겉바속촉
Unix 서버 3. 서비스 관리(1) 본문
주요정보통신기반시설_Unix 서버
3. 서비스 관리
사용환경
UBUNTU : 20.04
3.1 Finger 서비스 비활성화
양호 : Finger 서비스가 비활성화 되어 있는 경우
취약 : Finger 서비스가 활성화 되어 있는 경우
xinetd가 계속 등장해서 구냥 설치해버렸슴둥
이제 xinetd.conf 가 보이고 있습니다
확인해보니 다음과 같은 내용입니다
finger도 그냥 설치해봤습니다.
그리고 가이드대로 명령을 주었더니 다음과 같은데요
아무일도 일어나지 않았습니다.
하지만 finger 서비스가 활성화되어있다면 서비스를 중지시켜야겠쮸?
vi편집기로 /etc/xinetd.d/finger 파일에서 다음과 같이 disable = yes로 설정해줄 것
service finger
{
socket_type = stream
wait = no
user = nobody
server = /usr/sbin/in.fingerd
disable = yes
}그리고 나서 xinetd 서비스 재시작 --> service xinetd restart
***참고***
※ Finger(사용자 정보 확인 서비스): who 명령어가 현재 사용 중인 사용자들에 대한 간단한 정보만을 보여주는 데 반해 finger 명령은 옵션에 따른 시스템에 등록된 사용자뿐 만 아니라 네트워크를 통하여 연결되어 있는 다른 시스템에 등록된 사용자들에 대한 자세한 정보를 보여줌
3.2 Anonymous FTP 비활성화
양호 : Anonymous FTP (익명 ftp) 접속을 차단한 경우
취약 : Anonymous FTP (익명 ftp) 접속을 차단하지 않은 경우
***참고***
Anonymous FTP(익명 FTP): 파일 전송을 위해서는 원칙적으로 상대방 컴퓨터를 사용할 수 있는 계정이 필요하나 누구든지 계정 없이도 anonymous 또는 ftp라는 로그인 명과 임의의 비밀번호를 사용하여 FTP를 실행할 수 있기 떄문에 차단해야 합니다.
cat명령으로 passwd를 확인했을 떄 anonymous 계정이 존재한느 경우 취약합니다.
"passwd" 파일 내 ftp 계정이 존재하는 경우 아래의 보안설정방법에 따라 서비스 접속 제한시켜줍니다.
3.3 r 계열 서비스 비활성화
양호 : 불필요한 r 계열 서비스가 비활성화 되어 있는 경우
취약 : 불필요한 r 계열 서비스가 활성화 되어 있는 경우
rsh, rlogin, rexec 등의 r command를 이용하여 원격에서 인증절차 없이 터 미널 접속, 쉘 명령어를 실행이 가능하기 때문에 비활성화시켜줍니다.
rsh, rlogin, rexec (shell, login, exec) 서비스 구동 확인
#ls -alL /etc/xinetd.d/* | egrep "rsh|rlogin|rexec" | egrep -v "grep|klogin|kshell|kexec"
활성화되어 있다면
“/etc/xinetd.d/” 디렉터리 내 rlogin, rsh, rexec 파일을 열고 disable = yes 로 설정
***참고***
※ r-command: 인증 없이 관리자의 원격접속을 가능하게 하는 명령어들로 rsh(remsh), rlogin, rexec, rsync 등이 있음
3.4 crond 파일 소유자 및 권한 설정
양호 : crontab 명령어 일반사용자 금지 및 cron 관련 파일 640 이하인 경우
취약 : crontab 명령어 일반사용자 사용가능하거나, crond 관련 파일 640 이상인 경우
확인해보니 다음과 같습니다.
소유자는 root기 떄문에 권한을 640이하로 바꿔주었습니다.
***참고***
※ Cron 시스템: 특정 작업을 정해진 시간에 주기적이고 반복적으로 실행하기 위한 데몬 및 설정
※ cron.allow: 사용자 ID를 등록하면 등록된 사용자는 crontab 명령어 사용이 가능함
※ cron.deny: 사용자 ID를 등록하면 등록된 사용자는 crontab 명령어 사용이 불가능함
crontab <- 예약작업을 등록하는 파일
cron.hourly <- 시간단위 실행 스크립트 등록
cron.daily <- 일단위 실행 스크립트 등록
cron.weekly <- 주단위 실행 스크립트 등록
cron.monthly <- 월 단위 실행 스크립트 등록
cron.allow <- crontab 명령어 허용 사용자
cron.deny <- crontab 명령어 차단 사용자
3.5 DoS 공격에 취약한 서비스 비활성화
양호 : 사용하지 않는 DoS 공격에 취약한 서비스가 비활성화 된 경우
취약 : 사용하지 않는 DoS 공격에 취약한 서비스가 활성화 된 경우
해당 서비스가 활성화되어 있는 경우 시스템 정보 유출 및 DoS(서비스 거부 공격)의 대상이 될 수 있기 때문에 취약점이 많이 발표된 echo, discard, daytime, chargen, ntp, snmp 등 서비스를 중지시킵니다.
echo파일, daytime 파일 ...
disable = yes !!!
설정을 다시 해주었다면 xinetd 서비스 재시작시킬 것!!!
service xinetd restart
***참고***
※ DoS(Denial of Service attack): 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격. 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 바닥내는 등의 공격이 이 범위에 포함됨
3.6 NFS 서비스 비활성화
양호 : 불필요한 NFS 서비스 관련 데몬이 비활성화 되어 있는 경우
취약 : 불필요한 NFS 서비스 관련 데몬이 활성화 되어 있는 경우
NFS 서비스 데몬 확인 (NFS 동작 SID 확인)
NFS 서비스 데몬 중지
kill -9 [PID]
***참고***
***참고***
※ NFS(Network File System)
- 원격 컴퓨터의 파일시스템을 로컬 시스템에 마운트하여 마치 로컬 파일시스템처럼 사용할 수 있는 프로그램
- 한 서버의 파일을 많은 서비스 서버들이 공유하여 사용할 때 많이 이용되는 서비스이지만 이를 이용한 침해사고 위험성이 높으므로 사용하지 않는 경우 중지시켜야 함
3.7 NFS 접근 통제
양호 : 불필요한 NFS 서비스를 사용하지 않거나, 불가피하게 사용 시 everyone 공유를 제한한 경우
취약 : 불필요한 NFS 서비스를 사용하고 있고, everyone 공유를 제한하지 않은 경우
또 없다 없숴............
해보고 싶으니까 설치...........갈겨......
생겼다 생겼어
exports파일에다가 접근 가능한 호스트명 추가
접속시 인증 및 클라이언트 권한 nobody 설정
# vi /etc/export
# /stand host1 (root_squash)
※ () 옵션에 인증되지 않은 엑세스를 허용하는 “insecure" 구문 설정 금지
NFS 서비스 재구동
#/etc/exportfs –u
#/etc/exportfs –a
3.8 automountd 제거
양호 : automountd 서비스가 비활성화 되어 있는 경우
취약 : automountd 서비스가 활성화 되어 있는 경우
파일 시스템의 마운트 옵션을 변경하여 root 권한을 획득할 수 있으며, 로컬 공격자가 automountd 프로세스 권한으로 임의의 명령을 실행할 수 있기 때문에 비활성화시켜주어야 합니다.
***시행착오***
automount가 죽질 않아........
서비스 상태 확인해보면 automount가 없는 것 같은데...
ps명령 내리면 나오는 걸 보니 돌아가는 것 같은데......
아무리 다시 해봐도... 안되길래 pid말고 ppid 줬더니 죽어따...
근데 루트에서 나와졌다
와.............신기해
이게 바로 언마운트.......?╚(•⌂•)╝가 아니고 그냥 root를 죽인거 같다
껐다켜야지~ 후후 (✿◡‿◡)
***참고***
※ automountd: 클라이언트에서 자동으로 서버에 마운트를 시키고 일정 시간 사용하지 않으면 unmount 시켜 주는 기능을 말함
※ RPC(Remote Procedure Call): 별도의 원격 제어를 위한 코딩 없이 다른 주소 공간에서 함수나 프로시저를 실행할 수 있게 하는 프로세스 간 프로토콜
3.9 RPC 서비스 확인
양호 : 불필요한 RPC 서비스가 비활성화 되어 있는 경우
취약 : 불필요한 RPC 서비스가 활성화 되어 있는 경우
버퍼 오버플로우(Buffer Overflow), Dos, 원격실행 등의 취약성이 존재하는 RPC 서비스를 통해 비인가자의 root 권한 획득 및 침해사고 발생 위험이 있으므로 서비스를 중지하여야 합니다.
“/etc/xinetd.d" 디렉터리 내 서비스별 파일 비활성화 여부 확인을 위해 어떤 것들이 있는 지 먼저 살펴볼게요
저기서 TIME을 먼저 보도록 하겠습니다.
다음과 같이 disable = yes 인지 봐주세요.
아니라면 설정해주시고 나서 xinetd 서비스 재시작 하시면 됩니당
servie xinetd restart
3.10 NIS, NIS+ 점검
양호 : NIS 서비스가 비활성화 되어 있거나, 필요 시 NIS+를 사용하는 경우
취약 : NIS 서비스가 활성화 되어 있는 경우
NIS, NIS+ 서비스 구동 확인
있다면 NFS 서비스 데몬 중지 또는 시동 스크립트 삭제 또는 스크립트 이름 변경
***참고**
- NIS 주 서버는 정보표를 소유하여 NIS 대응 파일들로 변환하고, 이 대응 파일들이 네 트워크를 통해 제공됨으로써 모든 컴퓨터에 정보가 갱신되도록 함.
- 네트워크를 통한 공유로부터 관리자와 사용자들에게 일관성 있는 시스템 환경을 제공
- 보안상 취약한 서비스인 NIS를 사용하는 경우 비인가자가 타시스템의 root 권한 획득이 가능
- 사용하지 않는 것이 가장 바람직하나 만약 NIS를 사용해야 하는 경우 사용자 정보보안에 많은 문제점을 내포하고 있는 NIS보 다 NIS+를 사용하는 것을 권장
3.11 tftp, talk 서비스 비활성화
양호 : tftp, talk, ntalk 서비스가 비활성화 되어 있는 경우
취약 : tftp, talk, ntalk 서비스가 활성화 되어 있는 경우
시스템 운영에 불필요한 서비스 : tftp, talk, ntalk
tftp, talk, ntalk 서비스 활성화 여부 확인
vi /etc/xinetd.d/tftp
vi /etc/xinetd.d/talk
vi /etc/xinetd.d/ntalk
아래와 같이 설정 (Disable = yes 설정)
service tftp
{
socket_type = dgram
protocol = udp
wait = yes
user = root
server = /usr/sbin/in.tftpd
server_args = -s /tftpboot
disable = yes
}
xinetd 서비스 재시작
service xinetd restart
3.12 Sendmail 버전 점검
양호 : Sendmail 버전이 최신버전인 경우
취약 : Sendmail 버전이 최신버전이 아닌 경우
취약점이 발견된 Sendmail 버전의 경우 버퍼 오버플로우(Buffer Overflow) 공격에 의한 시스템 권한 획득 및 주요 정보 요출 가능성이 있어 sendmail 서비스 이용 여부를 점검해야합니다.
그런데 버전을 확인해보니
DDDDㅣ 용~ 왜 못 찾는 거쥬??
서비스가 돌지않으면 버전확인을 못하는 걸까.... 싶은데 그건 아닌 것 같은데
뭘까요오오오~~ 쿄쿄쿜쿄쿄ㅛ쿄쿄 ☜(゚ヮ゚☜)
'IT 일기 (상반기) > 주요정보통신기반시설' 카테고리의 다른 글
| Unix 서버 4. 패치 관리 5. 로그의 정기적 검토 및 보고 (2) | 2021.10.18 |
|---|---|
| Unix 서버 3. 서비스 관리(2) (0) | 2021.10.15 |
| Unix 서버 2. 파일 및 디렉터리 관리 (0) | 2021.10.14 |
| Unix 서버 1. 계정 관리 (0) | 2021.10.13 |
| Unix 서버 (0) | 2021.10.13 |
