Unix : U-05(상) 파일 및 디렉토리 관리 > root홈, 패스 디렉터리 권한 및 패스 설정 환경변수 : 프로세스가 컴퓨터 동작 방식에 영향을 미치는 동적인 값들의 집합으로 Path 환경변수는 실행파일을 찾는 경로에 대한 변수이다. 취약점 개요 ㆍ점검내용 root 계정의 PATH 환경변수에 "."(마침표)가 포함되어 있는지 점검한다. ㆍ점검목적 비인가자가 불법적으로 생성한 디렉터리 및 명령어를 우선으로 실행되지 않도록 설정하기 위해 환경변수 점검이 필요하다. ㆍ보안위협 root 계정의 PATH(환경변수)에 정상적인 관리자 명령어(ex. ls, mv, cp 등)의 디렉터리 경로보다 현재 디렉터리를 칭하는 "."가 우선시 되면 현재 디렉터리에 변조된 명령어를 삽입하여 관리자 명령어 입력 시 악의적인 ..
Unix : U-01(상) 계정관리 > root 계정 원격접속 제한 취약점 개요 ㆍ점검내용 사용자 계정 정보가 저장된 파일(예 /etc/passwd, /etc/shadow)에 사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검한다. ㆍ점검목적 오래된 시스템의 경우 /etc/passwd 파일에 패스워드가 평문으로 저장되므로 사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검하여 비인가자의 패스워드 파일 접근 시에도 사용자 계정 패스워드가 안전하게 관리되고 있는지 확인하기 위해서이다. ㆍ보안위협 사용자 계정 패스워드가 저장된 파일이 유출 혹은 탈취 시 평문으로 저장된 패스워드 정보가 노출될 수 있다. 판단기준 및 조치방법 ㆍ판단기준 양호 : 쉐도우 패스워드를 사용하거나, 패스워드를 암호화하여 저장하는..
Unix : U-03(상) 계정관리 > 계정 잠금 임계값 설정 사용자 로그인 실패 임계 값 : 시스템에 로그인 시 몇 번의 로그인 실패시 로그인을 차단할 것인지 설정하는 값 취약점 개요 ㆍ점검내용 사용자 계정 로그인 실패 시 계정 잠금 임계값이 설정되어 있는지 점검한다. ㆍ점검목적 계정 탈취 목적의 무작위 대입 공격 시 해당 계정을 잠궈 인증 요청의 응답 리소스 낭비를 차단하고, 대입 공격을 무력화하기 위해서이다. ㆍ보안위협 패스워드 탈취 공격(무작위 대입 공격, 사전 대입 공격, 추측 공격 등)의 인증 요청에 대해 설정된 패스워드와 맞을때까지 지속적으로 응답하여 해당 계정의 패스워드가 노출될 수 있음 판단기준 및 조치방법 ㆍ판단기준 양호 : 계정 잠금 임계값이 10회 이하의 값으로 설정되어 있는 경우 ..
Unix : U-02(상) 계정관리 > 패스워드 복잡성 설정 패스워드 복잡성 : 사용자 패스워드 설정 시 영문, 숫자, 특수문자가 혼합된 일정 길이 이상으로 패스워드를 설정하는 방법 취약점 개요 ㆍ점검내용 시스템 정책에 사용자 계정 패스워드 복잡성 관련 설정이 되어 있는지 점검한다. ㆍ점검목적 패스워드 복잡성 관련 정책이 설정되어 있는지 점검하여 비인가자의 공격에 대비가 되어 있는지 확인하기 위해서이다. ㆍ보안위협 복잡성 설정이 되어있지 않은 패스워드는 사회공학적인 유추가 가능할 수 있으며, 암호화된 패스워드 해시값을 브루트포스 공격으로 단시간에 패스워드 크랙이 가능하다. 판단기준 및 조치방법 ㆍ판단기준 양호 : 패스워드 최소 길이 8자리 이상, 영문·숫자·특수문자 최소 입력 기능이 설정된 경우 취약 :..
Unix : U-01(상) 계정관리 > root 계정 원격접속 제한 root 계정 : 여러 사용자가 사용하는 컴퓨터에서 모든 기능을 관리할 수 있는 총괄권한을 가진 유일한 계정, 사용자 계정 생성 및 소프트웨어 설치, 환경 및 설정을 변경하거나 시스템의 동작을 감시 및 제어할 수 있다. 취약점 개요 ㆍ점검내용 시스템 정책에 root 계정의 원격터미널 접속차단 설정이 적용되어 있는지 점검한다. ㆍ점검목적 관리자계정 탈취로 인한 시스템 장악을 방지하기 위해 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하기 위한 것이다. ㆍ보안위협 root 계정은 운영체제의 모든기능을 설정 및 변경이 가능하여 root 계정을 탈취해 외부에서 원격을 이용한 시스템 장악 및 각종 공격으로 인한 root 계정 사용 불..
