Unix 시스템 취약점 진단 분석 평가 방법

1. 계정관리

1.1 root 계정 원격접속 제한

1.2 패스워드 복잡성 설정

1.3 계정 잠금 임계값 설정

1.4 패스워드 파일 보호

1.5 root 이외의 UID 가 '0' 금지

1.6 root 계정 su 제한

1.7 패스워드 최소 길이 설정

1.8 패스워드 최대 사용기간 설정

1.9 패스워드 최소 사용기간 설정

1.10 불필요한 계정 제거

1.11 관리자 그룹에 최소한의 계정 포함

1.12 계정이 존재하지 않는 GID 금지

1.13 동일한 UID 금지

1.14 사용자 shell 점검

1.15 Session Timeout 설정

2. 파일 및 디렉토리 관리

2.1 root 홈, 패스 디렉터리 권한 및 패스 설정

2.2 파일 및 디렉터리 소유자 설정

2.3 /etc/passwd 파일 소유자 및 권한

2.4 /etc/shadow 파일 소유자 및 권한 설정

2.5 /etc/hosts 파일 소유자 및 권한 설정

2.6 /etc/(x)inetd.conf 파일 소유자 및 권한 설정

2.7 /etc/syslog.conf 파일 소유자 및 권한 설정

2.8 /etc/services 파일 소유자 및 권한 설정

2.9 SUID, SGID 설정 파일점검

2.10 사용자, 시스템 시작파일 및 환경파일 소유자 및 권한 설정

2.11 world writable 파일 점검

2.12 /dev 에 존재하지 않는 device 파일 점검

2.13 $HOME/.rhosts, hosts.equiv 사용 금지

2.14 접속 IP 및 포트 제한

2.15 hosts.lpd 파일 소유자 및 권한 설정

2.17 UMASK 설정 관리

2.18 홈디렉토리 소유자 및 권한 설정

2.19 홈디렉토리 지정한 디렉토리의 존재 관리

2.20 숨겨진 파일 및 디렉토리 검색 및 제거

3. 서비스 관리

3.1 Finger 서비스 비활성화

3.2 Anonymous FTP 비활성화

3.3 r 계열 서비스 비활성화

3.4 crond 파일 소유자 및 권한 설정

3.5 DoS 공격에 취약한 서비스 비활성화

3.6 NFS 서비스 비활성화

3.7 NFS 접근 통제

3.8 automountd 제거

3.9 RPC 서비스 확인

3.10 NIS, NIS+ 점검

3.11 tftp, talk 서비스 비활성화

3.12 Sendmail 버전 점검

3.13 스팸 메일 릴레이 제한

3.14 일반사용자의 Sendmail 실행 방지

3.15 DNS 보안 버전 패치

3.16 DNS Zone Transfer 설정

3.17 웹서비스 디렉토리 리스팅 제거

3.18 웹서비스 웹 프로세스 권한 제한

3.19 웹서비스 상위 디렉토리 접근 금지

3.20 웹서비스 불필요한 파일 제거

3.21 웹서비스 링크 사용금지

3.22 웹서비스 파일 업로드 및 다운로드 제한

3.23 웹서비스 영역의 분리

3.24 ssh 원격접속 허용

3.25 ftp 서비스 확인

3.26 ftp 계정 shell 제한

3.27 ftpusers 파일 소유자 및 권한 설정

3.28 ftpusers 파일 설정(FTP 서비스 root 계정 접근제한)

3.29 at 서비스 권한 설정

3.30 SNMP 서비스 구동 점검

3.31 SNMP 서비스 Community String 의 복잡성 설정

3.32 로그온 시 경고 메시지 제공

3.33 NFS 설정파일 접근권한

3.34 expn, vrfy 명령어 제한

3.35 Apache 웹 서비스 정보 숨김

4. 패치 관리

4.1 최신 보안패치 및 벤더 권고사항 적용

5. 로그 관리

5.1 로그의 정기적 검토 및 보고

5.2 정책에 따른 시스템 로깅 설정

6. 부록

취약점 진단 서적 -Coupang-