진단항목 XE-09. SUID(Set User-ID), SGID(Set Group-ID) 취약도 하 항목설명 SUID(Set User-ID)와 SGID(Set Group-ID)가 설정된 파일의 경우, 특히 root 소유의 파일인 경우, BufferOverflow 공격과 Local 공격에 많이 사용되는 매우 보안상 관리가 필요한 파일들로 이들 파일들의 주기적인 관리가 필요하다. 보안에 취약한 root 소유의 setuid 파일들의 경우에는 꼭 필요한 파일을 제외하고는 그 외 setuid, setgid 파일에 대하여 setuid, setgid 속성을 제거해주고, 잘못 설정되어 보안 위협이 되고 있는지 주기적인 점검 및 관리가 요구된다. *** SUID는 파일을 실행할 때 실행자의 ID를 파일 소유자의 ID로 ..

진단항목 XE-08. 사용자 UMASK(User Mask) 설정 취약도 하 항목설명 시스템 내에서 유저가 새로이 생성하는 파일의 접근 권한은 UMASK에 따라 달라진다. 현재의 유저에게 설정된 UMASK를 조회하려면, 명령 프롬프트에서 “umask”를 수행하면 된다. 그리고 UMASK 값이 “022”이기를 권장한다. UMASK “022”는 “rwr--r--”접근권한으로 파일이 생성된다. 진단기준 양호 현재 시스템의 UMASK가 022 또는 027로 설정되어 있으며 Start Profile에 UMASK가 설정되어 있는 경우 취약 현재 시스템의 UMASK가 설정되어 있지 않거나 022 또는 027이 아닌 경우 진단방법 ▪ UMASK 확인 ( umask는 파일을 생성할 때 기본적으로 부여되는 권한을 제한하는 ..

진단항목 XE-07. SU(Select User)사용 제한 취약도 중 항목설명 권한이 없는 일반 사용자가 su 명령을 사용한 Password Guessing을 통해 root 권한을 획득할 수 있다. 진단기준 양호 /etc/pam.d/su 파일에 auth required pam_wheel.so use_uid 라인에 주석(#)이 없고 /etc/group 파일의 wheel 그룹에 계정이 제한되어 있는 경우 취약 /etc/pam.d/su 파일에 auth required pam_wheel.so use_uid 라인에 주석(#)이 없고 /etc/group 파일의 wheel 그룹에 계정이 제한되어 있지 않은 경우 PAM(Pluggable Authentication Modules)은 다양한 인증 방법을 통합하여 사용자 ..

진단항목 XE-06. 로그인이 불필요한 계정 shell 제한 취약도 중 항목설명 접근이 거의 필요하지 않은 사용자들에게는 쉘을 제한함으로써 비인가적인 시스템 사용을 방지하여 침해의 가능성을 줄일 수 있다. 진단기준 양호 시스템 계정 중 로그인이 불필요한 계정에 대해 shell이 제한되어 있는 경우 취약 시스템 계정 중 로그인이 불필요한 계정에 대해 shell이 제한되어 있지 않은 경우 진단방법 ▪ /etc/passwd 파일의 계정 별 shell 확인 # cat /etc/passwd (예시) nobody:x:65534:65534:nobody:/nonexistent:/bin/sh ※ 실행 쉘이 불필요한 계정 및 로그인이 필요하지 않은 계정에 nologin shell 부여 (dea daemon, bin, sy..

진단항목 XE-05. 패스워드 사용규칙 적용 취약도 중 항목설명 패스워드 추측공격을 피하기 위하여 패스워드 최소길이가 설정되어 있는지 점검한다. 패스워드 최소길이가 설정되어 있지 않거나 짧게 설정되어 있을 경우 취약한 패스워드를 사용함으로 인해 악의적인 사용자가 패스워드를 쉽게 유추할 수 있다. 진단기준 양호 패스워드 정책에 따른 설정이 적용되어 있는 경우 취약 패스워드 정책에 따라 설정이 적용되어 있지 않은 경우 진단방법 ▪ 패스워드 최대 사용기간, 최소 사용기간, 최소길이 설정 확인 (단위: 일) # cat /etc/login.defs | grep –i “PASS_MAX_DAYS” # cat /etc/login.defs | grep –i “PASS_MIN_DAYS” # cat /etc/login.de..

진단항목 XE-04. group 파일 권한 설정 취약도 상 항목설명 Group파일을 일반사용자가 접근하여 변조하게 되면 인가되지 않은 사용자가 root 그룹으로 등록되어 인가되지 않은 사용자의 root권한 획득이 가능하다. Group 파일을 일반 사용자들이 수정할 수 없도록 제한하고 있는지 점검하여 타사용자의 쓰기권한을 제한하여야 한다. ( /etc/group 파일은 리눅스 시스템에서 사용되는 그룹의 정보를 저장하는 파일 ) etc/group 파일의 각 필드의 의미는 다음과 같다. 그룹 이름 (group name): 그룹의 이름 그룹 ID (group ID): 그룹을 식별하는 ID 그룹에 속한 사용자 ID 목록 (members): 그룹에 속한 사용자 ID의 목록,각 사용자 ID는 콤마로 구분된다. 예를 ..

**CCE(Common Configuration Enumeration)는 시스템의 취약한 설정에 대한 점검 진단항목 XE-02. 일반계정 root 권한 관리 취약도 상 항목설명 시스템 관리자는 root계정을 포함하여 모든 계정의 의심 가는 디렉터리 및 파일 을 정기적으로 조사하여 삭제하며, 주기적으로 불필요한 사용자 계정을 조사하여 제 거하는 것이 보안상 필요하다. /etc/passwd 파일은 Linux 시스템에 등록된 사용자 정보를 저장하는 파일이며 이 파일은 7개의 필드로 구성되어 있으며, 각 필드는 다음과 같은 의미를 가지고 있다. 필드 1: 사용자 이름 필드 2: 암호 (/etc/shadow 파일에 저장됨) 필드 3: 사용자 ID (UID) 필드 4: 그룹 ID (GID) 필드 5: 홈 디렉터리 ..

**CCE(Common Configuration Enumeration)는 시스템의 취약한 설정에 대한 점검 진단항목 XE-01. Default 계정 관리 취약도 중 항목설명 시스템에서 이용하지 않는 Default 계정 및 의심스러운 특이한 계정의 존재 유무를 검사하여 삭제한다. 대부분의 시스템에서 사용하지 않는 것이 확실한 아래의 계정들과 의심스러운 계정을 삭제하도록 하며 일반적으로 로그인이 필요치 않은 시스템 계정들은 로그인을 금지시킨다. OS나 Package 설치 시 Default로 생성되는 계정은 대부분 Default 패스워드를 사용하는 경우가 많으며 패스워드 추측공격에 악용될 수 있다. ( lp, uucp, nuucp 계정은 리눅스 시스템에서 기본적으로 생성되는 계정이지만, 대부분의 경우 사용되지..

클러스터❓ 클러스터는 여러 컴퓨터 또는 서버를 네트워크로 연결하여 하나의 통합된 시스템으로 동작하게 만드는 기술이며 이를 통해 컴퓨터 자원을 효율적으로 활용하고 성능을 향상시킬 수 있다. 클러스터는 단일 컴퓨터보다 높은 가용성, 확장성 및 장애 허용 기능을 제공하며, 대규모 계산 및 데이터 처리 작업을 수행하는 데 사용된다. 클러스터 특징 클러스터는 일반적으로 두 가지 주요 구성 요소로 이루어지는데 첫 번째로, 클러스터 내의 개별 노드는 서로 연결되어 통신하고 작업을 분산하고 두 번째로, 클러스터 관리자는 노드 간의 자원 할당, 작업 로드 분산, 장애 관리 등을 관리한다. 클러스터는 노드 간의 작업 분배를 통해 성능을 향상시키는데 예를 들어, 웹 서버 클러스터에서 요청이 도착하면 클러스터 관리자는 이를 ..

csap(cloud security assurance program) 클라우드서비스 제공자가 제공하는 서비스에 대해 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2에 따라 정보보호 수준의 향상 및 보장을 위하여 보안인증기준에 적합한 클라우드컴퓨팅서비스에 대하여 보안인증을 수행하는 제도이다. 보안인증의 표시는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제23조의2조제3항에 따라 보안인증을 받은 클라우드컴퓨팅서비스에 대해 표시할 수 있다. 보안인증의 표시는 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행규칙」 제4조에 따라 표시도안의 크기를 용도에 맞게 같은 배율로 조정할 수 있으며, 알아보기 쉽게 표시하여야 한다. 표시도안의 색상 및 글씨체는 임의로 변경할 수 없다. 목적 ..