P0l4ris

환경

 - Ubuntu 18.04.6 LTS

U-23(상) 

3.5 DoS 공격에 취약한 서비스 비활성화

#판단기준

1. /etc/xindetd.d 디렉토리에서 echo, discard, daytime, chargen 파일 내에 disable 옵션이 'yes'인지 검사.

#사유

 - 해당 서비스들은 Dos공격 즉, 서비스를 계속 요청하여 시스템의 자원을 부족하게 만드는 공격에

  취약하고, 시스템 정보를 유출할 수 있는 부분에서 비활성화.

#script 작성

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-22(상) 

3.4 crond 파일 소유자 및 권한 설정

#판단기준

1. /usr/bin/crontab 파일의 소유자가 root이고 권한은 750 이하인가?

2. /usr/bin/crontab 파일에 setUID 혹은 setGID가 적용되어 있는가?

3. /etc/crontab 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

4. /etc/cron.hourly 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

5. /etc/cron.daily 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

6. /etc/cron.weekly 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

7. /etc/cron.monthly 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

8. /etc/cron.allow 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

9. /etc/cron.deny 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

#사유

 - cron이란 유닉스 계열 운영체제의 시간기반 작업 스케쥴러인데, 쉽게 말하면,

  "내일 오후 3시에 달력 켜줘" 같은 느낌이라고 보면 된다.

  이를 통해서 악의적인 사용자가 악성파일 등을 예약하여 실행할 수 있다.

#script 작성

 - 프로세스의 존재여부를 검사한다.

 - cron 명령어를 담당하는 /usr/bin/crontab 파일은 별도로 검사한다.

 - 체크리스트의 모든 파일들의 권한이 640 이상인지, 소유자가 root가 아닌지 각기 검사해 준다.

#실행 결과

 - 우분투 배포판에서는 cron.allow와 cron.deny가 없으면 root 권한이 아닌 사용자에게 일반 권한을 할당한다고 한다.(취약)

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

3.3 r 계열 서비스 비활성화

#판단기준

1. 불필요한 r계열(rsh, rlogin, rexec) 서비스 활성화 여부

#사유

 - r 서비스란 신뢰 관계에 있는 시스템들의 원격접속을 검증하지 않고 허용해주는 서비스이다.

#script 작성

 - ubuntu(unix)에서의 r 서비스는 `rsh-server`를 설치하면 rsh, rexec, rlogin이 모두 포함되어 설치되므로,

   `rsh-server`의 설치를 확인.

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988