내용 x
OS Security Checker
  • 인쇄
  • PDF
내용

OS Security Checker

  • 인쇄
  • PDF

Classic/VPC 환경에서 이용 가능합니다.

OS Security Checker 메뉴에서는 운영 체제(OS)의 보안 설정 점검 결과를 확인할 수 있습니다. 점검 상세 결과를 진단 리포트를 통해 확인하거나 PDF 또는 엑셀 파일로 다운로드할 수 있습니다. 또한, 적절한 보안 설정과 조치 방법을 확인할 수 있습니다.

참고

점검 결과를 확인하려면, 먼저 서버에서 보안 설정 점검을 실행해 주십시오. 점검 방법에 대한 자세한 내용은 OS 및 WAS 점검을 참고해 주십시오.

OS Security Checker 화면

System Security Checker 이용을 위한 OS Security Checker 메뉴의 기본적인 설명은 다음과 같습니다.
ssc-ossecuritychecker_screen_ko

영역 설명
① 메뉴명 현재 확인 중인 메뉴 이름, 조회 중인 검사 결과 수
② 기본 기능
  • 서비스 이용 신청 및 해제(System Security Checker 시작 참고)
  • 점검 방법 확인
  • WAS Security Checker 사용 가이드 확인
  • System Security Checker 상세 정보 확인
  • 페이지 새로 고침
    		•
    ③ 검색 영역 점검 일시를 기준으로 필터링하거나 서버 이름으로 검색하여 점검 결과 조회
    Excel 버튼을 클릭하여 점검 결과를 엑셀 파일로 다운로드
    ⑤ 점검 결과 목록 조회 중인 WAS 보안 설정 점검 결과 목록

    점검 결과 확인

    서버의 OS 보안 설정 점검 결과를 확인하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔에서 Services > Security > System Security Checker 메뉴를 차례대로 클릭해 주십시오.
    2. OS Security Checker 메뉴를 클릭해 주십시오.
    3. 점검 결과를 확인해 주십시오.
      • 점검 일시를 기준으로 필터링하거나 서버 이름을 입력하여 원하는 결과를 검색할 수 있습니다.
      • Region: 서버가 존재하는 리전
      • server 이름: 점검한 서버 이름, 클릭하여 해당 점검의 상세 결과 및 조치 방법 확인(상세 결과 및 조치 방법 확인 참고)
      • InstanceNo: 서버 고유 번호
      • Check list: 점검 유형 표시
        • Linux, Windows: Linux 또는 Windows 서버의 OS를 점검한 경우
        • finance: 금융보안원 전자금융기반시설 기준으로 Linux 보안 설정을 점검한 경우
      • 점검 일시: 점검 실행 일시
      • OS version: 점검한 서버의 OS 버전
      • 취약/전체 항목: 점검 결과가 Bad인 점검 항목 수/전체 점검 항목 수
      • Critical, Major, Minor: 해당 위험도의 점검 항목 중 점검 결과가 Bad인 항목 수
      • Report view: [리포트] 버튼을 클릭하여 해당 검사 결과 전체를 진단 리포트로 확인 및 PDF 파일로 다운로드

    상세 결과 및 조치 방법 확인

    OS 보안 설정 점검의 상세 결과와 점검 항목에 대한 설명, 조치 방법을 확인하고 진단 리포트를 다운로드하는 방법은 다음과 같습니다.

    1. 네이버 클라우드 플랫폼 콘솔에서 Services > Security > System Security Checker 메뉴를 차례대로 클릭해 주십시오.
    2. OS Security Checker 메뉴를 클릭해 주십시오.
    3. 상세 결과를 확인할 점검 서버의 이름을 클릭해 주십시오.
    4. 상세 결과 및 조치 팝업 창이 나타나면 점검 세부 항목과 결과를 확인해 주십시오.
      • 각 점검 항목을 클릭하여 점검 항목에 대한 설명, 권고 설정 및 판단 기준, 조치 방법 확인
      • 위험도점검결과를 선택하고 [검색] 버튼을 클릭하여 점검 항목 필터링
      • [리포트] 버튼을 클릭하여 조회 중인 결과를 진단 리포트로 확인 및 PDF 파일로 다운로드
      • [Excel] 버튼을 클릭하여 조회 중인 결과를 엑셀 파일로 다운로드

    OS 보안 설정 점검 항목

    서버의 운영 체제에 따른 OS 보안 설정 점검 항목을 확인해 주십시오.

    참고

    점검 항목에 대한 자세한 설명과 권장 설정, 조치 방법은 네이버 클라우드 플랫폼 콘솔의 상세 결과 및 조치 팝업 창에서 확인할 수 있습니다.(상세 결과 및 조치 방법 확인 참고)

    Linux 점검 항목

    Linux 보안 설정 점검 항목과 그에 대한 설명은 다음과 같습니다.

    Check ID 점검 항목 점검 항목 설명
    U-01 root 계정 원격 접속 제한 root 계정의 원격 접속 차단 설정 여부를 점검하여 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하는지 점검
  • 사용자는 별도의 사용자 계정으로 로그인한 뒤 su 명령을 이용하여 root 권한으로 변경 후 작업 권장
    		•
    U-02 패스워드 복잡성 설정 시스템 정책에 사용자 계정(root 및 일반 계정 모두 해당) 비밀번호 복잡성 관련 설정이 되어 있는지 점검
    U-03 계정 잠금 임계값 설정 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검
    U-04 패스워드 파일 보호 시스템의 사용자 계정 정보가 저장된 /etc/passwd 파일에 사용자 계정 비밀번호가 암호화되어 저장되어 있는지 점검
    U-05 root 홈 패스 디렉터리 권한 및 패스 설정 root 계정의 PATH 환경 변수에 "."(현재 디렉터리 지칭)가 포함되어 있는지 점검
    U-06 파일 및 디렉터리 소유자 설정 소유자가 존재하지 않는 파일 및 디렉터리가 존재하는지 점검
    U-07 /etc/passwd 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/passwd: 사용자의 ID, 비밀번호(보안상 "x"로 표시), UID, GID, 홈 디렉터리, 쉘 정보를 담고 있는 파일
    		•
    U-08 /etc/shadow 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/shadow: 시스템에 등록된 모든 계정의 비밀번호를 암호화된 형태로 저장 및 관리하는 파일
    		•
    U-09 /etc/hosts 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/hosts: IP 주소와 호스트 네임을 매핑하기 위해 사용되는 파일
    		•
    U-10 /etc/(x)inetd.conf 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/(x)inetd.conf: 인터넷 슈퍼데몬의 서비스 설정 파일
    		•
    U-11 /etc/syslog.conf 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/syslog.conf: 시스템 운영 중 발생하는 주요 로그 기록을 설정하는 파일
    		•
    U-12 /etc/services 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/services: 서비스 관리를 위해 사용하는 파일
    		•
    U-13 SUID,SGID,Stick bit 설정 파일 점검 파일에 불필요한 SUID, SGID 속성 제거
  • SUID(Set User-ID): 설정된 파일 실행 시, 특정 작업을 수행할 수 있도록 일시적으로 파일 소유자의 권한을 얻게 됨
  • SGID(Set Group-ID): 설정된 파일 실행 시, 특정 작업을 수행할 수 있도록 일시적으로 파일 소유 그룹의 권한을 얻게 됨
    		•
    U-14 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 홈 디렉터리 내의 사용자 파일 및 사용자별 시스템 시작 파일 등과 같은 환경 변수 파일의 접근 권한 제한
  • 환경 변수 파일 종류 : ".profile", ".kshrc", ".cshrc", ".bashrc", ".bash_profile", ".login", ".exrc", ".netrc" 등
    		•
    U-15 world writable 파일 점검 불필요한 world writable 파일 존재 여부 점검
  • world writable: 모든 사용자에 대해 파일의 내용을 쓰기 허용
    		•
    U-16 /dev에 존재하지 않는 device 파일 점검 실제 존재하지 않는 디바이스 파일 존재 여부 점검
    U-17 $HOME/.rhosts, hosts.equiv 사용 금지 rlogin, rsh, rexec 등과 같은 r command 권한 제한
  • r command: 인증 없이 관리자의 원격 접속이 가능한 명령어
    		•
    U-18 접속 IP 및 포트 제한 제한된 호스트만이 서비스를 사용할 수 있도록 설정하여 외부 공격을 사전에 방지
  • 관련 설정 파일 : hosts.allow, hosts.deny
    		•
    U-19 finger 서비스 비활성화 비인가자에게 사용자 정보가 조회되는 것을 방지하기 위해 Finger 서비스 비활성화
  • Finger(사용자 정보 확인 서비스): 네트워크 외부에서 해당 시스템에 등록된 사용자 정보 확인 가능
    		•
    U-20 Anonymous FTP 비활성화 Anonymous FTP 접속을 차단하여 권한이 없는 사용자의 FTP 사용을 제한
  • Anonymous FTP(익명 FTP): 누구든지 anonymous 또는 ftp라는 로그인명과 임의의 비밀번호를 사용하여 FTP 실행 가능
    		•
    U-21 r 계열 서비스 비활성화 rlogin, rsh, rexec 등과 같은 r command 비활성화
  • r command: 인증 없이 관리자의 원격 접속이 가능한 명령어
    		•
    U-22 cron 파일 소유자 및 권한설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/cron.allow, /etc/cron.deny: 등록한 사용자의 crontab 명령어 사용을 허용 또는 차단하는 파일
    		•
    U-23 Dos 공격에 취약한 서비스 비활성화 사용하지 않는 DoS 공격 등에 취약한 서비스 비활성화
  • 사용 금지 권고 대상 서비스: echo, discard, daytime, chargen
    		•
    U-24 NFS 서비스 비활성화 NFS 서비스 비활성화
  • NFS(Network File System): 원격 컴퓨터의 파일 시스템을 로컬 시스템에 마운트하여 사용할 수 있게 하는 서비스
  • 불가피하게 사용해야 할 경우, U-25 항목에 따라 관리
    		•
    U-25 NFS 접근 통제 NFS 사용 시 허가된 사용자만 접근할 수 있도록 제한
  • NFS(Network File System): 원격 컴퓨터의 파일 시스템을 로컬 시스템에 마운트하여 사용할 수 있게 하는 서비스
    		•
    U-26 automountd 제거 로컬 공격자가 automountd를 이용하여 RPC(Remote Procedure Call)를 보낼 수 있는 취약점이 존재하기 때문에 서비스 중지
  • automountd: 클라이언트에서 자동으로 서버에 마운트하고 일정 시간 사용하지 않으면 언마운트하는 기능 제공
    		•
    U-27 RPC 서비스 확인 일부 RPC 서비스는 원격 실행 등의 취약점을 가지고 있으므로 서비스 비활성화
  • RPC(Remote Procedure Call): 별도의 원격 제어를 위한 코딩 없이 다른 주소 공간에서 함수나 프로시저를 실행할 수 있게 하는 프로세스 간의 프로토콜
  • 사용 금지 권고 RPC 서비스: rpc.cmsd, rpc.ttdbserverd, sadmind, rusersd, walld, sprayd, rstatd, rpc.nisd, rexd, rpc.pcnfsd, rpc.statd, rpc.ypupdated, rpc.rquotad, kcms_server, cachefsd
    		•
    U-28 NIS , NIS+ 점검 NIS 서비스는 가급적 사용하지 않아야 하며, 필요한 경우에는 NIS+를 사용
  • NIS(Network Information Service): 동일한 도메인에 위치한 컴퓨터에 사용자명, 비밀번호와 다른 기밀 정보를 배포
    		•
    U-29 tftp, talk 서비스 비활성화 tftp, talk, ntalk 서비스는 보안상 취약하므로 비활성화
    U-30 Sendmail 버전 점검 대부분의 버전에서 많은 취약점이 보고되므로 불필요할 경우 사용 중지
  • 사용이 필요하다면 최신 버전 사용
    		•
    U-31 스팸 메일 릴레이 제한 SMTP 서버의 릴레이 기능 제한
    U-32 일반사용자의 Sendmail 실행 방지 SMTP 서비스 제공 시 일반 사용자는 q 옵션을 사용할 수 없도록 제한
  • q 옵션을 사용하면, sendmail 설정을 임의로 변경하거나 메일 큐를 강제로 drop 할 수 있음
    		•
    U-33 DNS 보안 버전 패치 BIND 사용 시 최신 버전 사용
  • BIND(Berkeley Internet Name Domain): BSD 기반의 유닉스 시스템을 위해 설계된 DNS로 서버와 resolver 라이브러리로 구성
    		•
    U-34 DNS Zone Transfer 설정 Zone 정보를 Secondary Name Server로만 전송하도록 제한
  • DNS Zone Transfer: Primary Name Server와 Secondary Name Server 간에 Zone 정보를 일관성 있게 유지하기 위하여 사용하는 기능
    		•
    U-35 Apache 디렉토리 리스팅 제거 디렉터리 검색 기능 비활성화
  • 디렉터리 검색(Directory Listing): 디렉터리에 기본 문서가 존재하지 않을 경우, 디렉터리 내 모든 파일의 목록을 보여주는 기능
    		•
    U-36 Apache 웹 프로세스 권한 제한 Apache는 root 권한이 아닌 별도의 권한으로 실행
    U-37 Apache 상위 디렉토리 접근 금지 AllowOverride 옵션에서 상위 디렉터리로 이동하는 것을 제한
    U-38 Apache 불필요한 파일 제거 Apache 설치 시 기본으로 생성되는 불필요한 파일을 삭제하였는지 점검
  • 기본 생성 파일: /[Apache_home]/htdocs/manual, /[Apache_home]/manual
    		•
    U-39 Apache 링크 사용 금지 심볼릭 링크(Symbolic link)의 사용 제한
    U-40 Apache 파일 업로드 및 다운로드 제한 원칙적으로 파일 업로드 및 다운로드를 금지하고, 불가피하게 필요시 용량 크기를 제한
    U-41 Apache 웹 서비스 영역의 분리 DocumentRoot를 기본 설정(htdocs 디렉터리)이 아닌 별도의 경로로 변경
    U-42 최신 보안패치 및 벤더 권고사항 적용 주기적인 보안 패치를 통해 시스템이 안전하게 관리되는지 확인
    U-43 로그의 정기적 검토 및 보고 정기적인 로그 점검을 통해 안정적인 시스템 상태를 유지하고 있는지 확인
    U-44 root 이외의 UID가 '0' 금지 root 계정 외에 UID 값이 0인 계정(root와 권한이 동일)이 존재하는지 점검
    U-45 root 계정 su 제한
  • 시스템 사용자 계정 그룹 설정 파일(/etc/group)에 su 관련 그룹이 존재하는지 점검
  • su 명령어가 su 관련 그룹에서만 허용되도록 설정되어 있는지 점검
    		•
    U-46 패스워드 최소 길이 설정 최소 비밀번호 길이를 8자 이상으로 설정
    U-47 패스워드 최대 사용 기간 설정 주기적으로 비밀번호를 변경할 수 있도록 최대 사용 기간을 적절하게 제한
    U-48 패스워드 최소 사용기간 설정 비밀번호를 변경할 수 있기 전까지 경과해야 하는 최소 날짜를 설정
    U-49 불필요한 계정 제거
  • 시스템 계정 중 불필요한 계정이 존재하는지 점검
  • 다음 기본 계정 삭제: adm, lp, sync, shutdown, halt, news, uucp, operator, games, gopher, nfsnobody, squid
    		•
    U-50 관리자 그룹에 최소한의 계정 포함 시스템 관리자 그룹에 최소한의 계정만 존재하는지 점검
    U-51 계정이 존재하지 않는 GID 금지 그룹 설정 파일에 불필요한 그룹(계정이 존재하지 않고 시스템 관리나 운용에 사용되지 않는 그룹, 계정이 존재하고 시스템 관리나 운용에 사용되지 않는 그룹 등)이 존재하는지 점검
    U-52 동일한 UID 금지 UID가 동일한 사용자 계정 존재 여부 점검
    U-53 사용자 shell 점검 로그인이 필요하지 않은 계정에 /bin/false 쉘을 부여해 로그인 제한
    U-54 Session Timeout 설정 일정 시간 동안 어떠한 이벤트도 발생하지 않으면 연결을 강제 종료하도록 Session Timeout 설정
    U-55 hosts.lpd 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/hosts.lpd: 로컬 프린트 서비스를 사용할 수 있는 허가된 호스트(사용자) 정보를 담고 있는 파일
    		•
    U-56 NIS 서비스 비활성화 스니핑 등의 공격에 의한 정보 노출 위험이 높기 때문에 사용하지 않는 것을 권장
  • NIS(Network Information Service): 동일한 도메인에 위치한 컴퓨터에 사용자명, 비밀번호와 다른 기밀 정보를 배포
    		•
    U-57 UMASK 설정 관리 UMASK 값이 적절한지 점검
  • UMASK 값: 시스템 내에서 사용자가 새로 생성하는 파일의 접근 권한을 지정
    		•
    U-58 홈디렉토리 소유자 및 권한 설정 사용자 홈 디렉터리의 소유자 이외의 일반 사용자들이 해당 홈 디렉터리를 수정할 수 없도록 제한
    U-59 홈디렉토리로 지정한 디렉토리의 존재 관리 사용자 계정과 홈 디렉터리의 일치 여부를 점검
    U-60 숨겨진 파일 및 디렉토리 검색 및 제거 숨김 파일 및 디렉터리 내 의심스러운 파일 존재 여부 점검
    U-61 ssh 원격접속 허용 원격 접속 시 사용자와 시스템과의 모든 통신을 암호화하는 SSH(Secure Shell) 서비스 사용
  • SSH 사용 시 사용 포트를 기본 포트(TCP/22번 포트)에서 변경하는 것을 권장
    		•
    U-62 ftp 서비스 확인 FTP 서비스 활성화 여부 점검
    U-63 ftp 계정 shell 제한 FTP 서비스 설치 시 기본으로 생성되는 ftp 계정에 /bin/false 쉘을 부여하여 해당 계정으로의 시스템 접근을 차단
    U-64 Ftpusers 파일 소유자 및 권한 설정 중요 파일의 소유자 및 권한 설정
  • ftpusers 파일: FTP 접근제어 설정 파일로써 해당 파일에 등록된 계정은 FTP에 접속할 수 없음
    		•
    U-65 Ftpusers 파일 설정
  • FTP 서비스 비활성화 권장
  • 불가피하게 FTP 서비스를 사용하는 경우, ftpusers 파일을 설정하여 root 계정의 직접 접속 제한
  • ftpusers 파일: FTP 접근제어 설정 파일로써 해당 파일에 등록된 계정은 FTP에 접속할 수 없음
    		•
    U-66 at 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/at.deny, /etc/at.allow: 등록한 사용자의 at 명령어 사용을 허용 또는 차단하는 파일
    		•
    U-67 SNMP 서비스 구동 점검 불필요한 SNMP 서비스 사용 중지
    U-68 SNMP 서비스 커뮤니티스트링의 복잡성 설정 커뮤니티 스트링을 유추할 수 없는 값으로 변경
  • 커뮤니티 스트링: SNMP에서 인증 과정에 사용하는 일종의 비밀번호
    		•
    U-69 로그온 시 경고 메시지 제공 서버 및 서비스에 로그온 시 불필요한 정보 차단 설정 및 불법적인 사용에 대한 경고 메시지 출력
    U-70 NFS설정파일접근권한 NFS 접근 제어 설정 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검
    U-71 expn, vrfy 명령어 제한 불가피하게 SMTP를 사용하는 경우, Sendmail Abuse를 방지하기 위해 Sendmail의 기본 서비스인 VRFY, EXPN을 사용할 수 없도록 제한
  • VRFY: SMTP 클라이언트가 SMTP 서버에 특정 아이디에 대한 메일이 있는지 검증하기 위해 보내는 명령어
  • EXPN(메일링 리스트 확장): 메일 전송 시 포워딩하기 위한 명령어
    		•
    U-72 Apache 웹서비스 정보 숨김 웹 페이지의 오류 발생 시 지나치게 자세한 메시지가 노출되지 않도록 설정
    U-73 정책에 따른 시스템 로깅 설정 내부 정책에 따른 시스템 로깅 설정 적용 여부 점검

    Linux 점검 항목(금융보안원 전자금융기반시설 기준)

    금융보안원 전자금융기반시설 기준의 Linux 보안 설정 점검 항목과 그에 대한 설명은 다음과 같습니다.

    Check ID 점검항목 점검 항목 설명
    SRV-001 SNMP 서비스 커뮤니티스트링의 복잡성 설정 커뮤니티 스트링을 유추할 수 없는 값으로 변경
  • 커뮤니티 스트링: SNMP에서 인증 과정에 사용하는 일종의 비밀번호
    		•
    SRV-004 불필요한 SMTP 서비스 실행 여부 불필요한 SMTP 서비스가 가동되는지 점검
    SRV-005 expn, vrfy 명령어 제한 불가피하게 SMTP를 사용하는 경우, Sendmail Abuse를 방지하기 위해 Sendmail의 기본 서비스인 VRFY, EXPN을 사용할 수 없도록 제한
  • VRFY: SMTP 클라이언트가 SMTP 서버에 특정 아이디에 대한 메일이 있는지 검증하기 위해 보내는 명령어
  • EXPN(메일링 리스트 확장): 메일 전송 시 포워딩하기 위한 명령어
    		•
    SRV-006 Sendmail Log Level 미설정 서비스 가용성 확보 및 지속적인 보안 취약점에 대한 모니터링을 위해 Sendmail loglevel 설정의 적절성 점검
    SRV-007 Sendmail 버전 점검 Sendmail 서비스가 불필요할 경우 사용하지 않는 것을 권장, 사용이 필요하다면 최신 버전을 사용
    SRV-008 Sendmail 서비스 거부 방지 기능 설정 점검 네트워크 회선 용량 및 서버 처리 용량 초과로 인한 메일 서비스 거부 및 시스템 다운을 방지하기 위해 보안 설정의 적정성 점검
    SRV-009 스팸 메일 릴레이 제한 SMTP 서버의 릴레이 기능 제한
    SRV-010 일반사용자의 Sendmail 실행 방지 SMTP 서비스 제공 시 일반 사용자는 q 옵션을 사용할 수 없도록 제한
  • q 옵션을 사용하면, sendmail 설정을 임의로 변경하거나 메일 큐를 강제로 drop 할 수 있음
    		•
    SRV-011 ftpusers 파일 내 시스템 계정 존재 여부 ftpusers 파일 안에 적절한 시스템 계정을 설정
  • ftpusers 파일: FTP 접근 제어 설정 파일로써 해당 파일에 등록된 계정은 ftp에 접속할 수 없음
    		•
    SRV-012 .netrc 파일 내 호스트 정보 노출 .netrc 파일은 FTP 접근 IP와 비밀번호를 평문으로 보관하여 보안에 취약하므로 적절한 권한 설정이 되어 있는지 점검
  • .netrc 파일: ftp에서 자동으로 파일 송/수신을 위해 사용
    		•
    SRV-013 Anonymous FTP 비활성화 Anonymous FTP 접속을 차단하여 권한이 없는 사용자의 FTP 사용을 제한
  • Anonymous FTP(익명 FTP): 누구든지 anonymous 또는 ftp라는 로그인 명과 임의의 비밀번호를 사용하여 FTP 실행 가능
    		•
    SRV-014 NFS 접근 통제 NFS 사용 시 허가된 사용자만 접근할 수 있도록 제한
  • NFS(Network File System): 원격 컴퓨터의 파일 시스템을 로컬 시스템에 마운트하여 사용할 수 있게 하는 서비스
    		•
    SRV-015 NFS 서비스 비활성화 NFS 서비스 비활성화
  • NFS(Network File System): 원격 컴퓨터의 파일 시스템을 로컬 시스템에 마운트하여 사용할 수 있게 하는 서비스
  • 불가피하게 사용해야 할 경우, SRV-014 항목에 따라 관리
    		•
    SRV-016 RPC 서비스 확인 일부 RPC 서비스는 원격 실행 등의 취약점을 가지고 있어서 사용하지 않는 것을 권고
  • RPC(Remote Procedure Call): 별도의 원격 제어를 위한 코딩 없이 다른 주소 공간에서 함수나 프로시저를 실행할 수 있게 하는 프로세스 간의 프로토콜
  • 사용 금지 권고 RPC 서비스 : rpc.cmsd, rpc.ttdbserverd, sadmind, rusersd, walld, sprayd, rstatd, rpc.nisd, rexd, rpc.pcnfsd, rpc.statd, rpc.ypupdated, rpc.rquotad, kcms_server, cachefsd
    		•
    SRV-017 automountd 제거 로컬 공격자가 automountd를 이용하여 RPC(Remote Procedure Call)를 보낼 수 있는 취약점이 존재하기 때문에 서비스 중지
  • automountd: 클라이언트에서 자동으로 서버에 마운트하고 일정 시간 사용하지 않으면 언마운트하는 기능 제공
    		•
    SRV-019 tftp, talk 서비스 비활성화 tftp, talk, ntalk 서비스는 보안상 취약하므로 비활성화
    SRV-025 $HOME/.rhosts, hosts.equiv 사용 금지 rlogin, rsh, rexec 등과 같은 r command 권한 제한
  • r command: 인증 없이 관리자의 원격 접속이 가능한 명령어
    		•
    SRV-026 root 계정 원격 접속 제한 root 계정의 원격 접속 차단 설정 여부를 점검하여 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하는지 점검
  • 사용자는 별도의 사용자 계정으로 로그인한 뒤 su 명령을 이용하여 root 권한으로 변경 후 작업 권장
    		•
    SRV-027 접속 IP 및 포트 제한 제한된 호스트만이 서비스를 사용할 수 있도록 설정하여 외부 공격을 사전에 방지
  • 관련 설정 파일 : hosts.allow, hosts.deny
    		•
    SRV-030 finger 서비스 비활성화 비인가자에게 사용자 정보가 조회되는 것을 방지하기 위해 Finger 서비스 비활성화
  • Finger(사용자 정보 확인 서비스): 네트워크 외부에서 해당 시스템에 등록된 사용자 정보 확인 가능
    		•
    SRV-035 r 계열 서비스 비활성화 rlogin, rsh, rexec 등과 같은 r command 비활성화
  • r command: 인증 없이 관리자의 원격 접속이 가능한 명령어
    		•
    SRV-036 Dos 공격에 취약한 서비스 비활성화 사용하지 않는 DoS 공격 등에 취약한 서비스 비활성화
  • 사용 금지 권고 대상 서비스: echo, discard, daytime, chargen
    		•
    SRV-039 불필요한 Tmax WebtoB 서비스 구동 여부 불필요한 Tmax WebtoB 서비스 구동 여부 점검
    SRV-040 Apache 디렉토리 리스팅 제거 디렉터리 검색 기능 비활성화
  • 디렉터리 검색(Directory Listing): 디렉터리에 기본 문서가 존재하지 않을 경우, 디렉터리 내 모든 파일의 목록을 보여주는 기능
    		•
    SRV-042 Apache 상위 디렉토리 접근 금지 AllowOverride 옵션에서 상위 디렉터리로 이동하는 것을 제한
    SRV-043 Apache 불필요한 파일 제거 Apache 설치 시 기본으로 생성되는 불필요한 파일을 삭제하였는지 점검
  • 기본 생성 파일 : /[Apache_home]/htdocs/manual, /[Apache_home]/manual
    		•
    SRV-044 Apache 파일 업로드 및 다운로드 제한 원칙적으로 파일 업로드 및 다운로드를 금지하고, 불가피하게 필요시 용량 크기를 제한
    SRV-045 Apache 웹 프로세스 권한 제한 Apache는 root 권한이 아닌 별도의 권한으로 실행
    SRV-046 Apache 웹 서비스 영역의 분리 DocumentRoot를 기본 설정(htdocs 디렉터리)이 아닌 별도의 경로로 변경
    SRV-047 Apache 링크 사용 금지 심볼릭 링크(Symbolic link)의 사용 제한
    SRV-060 Tomcat 기본 계정 사용 여부 Tomcat이 설치될 때 기본적으로 설정되는 계정에 대하여 적절한 보안 설정이 되었는지 점검
    SRV-061 DNS Inverse Query 설정 오류 Inverse Query 취약점 대응을 위한 적절한 보안 설정을 하였는지 점검
    SRV-062 BIND 서버 버전 노출 여부 BIND 서버의 버전 정보가 외부 노출되지 않도록 제한
    SRV-063 DNS Recursive Query 설정 미흡 공격자가 Spoofed IP(Victim) 주소로 다량의 DNS 요청을 보내는 공격 위협에 대응 가능한 보안 설정
    SRV-064 DNS 보안 버전 패치 BIND 사용 시 최신 버전 사용
  • BIND(Berkeley Internet Name Domain): BSD 기반의 유닉스 시스템을 위해 설계된 DNS로 서버와 resolver 라이브러리로 구성
    		•
    SRV-065 NIS , NIS+ 점검 NIS 서비스는 가급적 사용하지 않아야 하며, 필요한 경우에는 NIS+를 사용
  • NIS(Network Information Service): 동일한 도메인에 위치한 컴퓨터에 사용자명, 비밀번호와 다른 기밀 정보를 배포
    		•
    SRV-066 DNS Zone Transfer 설정 Zone 정보를 Secondary Name Server로만 전송하도록 제한
  • DNS Zone Transfer: Primary Name Server와 Secondary Name Server 간에 Zone 정보를 일관성 있게 유지하기 위하여 사용하는 기능
    		•
    SRV-068 계정에 대한 비밀번호 미설정 각 계정에 적절한 비밀번호가 설정되어 있는지 점검
    SRV-070 패스워드 파일 보호 사용자 계정의 비밀번호가 암호화되어 저장되는지 점검
    SRV-073 관리자 그룹에 최소한의 계정 포함 시스템 관리자 그룹에 최소한(root 계정과 시스템 관리에 허용된 계정)의 계정만 존재하는지 점검
    SRV-074 패스워드 최대 사용 기간 설정 주기적으로 비밀번호를 변경할 수 있도록 최대 사용 기간을 적절하게 제한
    SRV-076 패스워드 복잡성 설정 시스템 정책에 사용자 계정(root 및 일반 계정 모두 해당) 비밀번호 복잡성 관련 설정이 되어 있는지 점검
    SRV-081 Crontab 설정파일 권한 설정 오류 Crontab의 작업 설정 파일에 적절할 권한이 부여되어 있는지 점검
  • Crontab: 주기적인 작업이 필요할 때 사용하는 파일
    		•
    SRV-082 시스템 디렉토리 권한설정 미비 시스템 주요 디렉터리에 대한 권한의 적절성 여부 점검
    SRV-083 시스템 스타트업 스크립트 권한 설정 오류 시스템 스타트업 스크립트의 소유권 및 권한 설정의 적절성 여부 점검
    SRV-084 /etc/passwd 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/passwd: 사용자의 ID, 비밀번호(보안상 "x"로 표시), UID, GID, 홈 디렉터리, 쉘 정보를 담고 있는 파일
    		•
    SRV-085 /etc/shadow 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/shadow: 시스템에 등록된 모든 계정의 비밀번호를 암호화된 형태로 저장 및 관리하고 있는 파일
    		•
    SRV-086 /etc/hosts 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/hosts: IP 주소와 호스트 네임을 매핑하기 위해 사용되는 파일
    		•
    SRV-087 C 컴파일러 존재 및 권한 설정 오류 시스템에 C 컴파일러 존재 여부 및 이용의 적절성 여부를 점검
    SRV-088 /etc/(x)inetd.conf 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/(x)inetd.conf: 인터넷 슈퍼데몬의 서비스 설정 파일
    		•
    SRV-089 /etc/syslog.conf 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/syslog.conf: 시스템 운영 중 발생하는 주요 로그 기록을 설정하는 파일
    		•
    SRV-091 SUID,SGID,Stick bit 설정 파일 점검 파일에 불필요한 SUID, SGID 속성 제거
  • SUID(Set User-ID): 설정된 파일 실행 시, 특정 작업 수행을 위하여 일시적으로 파일 소유자의 권한을 얻게 됨
  • SGID(Set Group-ID): 설정된 파일 실행 시, 특정 작업 수행을 위하여 일시적으로 파일 소유 그룹의 권한을 얻게 됨
    		•
    SRV-092 홈디렉토리 소유자 및 권한 설정 사용자 홈 디렉터리의 소유자 이외의 일반 사용자들이 해당 홈 디렉터리를 수정할 수 없도록 제한
    SRV-093 world writable 파일 점검 불필요한 world writable 파일 존재 여부 점검
  • world writable: 모든 사용자에 대해 파일의 내용을 쓰기 허용
    		•
    SRV-094 Crontab 참조파일 권한 설정 오류 Crontab과 관련된 파일의 보안 설정이 적절한지 점검
    SRV-095 파일 및 디렉터리 소유자 설정 소유자가 존재하지 않는 파일 및 디렉터리가 존재하는지 점검
    SRV-096 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정 홈 디렉터리 내의 사용자 파일 및 사용자별 시스템 시작 파일 등과 같은 환경 변수 파일의 접근 권한 제한
  • 환경 변수 파일 종류 : ".profile", ".kshrc", ".cshrc", ".bashrc", ".bash_profile", ".login", ".exrc", ".netrc" 등
    		•
    SRV-099 /etc/services 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/services: 서비스 관리를 위해 사용하는 파일
    		•
    SRV-100 xterm 실행 파일 권한 설정 xfs 관련 파일에 대한 권한 설정
  • xterm 실행파일의 권한을 750 이하로 설정 권장
    		•
    SRV-106 hosts.lpd 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/hosts.lpd: 로컬 프린트 서비스를 사용할 수 있는 허가된 호스트(사용자) 정보를 담고 있는 파일
    		•
    SRV-107 at 파일 소유자 및 권한 설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/at.deny, /etc/at.allow: 등록한 사용자의 at 명령어 사용을 허용 또는 차단하는 파일
    		•
    SRV-108 과도한 시스템 로그파일 권한 설정 로그파일 권한 설정의 적절성 점검
    SRV-115 로그의 정기적 검토 및 보고 정기적인 로그 점검을 통해 안정적인 시스템 상태를 유지하고 있는지 확인
    SRV-118 최신 보안패치 및 벤더 권고사항 적용 주기적인 보안 패치를 통해 시스템이 안전하게 관리되는지 확인
    SRV-121 root 홈 패스 디렉터리 권한 및 패스 설정 root 계정의 PATH 환경 변수에 "."(현재 디렉터리 지칭)가 포함되어 있는지 점검
    SRV-122 UMASK 설정 관리 UMASK 값이 적절한지 점검
  • UMASK 값: 시스템 내에서 사용자가 새로 생성하는 파일의 접근 권한을 지정
    		•
    SRV-127 계정 잠금 임계값 설정 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검
    SRV-130 디폴트 UMASK 설정 오류 UMASK 값이 적절한지 점검
  • UMASK 값: 시스템 내에서 사용자가 새로 생성하는 파일의 접근 권한을 지정
    		•
    SRV-131 root 계정 su 제한
  • 시스템 사용자 계정 그룹 설정 파일(/etc/group)에 su 관련 그룹이 존재하는지 점검
  • su 명령어가 su 관련 그룹에서만 허용되도록 설정되어 있는지 점검
    		•
    SRV-132 cron 파일 소유자 및 권한설정 중요 시스템 파일의 소유자 및 권한 설정
  • /etc/cron.allow, /etc/cron.deny: 등록한 사용자의 crontab 명령어 사용을 허용 또는 차단하는 파일
    		•
    SRV-133 cron 파일 내 계정 미존재 cron 파일 내 적절한 계정 설정이 되어 있는지 점검
    SRV-142 root 이외의 UID가 '0' 금지 root 계정 외에 UID 값이 0인 계정(root와 권한이 동일)이 존재하는지 점검
    SRV-143 동일한 UID 금지 UID가 동일한 사용자 계정 존재 여부 점검
    SRV-144 /dev에 존재하지 않는 device 파일 점검 실제 존재하지 않는 디바이스 파일 존재 여부 점검
    SRV-145 홈디렉토리로 지정한 디렉토리의 존재 관리 사용자 계정과 홈 디렉터리의 일치 여부를 점검
    SRV-146 ftp 계정 shell 제한 FTP 서비스 설치 시 기본으로 생성되는 ftp 계정에 /bin/false 쉘을 부여하여 해당 계정으로의 시스템 접근을 차단
    SRV-147 SNMP 서비스 구동 점검 불필요한 SNMP 서비스 사용 중지
    SRV-148 Apache 웹서비스 정보 숨김 웹 페이지의 오류 발생 시 지나치게 자세한 메시지가 노출되지 않도록 설정
    SRV-158 불필요한 TELNET 서비스 구동 여부 Telnet 서비스 사용 여부 점검
    SRV-159 Session Timeout 설정 일정 시간 동안 어떠한 이벤트도 발생하지 않으면 연결을 강제 종료하도록 Session Timeout 설정
    SRV-160 불필요한 계정 제거 불필요한 계정이 존재하는지 점검하여, 관리되지 않는 계정에 의한 침입을 방지해야 합니다. 시스템 계정 중 불필요한 계정(퇴직, 전직, 휴직 등)이 있는지 점검하여야 합니다.
  • 다음 기본 계정 삭제: adm, lp, sync, shutdown, halt, news, uucp, operator, games, gopher, nfsnobody, squid
    		•
    SRV-161 Ftpusers 파일 소유자 및 권한 설정 중요 파일의 소유자 및 권한 설정
  • ftpusers 파일: FTP 접근제어 설정 파일로써 해당 파일에 등록된 계정은 FTP에 접속할 수 없음
    		•
    SRV-162 이벤트 로그에 대한 접근 권한 설정 미비 su 명령의 사용 시에는 로그를 남겨서, 사용자 추적이 가능하도록 설정
    SRV-163 로그온 시 경고 메시지 제공 서버 및 서비스에 로그온 시 불필요한 정보 차단 설정 및 불법적인 사용에 대한 경고 메시지 출력
    SRV-164 계정이 존재하지 않는 GID 금지 그룹 설정 파일에 불필요한 그룹이 존재하는지 점검
    SRV-165 사용자 shell 점검 로그인이 필요하지 않은 계정에 /bin/false 쉘을 부여해 로그인 제한
    SRV-166 숨겨진 파일 및 디렉토리 검색 및 제거 숨김 파일 및 디렉터리 내 의심스러운 파일 존재 여부 점검
    SRV-167 ftp 서비스 확인 FTP 서비스 활성화 여부 점검
    SRV-168 정책에 따른 시스템 로깅 설정 내부 정책에 따른 시스템 로깅 설정 적용 여부 점검

    Windows 점검 항목

    Windows 보안 설정 점검 항목과 그에 대한 설명은 다음과 같습니다.

    Check ID 점검항목 점검 항목 설명
    WKS-01 Administrator 계정 이름 바꾸기 관리자 계정의 이름을 변경하여 공격자가 계정 이름을 쉽게 유추하지 못하도록 설정
    WKS-02 Guest 계정 사용 제한 Guest 계정은 아무나 시스템에 접근할 수 있게 하는 취약한 계정이므로 사용 제한
  • 불특정 다수의 접근이 필요할 경우 Guest 계정이 아닌 일반 사용자 계정을 생성해 사용
    		•
    WKS-03 계정 잠금 임계값 설정 사용자 계정 잠금을 야기하는 로그인 시도 실패 횟수를 결정
    WKS-04 "해독 가능한 암호화를 사용하여 암호 저장" 사용 안 함 응용 프로그램 요구 사항이 암호 정보를 보호해야 할 필요성보다 크지 않은 한, 도메인의 모든 사용자에 대해 해당 정책을 사용 안 함
    WKS-05 "Everyone 사용 권한을 익명 사용자에게 적용" 사용 안 함 해당 정책을 사용 해제하여 익명 사용자가 Everyone 그룹으로 사용 권한을 준 리소스에 접근하는 것을 차단
    WKS-06 계정 잠금 기간 설정 로그인 실패 임계값 초과 시 계정 잠금을 유지하는 시간 설정
    WKS-07 패스워드 복잡성 설정 암호 설정 시 문자, 숫자, 특수문자를 모두 포함하여 강력한 암호가 설정될 수 있도록 복잡성 설정
    WKS-08 최소 암호 길이 최소 암호 길이를 8자 이상으로 설정
    WKS-09 최대 암호 사용 기간 최대 암호 사용 기간을 설정하여 사용자가 암호를 자주 바꾸도록 유도
    WKS-10 최소 암호 사용 기간 암호를 변경할 수 있기 전까지 경과해야 하는 최소 날짜 설정
    WKS-11 마지막 사용자 이름 표시 안함 디바이스에 로그온한 마지막 사용자의 이름을 데스크톱에 표시하지 않도록 설정
    WKS-12 최근 암호 기억 이전 암호를 다시 사용하기 전까지 사용자 계정과 연결하여 사용해야 하는 고유한 새 암호의 수 결정
    WKS-13 콘솔 로그온 시 로컬 계정에서 빈 암호 사용 제한 빈 암호 사용을 제한하여 빈 암호를 가진 계정의 콘솔 및 네트워크 서비스 접근을 차단
    WKS-14 불필요한 서비스 제거 - Alerter 불필요한 서비스를 사용하지 않거나 제거
  • Alerter: 서버에서 클라이언트로 경고 메시지를 보냄
    		•
    WKS-15 불필요한 서비스 제거 - Clipbook 불필요한 서비스를 사용하지 않거나 제거
  • Clipbook: 서버 내 Clipbook을 다른 클라이언트와 공유
    		•
    WKS-16 불필요한 서비스 제거 - Messenger 불필요한 서비스를 사용하지 않거나 제거
  • Messenger: net send 명령어를 이용하여 클라이언트에 메시지 보냄
    		•
    WKS-17 IIS 서비스 구동 점검 불필요한 IIS 서비스 중지
    WKS-18 FTP 서비스 구동 점검 불필요한 FTP 서비스 중지
    WKS-19 DNS Zone Transfer 설정 DNS Zone Transfer 차단 설정을 적용하여 승인된 DNS 서버 이외의 외부로 도메인 정보가 유출되는 것을 방지
    WKS-20 터미널 서비스 암호화 수준 설정 터미널 서비스 암호화 설정으로 클라이언트와 서버 간의 통신에서 전송되는 데이터를 보호하고, 불필요한 경우 터미널 서비스 사용 중지
    WKS-21 SNMP 서비스 구동 점검 SNMP 서비스를 사용하지 않는 경우 사용 중지하여 시스템의 주요 정보 유출 및 불법 수정 방지
    WKS-22 Telnet 보안 설정 Telnet 이용 시 네트워크상으로 암호를 전송하지 않는 NTLM 인증만 사용하도록 설정
    WKS-23 정책에 따른 시스템 로깅 설정 - AuditLogonEvents 법적 요구 사항과 조직의 정책에 따라 필요한 로그를 남기도록 적절한 감사 수준 설정
  • AuditLogonEvents: 사용자가 컴퓨터에 로그온하거나 로그오프할 때마다 로그온이 시도된 컴퓨터의 보안 로그에 이벤트 생성
    		•
    WKS-24 정책에 따른 시스템 로깅 설정 - AuditAccountLogon 법적 요구 사항과 조직의 정책에 따라 필요한 로그를 남기도록 적절한 감사 수준 설정
  • AuditAccountLogon: 사용자가 도메인에 로그온하면 도메인 컨트롤러에 로그온 시도 기록
    		•
    WKS-25 정책에 따른 시스템 로깅 설정 - AuditPolicyChange 법적 요구 사항과 조직의 정책에 따라 필요한 로그를 남기도록 적절한 감사 수준 설정
  • AuditPolicyChange: 감사 정책 변경의 성공 및 실패를 감사함
    		•
    WKS-26 정책에 따른 시스템 로깅 설정 - AuditAccountManage 법적 요구 사항과 조직의 정책에 따라 필요한 로그를 남기도록 적절한 감사 수준 설정
  • AuditAccountManage: 사용자나 그룹이 작성, 변경 또는, 삭제된 시간을 판단하는 데 사용
    		•
    WKS-27 정책에 따른 시스템 로깅 설정 - AuditPrivilegeUse 법적 요구 사항과 조직의 정책에 따라 필요한 로그를 남기도록 적절한 감사 수준 설정
  • AuditPrivilegeUse: 권한 사용의 성공 및 실패를 감사
    		•
    WKS-28 정책에 따른 시스템 로깅 설정 - AuditDSAccess 법적 요구 사항과 조직의 정책에 따라 필요한 로그를 남기도록 적절한 감사 수준 설정
  • AuditDSAccess: Active Directory 개체의 SACL에 나열된 사용자가 해당 개체에 액세스를 시도할 때 감사 항목 생성
    		•
    WKS-29 원격으로 액세스할 수 있는 레지스트리 경로 불가피한 경우를 제외하고는 원격 레지스트리 서비스 사용 중지
    WKS-30 이벤트 로그 관리 설정
  • 최대 로그 크기는 10,240 KB 이상으로 설정하여 충분한 로그가 저장될 수 있는 공간 확보
  • 이벤트 로그 관리는 로그가 자동으로 덮어 씌워져 과거의 로그가 삭제되는 일이 발생하지 않도록 설정
    		•
    WKS-31 로그온하지 않고 시스템 종료 허용 로그온 창의 시스템 종료 버튼을 비활성화하여 허가되지 않은 사용자가 시스템 종료를 하는 위협을 방지
    WKS-32 SAM 계정과 공유의 익명 열거 허용 안 함 SAM(보안계정관리자) 계정과 공유의 익명 열거를 허용하지 않음으로써 익명 사용자에 의한 악의적인 계정 정보 탈취 방지
    WKS-33 Autologon 기능 제어 Autologon 기능 비활성화
  • Autologon: 레지스트리에 암호화되어 저장된 대체 증명을 사용하여 자동으로 로그인하는 기능
    		•
    WKS-34 이동식 미디어 포맷 및 꺼내기 허용 이동식 미디어의 NTFS 포맷 및 꺼내기가 허용되는 사용자를 제한
    WKS-35 사용자가 프린터 드라이버를 설치할 수 없게 함 사용자의 프린터 드라이버 설치를 차단하여 악의적인 사용자에 의한 시스템 손상 방지
    WKS-36 경고 메시지 설정 로그온 시 시스템의 불법적인 사용에 대한 경고 메시지를 출력하도록 설정
    WKS-37 LAN Manager 인증 수준 Lan Manager 인증 수준 설정을 통해 네트워크 로그온에 사용할 Challenge/Response 인증 프로토콜을 결정하며, 안전한 인증을 위해 NTLMv2를 사용하는 것을 권장
  • LAN Manager: 네트워크를 통한 파일 및 프린터 공유 등과 같은 작업 시 인증을 담당
    		•
    이 문서가 도움이 되었습니까?
    What's Next