P0l4ris

환경

 - Ubuntu 18.04.6 LTS

U-24(상) 

3.6 NFS 서비스 비활성화

#판단기준

1. nfs 서비스 데몬 확인

#사유

 - 서버의 파일을 공유하는 서비스서버가 사용하는 서비스이다.

  공유할 필요가 없는데 활성화되어 있다면 주의해야 한다.

#script 작성

#결과 실행

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-23(상) 

3.5 DoS 공격에 취약한 서비스 비활성화

#판단기준

1. /etc/xindetd.d 디렉토리에서 echo, discard, daytime, chargen 파일 내에 disable 옵션이 'yes'인지 검사.

#사유

 - 해당 서비스들은 Dos공격 즉, 서비스를 계속 요청하여 시스템의 자원을 부족하게 만드는 공격에

  취약하고, 시스템 정보를 유출할 수 있는 부분에서 비활성화.

#script 작성

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-22(상) 

3.4 crond 파일 소유자 및 권한 설정

#판단기준

1. /usr/bin/crontab 파일의 소유자가 root이고 권한은 750 이하인가?

2. /usr/bin/crontab 파일에 setUID 혹은 setGID가 적용되어 있는가?

3. /etc/crontab 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

4. /etc/cron.hourly 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

5. /etc/cron.daily 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

6. /etc/cron.weekly 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

7. /etc/cron.monthly 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

8. /etc/cron.allow 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

9. /etc/cron.deny 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

#사유

 - cron이란 유닉스 계열 운영체제의 시간기반 작업 스케쥴러인데, 쉽게 말하면,

  "내일 오후 3시에 달력 켜줘" 같은 느낌이라고 보면 된다.

  이를 통해서 악의적인 사용자가 악성파일 등을 예약하여 실행할 수 있다.

#script 작성

 - 프로세스의 존재여부를 검사한다.

 - cron 명령어를 담당하는 /usr/bin/crontab 파일은 별도로 검사한다.

 - 체크리스트의 모든 파일들의 권한이 640 이상인지, 소유자가 root가 아닌지 각기 검사해 준다.

#실행 결과

 - 우분투 배포판에서는 cron.allow와 cron.deny가 없으면 root 권한이 아닌 사용자에게 일반 권한을 할당한다고 한다.(취약)

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

3.3 r 계열 서비스 비활성화

#판단기준

1. 불필요한 r계열(rsh, rlogin, rexec) 서비스 활성화 여부

#사유

 - r 서비스란 신뢰 관계에 있는 시스템들의 원격접속을 검증하지 않고 허용해주는 서비스이다.

#script 작성

 - ubuntu(unix)에서의 r 서비스는 `rsh-server`를 설치하면 rsh, rexec, rlogin이 모두 포함되어 설치되므로,

   `rsh-server`의 설치를 확인.

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-20(상) 

3.2 Anionymous FTP 비활성화

#판단기준

1. Anonymous FTP (익명의 ftp) 접속 차단 여부

#사유

 - 보통의 ftp는 사용자명과 패스워드를 입력해야 접속할 수 있는데,

   익명 ftp는 단순히 파일을 보거나 다운로드하기 위한 것이라 따로 부여된 사용자명과 패스워드가

   필요 없으므로, 악의적인 사용자가 접속할 수 있음.

#script 작성

1. passwd파일 내 ftp 계정이 존재하는지 검사.

2. /etc/vsftpd.con 파일에서 설정 `anonymous_enable` 여부 검사.(NO : 안전, YES : 취약)

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-19(상) 

3.1 Finger 서비스 비활성화

#판단기준

1. Finger 서비스가 활성화 되어 있는지의 여부

#사유

 - Finger 명령어는 옵션에 따라 네트워크를 통하여 연결되어 있는 다른 시스템에 등록된

  사용자들에 대한 자세한 정보도 보여주기 때문에 2차 피해를 유발할 수 있음.

#script 작성

  - /usr/bin 경로에 확정적으로 파일이 생기기 때문에 중복의 방지를 위하여 /usr/bin에서 finger 파일 유무 확인.

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-18(상)

2.14 접속 IP 및 포트 제한

#판단기준

1. iptables에 룰이 적용되어 있는가?

#script 작성

#실행결과

 - iptables 명령어에서 룰 부분만 잘라서 나오는 개수로 판단하였다.

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-17(상) 

2.13 $HOME/.rhosts, hosts.equiv 사용 금지

#판단기준

1. /etc/hosts.equiv 파일과 $home/.rhosts 파일의 소유자가 root 혹은 해당 계정인가?

2. /etc/hosts.equiv 파일과 $home/.rhosts 파일의 권한이 600이하인가?

3. /etc/hosts.equiv 파일과 $home./.rhosts 파일에 '+' 설정이 되어있는가?

#사유

1. 원격접소 관련해서 비인가자가 파일에 접근할 경우 시스템에 접근할 수 있어서이다.

#script 작성

#실행결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-16(상) 

2.12 /dev에 존재하지 않는 device 파일 점검

#판단기준

1. /dev 디렉토리에 일반 파일이 존재하는가?

#사유

 - /dev 디렉토리에 악성파일을 device파일인 것처럼 위장하여 심어놓는 경우가 있어서

   점검에 유의해야 한다.

#script 작성

#실행결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-15(상) 

2.11 world writable 파일 점검

#사유

 - other에 쓰기 권한이 있는 파일은 인가받지 않은 사용자가 임의로 수정할 수 있음.

#판단기준

1. 시스템 중요 파일에 world writable 파일 존재 여부, 인지 여부

#script 작성

#실행결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988