진단항목 XE-08. 사용자 UMASK(User Mask) 설정 취약도 하 항목설명 시스템 내에서 유저가 새로이 생성하는 파일의 접근 권한은 UMASK에 따라 달라진다. 현재의 유저에게 설정된 UMASK를 조회하려면, 명령 프롬프트에서 “umask”를 수행하면 된다. 그리고 UMASK 값이 “022”이기를 권장한다. UMASK “022”는 “rwr--r--”접근권한으로 파일이 생성된다. 진단기준 양호 현재 시스템의 UMASK가 022 또는 027로 설정되어 있으며 Start Profile에 UMASK가 설정되어 있는 경우 취약 현재 시스템의 UMASK가 설정되어 있지 않거나 022 또는 027이 아닌 경우 진단방법 ▪ UMASK 확인 ( umask는 파일을 생성할 때 기본적으로 부여되는 권한을 제한하는 ..

진단항목 XE-07. SU(Select User)사용 제한 취약도 중 항목설명 권한이 없는 일반 사용자가 su 명령을 사용한 Password Guessing을 통해 root 권한을 획득할 수 있다. 진단기준 양호 /etc/pam.d/su 파일에 auth required pam_wheel.so use_uid 라인에 주석(#)이 없고 /etc/group 파일의 wheel 그룹에 계정이 제한되어 있는 경우 취약 /etc/pam.d/su 파일에 auth required pam_wheel.so use_uid 라인에 주석(#)이 없고 /etc/group 파일의 wheel 그룹에 계정이 제한되어 있지 않은 경우 PAM(Pluggable Authentication Modules)은 다양한 인증 방법을 통합하여 사용자 ..

진단항목 XE-06. 로그인이 불필요한 계정 shell 제한 취약도 중 항목설명 접근이 거의 필요하지 않은 사용자들에게는 쉘을 제한함으로써 비인가적인 시스템 사용을 방지하여 침해의 가능성을 줄일 수 있다. 진단기준 양호 시스템 계정 중 로그인이 불필요한 계정에 대해 shell이 제한되어 있는 경우 취약 시스템 계정 중 로그인이 불필요한 계정에 대해 shell이 제한되어 있지 않은 경우 진단방법 ▪ /etc/passwd 파일의 계정 별 shell 확인 # cat /etc/passwd (예시) nobody:x:65534:65534:nobody:/nonexistent:/bin/sh ※ 실행 쉘이 불필요한 계정 및 로그인이 필요하지 않은 계정에 nologin shell 부여 (dea daemon, bin, sy..

진단항목 XE-05. 패스워드 사용규칙 적용 취약도 중 항목설명 패스워드 추측공격을 피하기 위하여 패스워드 최소길이가 설정되어 있는지 점검한다. 패스워드 최소길이가 설정되어 있지 않거나 짧게 설정되어 있을 경우 취약한 패스워드를 사용함으로 인해 악의적인 사용자가 패스워드를 쉽게 유추할 수 있다. 진단기준 양호 패스워드 정책에 따른 설정이 적용되어 있는 경우 취약 패스워드 정책에 따라 설정이 적용되어 있지 않은 경우 진단방법 ▪ 패스워드 최대 사용기간, 최소 사용기간, 최소길이 설정 확인 (단위: 일) # cat /etc/login.defs | grep –i “PASS_MAX_DAYS” # cat /etc/login.defs | grep –i “PASS_MIN_DAYS” # cat /etc/login.de..

진단항목 XE-04. group 파일 권한 설정 취약도 상 항목설명 Group파일을 일반사용자가 접근하여 변조하게 되면 인가되지 않은 사용자가 root 그룹으로 등록되어 인가되지 않은 사용자의 root권한 획득이 가능하다. Group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타사용자의 쓰기권한을 제한하여야 한다. ( /etc/group 파일은 리눅스 시스템에서 사용되는 그룹의 정보를 저장하는 파일 ) etc/group 파일의 각 필드의 의미는 다음과 같다. 그룹 이름 (group name): 그룹의 이름 그룹 ID (group ID): 그룹을 식별하는 ID 그룹에 속한 사용자 ID 목록 (members): 그룹에 속한 사용자 ID의 목록,각 사용자 ID는 콤마로 구분된다. 예를 ..

**CCE(Common Configuration Enumeration)는 시스템의 취약한 설정에 대한 점검 진단항목 XE-02. 일반계정 root 권한 관리 취약도 상 항목설명 시스템 관리자는 root계정을 포함하여 모든 계정의 의심 가는 디렉터리 및 파일 을 정기적으로 조사하여 삭제하며, 주기적으로 불필요한 사용자 계정을 조사하여 제 거하는 것이 보안상 필요하다. /etc/passwd 파일은 Linux 시스템에 등록된 사용자 정보를 저장하는 파일이며 이 파일은 7개의 필드로 구성되어 있으며, 각 필드는 다음과 같은 의미를 가지고 있다. 필드 1: 사용자 이름 필드 2: 암호 (/etc/shadow 파일에 저장됨) 필드 3: 사용자 ID (UID) 필드 4: 그룹 ID (GID) 필드 5: 홈 디렉터리 ..

**CCE(Common Configuration Enumeration)는 시스템의 취약한 설정에 대한 점검 진단항목 XE-01. Default 계정 관리 취약도 중 항목설명 시스템에서 이용하지 않는 Default 계정 및 의심스러운 특이한 계정의 존재 유무를 검사하여 삭제한다. 대부분의 시스템에서 사용하지 않는 것이 확실한 아래의 계정들과 의심스러운 계정을 삭제하도록 하며 일반적으로 로그인이 필요치 않은 시스템 계정들은 로그인을 금지시킨다. OS나 Package 설치 시 Default로 생성되는 계정은 대부분 Default 패스워드를 사용하는 경우가 많으며 패스워드 추측공격에 악용될 수 있다. ( lp, uucp, nuucp 계정은 리눅스 시스템에서 기본적으로 생성되는 계정이지만, 대부분의 경우 사용되지..

안드로이드 메모리 덤프 내 중요정보 노출 대응방안 의 개요를 간단히 하면 이렇다. 0. 웹뷰 버전 확인 및 업데이트, 웹뷰 설정 점검 ( 웹뷰 사용 시 ) 1. 메모리(변수)에 중요 정보를 저장 할 때에는 반드시 암호화 해서 저장 2. androidmanifest.xml 파일에 있는 android:debugable 속성을 false로 지정 3. 중요 정보가 사용된 직후 배열을 초기화해서 비워줘야 한다. 웹뷰 버전 확인 및 업데이트, 웹뷰 설정 점검 알려진 보안 취약점을 해결하려면 WebView 구성 요소를 정기적으로 업데이트하는 것이 중요하기에 WebView 업데이트를 확인하고 앱을 최신 버전으로 유지해야한다. 많은 담당자들이 놓치고 있는 부분이다. 메모리(변수)에 중요 정보를 저장 할 때에는 반드시 암..

openssl과 sslcan 이용 윈도우 버전 설치 리눅스는 wget 명령어로 받으면된다 https://slproweb.com/products/Win32OpenSSL.html Win32/Win64 OpenSSL Installer for Windows - Shining Light Productions Minimum system requirements: Windows XP or later 32MB RAM 200MHz CPU 30MB hard drive space Recommended system requirements: Windows XP or later 128MB RAM 500MHz CPU 300MB hard drive space March 14, 2023 - OpenSSL 3.1 is available...