클라우드 취약점 점검 가이드 - 개요, 계정관리

https://isms.kisa.or.kr/main/csap/notice/

KISA 정보보호 및 개인정보보호관리체계 인증 클라우드 보안인증제 자료실

2020년 12월에 한국인터넷진흥원이 배포한 '클라우드 취약점 점검 가이드 - 보안설정(CCE)' 다운로드 링크입니다.

2022년 12월 현재까지 추가로 배포한 가이드가 없기에 2020년 12월에 배포된 가이드가 최신입니다.

 

 

평소에 클라우드 서비스에 관심이 있어 기업 면접에 도움이 될만한 논문과 자료를 찾아보던 중 '클라우드 서비스의 보안 취약점과 대응방안' 논문과 '클라우드 취약점 점검 가이드 유튜브 강의'를 통해 공부한 내용을 정리합니다.

---

개요

1) 클라우드 서비스

일반적으로 자원을 소유하지 않고 On-Demand 형식으로 자원 및 환경을 제공하는 서비스

 

2) CCE, CVE

CCE(Common Configuration Enumeration) : 취약한 설정에 대한 점검

CVE(Common Vulnerabilities and Exposures) : OS, Application 고유의 취약점

 

3) 주의사항

수록된 점검 방법은 클라우드 인증 심사 기준이며 클라우드 환경에서 절대적이지 않음

본 가이드의 수록된 판단기준은 클라우드 인증평가 시 사용되고 있는 사항

---

계정관리

XE-01. Default 계정 관리

불필요한 계정 존재 유무를 검사하여 삭제 (취약도 중)

# userdel lp

# userdel uucp

# userdel nuucp

로그인 쉘을 /bin/false로 수정하는 것은 보안상 문제가 발생할 수 있으므로 삭제 권고

 

XE-02. 일반계정 root 권한 관리

root 및 시스템 계정의 의심 가는 디렉터리 및 파일을 정기적으로 조사하여 삭제 (취약도 상)

root 및 시스템 계정을 제외하고 UID가 0인 계정이 존재하는 경우 취약 / 그렇지 않으면 양호

(여기서 UID란? 특정 컴퓨터 사용자에게 부여되는 숫자 또는 이름을 의미)

# cat /etc/passwd

명령어 사용하여 파일의 필드 3번째 값 확인 <- 정보보안기사에 자주 출제

# usermod -u 2002 test

UID 값을 변경하면 조치 가능(위 명령어는 test 계정의 UID를 2002로 바꾸는 경우)

 

XE-03. passwd 파일 권한 설정

/etc/passwd 파일의 접근권한을 제한하고 있는지 점검 (취약도 상)

# ls -al /etc/passwd

chmod, chown 명령어를 이용하여 파일의 권한 변경

# chmod 644 /etc/passwd (777일 경우 모든 소유자가 높은 권한을 가지게 되어 위험)

# chown root /etc/passwd

 

XE-04. group 파일 권한 설정

/etc/group 파일의 접근권한을 제한하고 있는지 점검 (취약도 상)

진단기준, 진단방법, 조치방법은 XE-03과 동일

 

XE-05. 패스워드 사용규칙 적용

패스워드 추측공격을 피하기 위하여 패스워드의 최소길이 설정 점검 (취약도 중)

# cat /etc/login.defs | grep -i "PASS_MAX_DAYS" # 최대 사용기간 설정 확인 (단위 : 일)

# cat /etc/login.defs | grep -i "PASS_MIN_DAYS" # 최소 사용기간 설정 확인 (단위 : 일)

# cat /etc/login.defs | grep -i "PASS_MIN_LEN" # 최소길이 설정 확인

/etc/login.defs에서 패스워드 최대 사용기간은 90일, 최소 사용기간은 1일 설정으로 변경 (단위 : 일)

# vi /etc/login.defs

PASS_MIN_LEN 8

PASS_MAX_DAYS 90

PASS_MIN_DAYS 1

 

XE-06. 로그인이 불필요한 계정 shell 제한

접근이 거의 필요하지 않은 사용자에게 쉘 제한하여 침해 가능성 줄임 (취약도 중)

- /etc/passwd 파일의 계정 별 shell 확인

- 실행 쉘이 불필요한 계정 및 로그인이 필요하지 않은 계정에 nologin shell 부여

(daemon, bin, sys, listen, adm, nobody, nobody4, noaccess, diag, operator, games, gopher 등)

로그인이 필요 없는 계정의 shell 설정 변경

# vi /etc/passwd

daemon:x:1:1::/:/sbin/ksh -> daemon:x:1:1::/:/sbin/false

(유닉스의 3요소란? 커널, 쉘, 파일시스템)

 

XE-07. SU(Select User)사용 제한

su 명령을 사용한 Password Guessing을 통해 root 권한 획득 가능 (취약도 중)

/etc/pam.d/su 파일에 auth required pam_wheel.so use_uid 라인에 주석이 없고

# cat /etc/pam.d/su | grep -v 'trust' | grep 'pam_wheel.so' | grep 'user_uid' : 주석 여부 확인 명령어

/etc/group 파일의 wheel 그룹에 계정이 제한되어 있는 경우 확인 필요

(wheel 그룹을 확인해야 하는 이유? 관리자 권한을 대행하는 그룹을 의미하기 때문)

# groupadd wheel

# usermod -G wheel username(사용자)

 

SU 사용 제한 설정 (리눅스 시스템에서 중요)

/etc/pam.d/su 파일을 아래와 같이 설정

auto sufficient /lib/security/pam_rootok.so

auto required /lib/security/pam_wheel.so use_uid 

---

참고 강의 : https://www.youtube.com/watch?v=hbe2jbOoZWY 

 

좀 더 공부해야 할 내용

1) XenServer란? 클라우드 시스템에서 많이 사용하는 하이퍼바이저

2) XenServer 설치 방법 : 직접 실습 필요

[서버구축] 클라우드 망 구축 기본 - XenSERVER