 왜 존재.. 2022. 7. 3. U-47) 패스워드 최대 사용기간 설정 지난 글인 "U-46) 패스워드 최소 길이 설정"에 이어서 이번에는 "패스워드 최대 사용기간 설정" 점검 항목에 대해 설명하도록 하겠습니다. 이번 항목도 점검 방법이나 조치 방법이 저번 항목과 굉장히 비슷하기 때문에 언급하는 내용들이 크게 다르진 않겠지만, 패스워드 최대 사용기간을 왜 설정해야 하는지와 ISMS 심사에서 해당 항목의 판단 기준이 맞지 않는다면 정말로 결함을 주는지 등 실제 컨설팅 사례에 대해서도 말씀드려보겠습니다. 그럼 우선 취약점 개요에 대해 간단히 정리하고 넘어가보도록 하죠. 이번 점검 항목의 핵심은 패스워드 최대 사용기간이 설정되어 있는지의 여부입니다. 앞에서 패스워드 복잡성 설정이나 계정 잠금 임계값 설정을 통해서 어느 정도 무작위 대입을 방지할 수 있다고 말씀드렸었죠. 그런데 패.. 2022. 7. 2. U-46) 패스워드 최소 길이 설정 오늘은 주통기 점검 가이드의 46번째 항목인 "패스워드 최소 길이 설정"에 대해 이야기해 보고자 합니다. 사실 이번 항목은 "U-02 패스워드 복잡성 설정"에서 어느 정도 말씀드려서 크게 설명드릴 것은 없다고 생각되는데, 설정 파일의 위치나 옵션에 대한 이야기는 하지 않았기 때문에 해당 부분을 중점적으로 간략히 언급하도록 하겠습니다. 그리고 해당 취약점을 스크립트로 구성할 때 점검하는 방법과 어떻게 조치를 해야하는지까지 보도록 하죠. 그러면 우선 취약점 개요에 대해 짧게 정리해보겠습니다. 취약점 개요를 보시면 이번 항목은 설명할 필요가 없을만큼 정말 간단한데요. 패스워드 복잡성 설정 점검에서 말씀드렸던 것처럼, 패스워드 길이가 짧으면 짧을수록 Brute Force 공격에 의해 시도될 수 있는 경우의 수가.. 2022. 6. 25. U-45) root 계정 su 제한 이번 글에서는 주통기 점검 가이드의 45번째 항목인 "root 계정 su 제한"에 대해 다뤄보도록 하겠습니다. 개정 전 가이드에서는 6번째로 나와있던 점검 항목이면서 계정 관리 부분에 포함된 부분이죠. 오늘 설명드리는 항목도 지난 "U-44) root 이외의 UID가 '0' 금지" 항목처럼 일반 계정의 root의 권한을 사용할 수 없도록 점검하는 것과 비슷한 맥락으로 보시면 됩니다. 이번에는 이전에 언급하지 못했던 리눅스의 권한 체계와 그룹 계정에 대해서 설명드릴텐데, 일단 점검 항목에 대해 개요를 간단하게 정리하도록 하겠습니다. 점검 내용을 보시면, su 명령어를 사용할 수 있는 사용자 계정을 지정한 그룹이 존재하는지 점검한다고 써있죠. 리눅스에서 su 명령어는 한 번씩 써 보셨겠지만 "Switch U.. 2022. 6. 19. U-44) root 이외의 UID가 '0' 금지 오늘 말씀드릴 리눅스 서버 취약점 점검 항목은 "root 이외의 UID가 '0' 금지"라는 항목입니다. 아무래도 리눅스 시스템의 권한 체계나 파일의 소유자에 대해 자세하게 공부하시 않으셨다면, 해당 제목만 보고 어떤 것을 점검하는 것인지 잘 와닿지 않으실 수 있는데요. 좀 더 명확한 점검 항목 제목은 "root 계정 이외의 User ID가 0이 아닌 계정 존재 유무 점검"이라고 해야지 조금 더 정확할 것 같습니다. 저번 글에서 말씀드린 /etc/passwd 파일 점검에 이어진 내용으로 보시면 될 것 같은데 먼저 취약점 개요에 대해 정리를 해보죠. 저번 점검 항목이었던 "U-04) 패스워드 파일 보호"에서 /etc/passwd의 구조를 설명드리면서, UID와 GID에 대해 짧게나마 말씀드린적이 있었죠. 다.. 2022. 6. 18. U-02) 패스워드 복잡성 설정 이번 글에서는 주통기 점검 가이드의 "패스워드 복잡성 설정" 점검 항목에 대해서 이야기해보고자 합니다. 이번 항목은 지난번 다뤘던 항목인 "01) root 계정 원격 접속 제한"에 비해서는 시스템 정책 측면이 강하기도 하고, 패스워드를 복잡하게 설정해야 해킹을 당할 확률이 낮아진다는 건 모두들 아실거라 넘어갈까 생각도 했었는데요. 제가 정보보안기사 시험을 봤던 해인 2018년에 실기 서술형에서 비밀번호 작성규칙이 출제되었는데, 여기에 나오는 패스워드 복잡성 설정과도 연관이 되어있어서 이 부분도 함께 언급하면서 간단히 정리를 해보겠습니다. 먼저 주통기 점검 가이드에 나온 취약점 개요를 간단하게 정리를 해봤습니다. 그런데 지금 KISA에 올라온 주통기 점검 가이드에서는 오타를 수정하지 않은 것인지 양호와 취.. 2022. 6. 6. 이전 1 다음 반응형
