P0l4ris

환경

 - Ubuntu 18.04.6 LTS

U-32(상)

3.14 일반사용자의 Sendmail 실행 방지

#판단기준

1. /etc/mail/sendmail.cf 파일이 존재하는가?

2. /etc/mail/sendmail.cf 파일에서 주석처리되지 않은 PrivacyOptions에 "restricqrun"옵션이 설정되어 있는가?

#사유

 - 일반 사용자가 q 옵션을 사용해서 메일큐, sendmail 설정 열람 가능하거나 메일큐를 강제로 드랍할 수 있어

   서비스에 영향을 줄 수 있음. 

#script 작성

1. /etc/mail/sendmail.cf 파일이 존재하는지 검사

2. 존재할 경우, 해당 파일에서 PrivacyOptions 설정에 주석이 걸려있지 않고, "restrictqrun" 옵션이

  설정되어 있는지 검사.

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-31(상)

3.13 스팸 메일 릴레이 제한

#판단기준

1. /etc/mail/sendmail/cf 파일에 "R$* $#error $@ 5.7.1 $: "550 Relaying denied" 설정이 주석없이

   되어있는지 여부.

#사유

릴레이 기능 : 외부 사용자가 해당 서버를 통해 다른 서버로 메일을 전송하는 것.

1. 악의적인 목적을 가진 사용자들이 스팸메일 서버로 이용할 수 있음.

2. 무수히 많은 요청을 보내 Dos공격의 대상이 될 수 있음.

#script 작성

 - "sendmail" 프로세스는 U-30(상)의 경우와 마찬가지로 프로세스 작동여부가 불분명하여

   확실한 설정파일로 진단하였음.

1. 해당 설정파일이 존재하는지 검사

2. 설정파일에서 "Relaying denied" 설정이 된 행에서 주석이 붙어있는지 혹은, 전혀 존재하지 않는지 검사

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-30(상)

3.12 Sendmail 버전 점검

#판단기준

1. sendmail 서비스의 버전이 특정버전 이하인가?

#사유

 - 취약점이 발견된 sendmail 버전은 악의적인 사용자가 공격하여 취약할 수 있으므로

   버전을 확인해야 한다.

#script 작성

 - sendmail 프로세스는 kill하게 되면 조치를 취하지 않을 시, 설치가 되어있어도 ps 명령어로 올라오지 않고,

   실행되지 않았다고 해도 잠재적 위협이 있는 버전의 서비스를 이용할 수 있으므로 버전을 검사하게 되었다.

1. dpkg 명령어로 패키지의 버전을 받아온다. 이 과정에서 8.15.2-10 같은 형태로 받아와지는데,

   정수 형태로 비교하기 위해 특수기호와 문서에서 언급하지 않은 "-" 기호 뒤의 버전을 제외하였다.

2. dpkg 명령어로 패키지의 버전을 받아올 때, 설치되어있지 않으면 아무것도 받아오지 않으므로 예외처리 해준다.

3. 받아온 버전을 미리 설정한 버전(취약하지 않은 버전)과 검사하여 결과를 출력한다.

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988