P0l4ris

환경

 - Ubuntu 18.04.6 LTS

U-37(상) 

3.19 웹서비스 상위 디렉토리 접근 금지

#판단기준

1. apache2 프로세스 실행중인지 검사

2. /etc/apache2/apache2.conf 파일에 AllowOverride 설정에서 옵션 "None"이 적용되어 있는지 검사

#사유

 - URL에서 비인가자가 ".."같은 문자를 사용하여 상위 디렉토리 등을 열람하고 서버의 구조를 파악하거나

   접근할 수 있기 때문.

#script 작성

1. apache2 프로세스가 실행중인지 검사

2. /etc/apache2/apache2.conf 파일에서 주석처리되지 않은 "AllowOverride" 설정에 "None"이 적용되어 있는지 검사

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-36(상) 

3.18 웹서비스 웹 프로세스 권한 제한

#판단 기준

1. /etc/apache2/apache2.conf 파일의 존재 유무

2. /etc/apache2/apache2.conf 파일에서 User 설정에 "root" 옵션 적용 유무

3. /etc/apache2/apache2.conf 파일에서 Group 설정에 "root" 옵션 적용 유무

#사유

 - 웹 서비스 데몬을 root 권한으로 실행 시 웹 서비스 데몬에 속하지 않는 파일들(다른 유저 등)도

   무결성을 침해받고, 웹서버가 해킹피해에 노출되면 서버 자체에서 최상위 권한으로

   악의적인 공격을 할 수 있기 때문에 2차적인 침해가 발생할 수 있음.

#script 작성

1. /etc/apache2/apache2.conf 파일 유효성 검사

2. /etc/apache2/apache2.conf 파일 중 주석처리되지 않은 User 설정에 root 값 들어있는지 확인

3. /etc/apache2/apache2.conf 파일 중 주석처리되지 않은 Group 설정에 root 값 들어있는지 확인

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-35(상) 

3.17 웹서비스 디렉토리 리스팅 제거

#판단기준

1. apache2 서비스가 설치되었는지 확인

2. apache2 프로세스가 실행되고 있는지 확인

3. apache2 서비스의 설정파일에서 디렉토리 리스팅을 허용하는 "Indexes" 옵션이 적용되었는지 확인

#사유

 - directory listing : 비인가자가 웹페이지 상에서 url을 통해 디렉토리의 상위/하위로 이동할 수 있으며, 

                          소스페이지, 서버 내부 파일 등을 열람할 수 있기 때문에 취약.

#script 작성

1. apache2가 설치되었는지 검사

2. apache2 프로세스가 실행중인지 검사

3. apache2의 설정파일 /etc/apache2/apache2.conf 파일에서 디렉토리 접근을 허용하는 "Indexes" 옵션이

   적용되었는지 검사.

#결과 실행

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-34(상) 

3.16 DNS Zone Transfer 설정

#판단기준

1. DNS 서비스 실행 여부

2. 서비스 실행 시 /etc/bind/named.conf 파일의 "allow-transfer" 설정 검사

3. 서비스 실행 시 /etc/bind/named.conf 파일의 "xfrnets" 설정 검사

#사유

 - 인가받지 못한 사용자가 Zone 정보를 전송받아서 서버, 사용자 등에 대한 여러 정보를 파악할 수 있다.

#script 작성

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-33(상)

3.15 DNS 보안 버전 패치

#판단기준

 - "bind9" 도메인 네임 서버 서비스.

1. DNS(bind) 서비스 사용여부

2. DNS(bind) 서비스 설치여부

3. DNS(bind) 서비스의 버전

#사유

 - 알려진 취약점이 존재하는 버전일 경우, 악의적인 사용자가 취약점을 이용할 수 있음.

#script 작성

1. bind9 서비스 설치 여부

2. bind9 서비스 작동(프로세스에 올라갔는지) 여부]

3. bind9 버전을 미리 설정한 버전과 비교(보안업데이트가 될 때마다 버전을 바꿔주는 것을 권장)

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-32(상)

3.14 일반사용자의 Sendmail 실행 방지

#판단기준

1. /etc/mail/sendmail.cf 파일이 존재하는가?

2. /etc/mail/sendmail.cf 파일에서 주석처리되지 않은 PrivacyOptions에 "restricqrun"옵션이 설정되어 있는가?

#사유

 - 일반 사용자가 q 옵션을 사용해서 메일큐, sendmail 설정 열람 가능하거나 메일큐를 강제로 드랍할 수 있어

   서비스에 영향을 줄 수 있음. 

#script 작성

1. /etc/mail/sendmail.cf 파일이 존재하는지 검사

2. 존재할 경우, 해당 파일에서 PrivacyOptions 설정에 주석이 걸려있지 않고, "restrictqrun" 옵션이

  설정되어 있는지 검사.

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-31(상)

3.13 스팸 메일 릴레이 제한

#판단기준

1. /etc/mail/sendmail/cf 파일에 "R$* $#error $@ 5.7.1 $: "550 Relaying denied" 설정이 주석없이

   되어있는지 여부.

#사유

릴레이 기능 : 외부 사용자가 해당 서버를 통해 다른 서버로 메일을 전송하는 것.

1. 악의적인 목적을 가진 사용자들이 스팸메일 서버로 이용할 수 있음.

2. 무수히 많은 요청을 보내 Dos공격의 대상이 될 수 있음.

#script 작성

 - "sendmail" 프로세스는 U-30(상)의 경우와 마찬가지로 프로세스 작동여부가 불분명하여

   확실한 설정파일로 진단하였음.

1. 해당 설정파일이 존재하는지 검사

2. 설정파일에서 "Relaying denied" 설정이 된 행에서 주석이 붙어있는지 혹은, 전혀 존재하지 않는지 검사

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-30(상)

3.12 Sendmail 버전 점검

#판단기준

1. sendmail 서비스의 버전이 특정버전 이하인가?

#사유

 - 취약점이 발견된 sendmail 버전은 악의적인 사용자가 공격하여 취약할 수 있으므로

   버전을 확인해야 한다.

#script 작성

 - sendmail 프로세스는 kill하게 되면 조치를 취하지 않을 시, 설치가 되어있어도 ps 명령어로 올라오지 않고,

   실행되지 않았다고 해도 잠재적 위협이 있는 버전의 서비스를 이용할 수 있으므로 버전을 검사하게 되었다.

1. dpkg 명령어로 패키지의 버전을 받아온다. 이 과정에서 8.15.2-10 같은 형태로 받아와지는데,

   정수 형태로 비교하기 위해 특수기호와 문서에서 언급하지 않은 "-" 기호 뒤의 버전을 제외하였다.

2. dpkg 명령어로 패키지의 버전을 받아올 때, 설치되어있지 않으면 아무것도 받아오지 않으므로 예외처리 해준다.

3. 받아온 버전을 미리 설정한 버전(취약하지 않은 버전)과 검사하여 결과를 출력한다.

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-29(상)

3.11 tftp, talk 서비스 비활성화

#판단기준

 - ubuntu에서 tftp, talk 서비스는 설치되면 

1. tftp 서비스 가 설치되어 있는가?

2. talk/ntalk 서비스가 설치되어 있는가?

3. tftp 프로세스가 작동중인가?

4. talk 프로세스가 작동중인가?

#사유

 - 취약점이 발표되어서 알려졌거나, 사용하지 않는데 잠재적인 위협이 있는 서비스는 실행중일 시

   악의적인 사용자의 공격시도가 가능하다.

#script 작성

#file_chk.sh

#ps_chk.sh

#29.sh

 1. tftp 서비스 설치 시, 설치되는 파일 /usr/bin/tftp 검사.

 2. tftp 서비스 실행 시, 프로세스 검사

 3. talk 서비스 설치 시, 설치되는 파일 /usr/bin/talk 검사

 4. talk 서비스 실행 시, 프로세스 검사

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-28(상) 

3.10 NIS, NIS+ 점검

#판단기준

 - ypserv, ypbind, ypxfrd, rpc.rppasswdd 프로세스 작동 여부

#사유

 - 보안상 취약한 서비스인 NIS를 사용하는 경우, 비인가자가 타시스템의 root 권한 획득 가능함.

  가급적이면 NIS+ 사용 권장.

#scirpt 작성

 - 작동하는 프로세스 중, 취약한 NIS 프로세스가 작동중인지 검사.

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988