P0l4ris

환경

 - Ubuntu 18.04.6 LTS

U-27(상)

3.9 RPC 서비스 확인

#판단기준

1. /etc/xinetd.d 디렉토리에 있는 서비스파일들의 disable 설정값 확인

#사유

 - 사용하지 않는 RPC 서비스가 활성화 되어 있으면 해당 서비스를 통해

   악의적인 사용자가 서버에 피해를 줄 수 있기 때문.

#script 작성

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-26(상)

3.8 automountd 제거

#판단기준

 1. unix 기준으로 "autofs" 프로세스가 작동하고 있는가?

#사유

 - 로컬에서 파일시스템의 마운트 옵션을 변경하여 권한상승을 할 수 있으며, 로컬 공격자가

   automountd 프로세스 권한으로 명령을 실행할 수 있다.

#script 작성

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-25(상)

3.7 NFS 접근 통제

#판단기준

1. /etc/exports 파일에 NFS 접근 설정의 유무

2. /etc/exports 파일에 NFS 접근 설정 중 "insecure"이 설정된 경우

#사유

 - 권한 설정에 인증되지 않은 엑세스를 허용하는 "insecure"를 설정하게 되면, 비인가자가 접속하고 파일의 무결성을

   해칠 수 있다.

#script 작성

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-24(상) 

3.6 NFS 서비스 비활성화

#판단기준

1. nfs 서비스 데몬 확인

#사유

 - 서버의 파일을 공유하는 서비스서버가 사용하는 서비스이다.

  공유할 필요가 없는데 활성화되어 있다면 주의해야 한다.

#script 작성

#결과 실행

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-23(상) 

3.5 DoS 공격에 취약한 서비스 비활성화

#판단기준

1. /etc/xindetd.d 디렉토리에서 echo, discard, daytime, chargen 파일 내에 disable 옵션이 'yes'인지 검사.

#사유

 - 해당 서비스들은 Dos공격 즉, 서비스를 계속 요청하여 시스템의 자원을 부족하게 만드는 공격에

  취약하고, 시스템 정보를 유출할 수 있는 부분에서 비활성화.

#script 작성

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-22(상) 

3.4 crond 파일 소유자 및 권한 설정

#판단기준

1. /usr/bin/crontab 파일의 소유자가 root이고 권한은 750 이하인가?

2. /usr/bin/crontab 파일에 setUID 혹은 setGID가 적용되어 있는가?

3. /etc/crontab 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

4. /etc/cron.hourly 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

5. /etc/cron.daily 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

6. /etc/cron.weekly 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

7. /etc/cron.monthly 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

8. /etc/cron.allow 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

9. /etc/cron.deny 파일이 존재하며 소유자가 root이고 권한은 640 이하인가?

#사유

 - cron이란 유닉스 계열 운영체제의 시간기반 작업 스케쥴러인데, 쉽게 말하면,

  "내일 오후 3시에 달력 켜줘" 같은 느낌이라고 보면 된다.

  이를 통해서 악의적인 사용자가 악성파일 등을 예약하여 실행할 수 있다.

#script 작성

 - 프로세스의 존재여부를 검사한다.

 - cron 명령어를 담당하는 /usr/bin/crontab 파일은 별도로 검사한다.

 - 체크리스트의 모든 파일들의 권한이 640 이상인지, 소유자가 root가 아닌지 각기 검사해 준다.

#실행 결과

 - 우분투 배포판에서는 cron.allow와 cron.deny가 없으면 root 권한이 아닌 사용자에게 일반 권한을 할당한다고 한다.(취약)

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

3.3 r 계열 서비스 비활성화

#판단기준

1. 불필요한 r계열(rsh, rlogin, rexec) 서비스 활성화 여부

#사유

 - r 서비스란 신뢰 관계에 있는 시스템들의 원격접속을 검증하지 않고 허용해주는 서비스이다.

#script 작성

 - ubuntu(unix)에서의 r 서비스는 `rsh-server`를 설치하면 rsh, rexec, rlogin이 모두 포함되어 설치되므로,

   `rsh-server`의 설치를 확인.

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-20(상) 

3.2 Anionymous FTP 비활성화

#판단기준

1. Anonymous FTP (익명의 ftp) 접속 차단 여부

#사유

 - 보통의 ftp는 사용자명과 패스워드를 입력해야 접속할 수 있는데,

   익명 ftp는 단순히 파일을 보거나 다운로드하기 위한 것이라 따로 부여된 사용자명과 패스워드가

   필요 없으므로, 악의적인 사용자가 접속할 수 있음.

#script 작성

1. passwd파일 내 ftp 계정이 존재하는지 검사.

2. /etc/vsftpd.con 파일에서 설정 `anonymous_enable` 여부 검사.(NO : 안전, YES : 취약)

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-19(상) 

3.1 Finger 서비스 비활성화

#판단기준

1. Finger 서비스가 활성화 되어 있는지의 여부

#사유

 - Finger 명령어는 옵션에 따라 네트워크를 통하여 연결되어 있는 다른 시스템에 등록된

  사용자들에 대한 자세한 정보도 보여주기 때문에 2차 피해를 유발할 수 있음.

#script 작성

  - /usr/bin 경로에 확정적으로 파일이 생기기 때문에 중복의 방지를 위하여 /usr/bin에서 finger 파일 유무 확인.

#실행 결과

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988

환경

 - Ubuntu 18.04.6 LTS

U-18(상)

2.14 접속 IP 및 포트 제한

#판단기준

1. iptables에 룰이 적용되어 있는가?

#script 작성

#실행결과

 - iptables 명령어에서 룰 부분만 잘라서 나오는 개수로 판단하였다.

출처 : https://krcert.or.kr/data/guideView.do?bulletin_writing_sequence=35988