클라우드 취약점 점검 가이드 - 네트워크 설정, 하이퍼바이저 정책설정

네트워크 설정

XE-20. 서비스 Banneer 관리

해당 프로세스의 버전과 시스템의 호스트 명이 노출되지 않도록 배너를 설정 (취약도 중)

진단 : 배너파일이 존재하는 경로 확인 # cat /etc/ssh/sshd_config | grep "Banner"

-> 위에서 확인한 경로에서 배너 내용 확인

조치 : /etc/ssh/sshd_config 파일에 Banner 설정

-> /etc/issue.net 파일을 생성하고 경고 메시지 삽입

XE-21. seesion timeout 설정

지정된 시간 동안 사용하지 않을 경우 접속된 session을 해당 서버에서 끊도록 설정하는 것이 필요 (취약도 하)

- /etc/profile에서 session timeout 설정 확인 # cat /etc/profile | grep "TMOUT"

- xsconsole에서 session timeout 설정 확인 가능

조치 : /etc/profile 파일에서 설정 # vi /etc/profile

XE-22. root 계정의 ssh 및 sftp 접근 제한

root로 직접적인 원격 접근은 보안상 위험하기 때문에 일반 사용자를 통해 su 명령어를 이용하여 root로 접근할 수 있도록 해야 함 (취약도 상)

실무적으로 중요(정보보안기사 실기)

1) /etc/pam.d/login 파일 설정 확인 -> auth required /lib/security/pam_securetty.so 추가 설정 필요

2) /etc/ssh/sshd_config 파일 설정 확인 -> PermitRootLogin no 로 되어있어야 양호

XE-23. SSH(Secure Shell) 버전 취약점

OpenSSh란? SSH 프로토콜을 구현한 오픈 소스 프로그램으로 telnet, ftp, rlogin, rsh 등을 대체 / 네트워크 트래픽을 암호화하여 패킷 스니핑과 같은 공격으로부터 중요한 데이터를 보호 가능

벤더 사가 권장하는 OpenSSH 버전이어야 함 (취약도 중)

/etc/pam.d/login 파일 설정 확인 # ssh -V (대문자 주의)

- ssh 서비스 필요 시 OpenSSH 업데이트 권장

- ssh 서비스 불필요 시

1) 실행중인 서비스 중지

daemon 확인 명령어 : ps-ef | grep sshd -> daemon 서비스 중지 명령어 : kill -9 [pid]

2) SSH가 시작되지 않도록 시작스크립트의 파일 명 변경

XE-24. 불필요한 서비스 제거

불필요한 서비스 비활성화 필요 (취약도 하)

서비스 확인 # ps -ef | grep [서비스 명]

- 서비스 필요 시 최신 버전 설치

- 서비스 불필요 시

1) "/etc/xinetd.d" 디렉터리 내의 서비스 파일 수정

2) xinetd.d 디렉터리 내에서 필요 없는 서비스를 Disable을 yes로 설정

3) service 재시작

클라우드 컴퓨팅 서비스에 불필요한 서비스 중지

하이퍼바이저 정책설정 (클라우드 취약점 점검 가이드)

XE-25. 관리용 원격 접근 제어

SSH나 XenCenter를 이용하여 원격에서 XenServer에 접근이 가능하지만 원격으로 접근이 불필요한 경우 접근 제한 필요 (취약도 상)

# xsconsole > Network and Management Interface > Configure Management Interface에서 확인

XE-26. Remote Shell 접근 제어

XenServer에 Remote Shell을 이용하여 원격에서의 접근 가능

XenServer에 오직 XenCenter만을 이용하여 접근을 허용하고, Remote Shell을 이용하여 접근이 불필요한 경우에는 관리자의 원격 접근을 제한할 필요 (취약도 상)

# xsconsole > Remote Service Configuration > Enable/Disable Remote Shell에서 확인 (Disable로 변경해야 함)

XE-27. Guest VM 네트워크 분리

Group 간 네트워크가 연동될 경우 민감한 트래픽에 접근할 가능성이 있기 때문에 반드시 분리되어야하는 Guest OS Group은 VLAN을 이용하여 트래픽을 분리하여 사용 필요 (취약도 상)

# Xen Master > Xenserver > Network VLAN 확인 > 인터뷰를 통해 분리되어 설정하고 있는지 확인

참고 강의 : https://www.youtube.com/watch?v=0nylQNl3Uvw&list=PLrBkRTfN1goPrjzIcBYZUWoBxhdc5P3zm&index=3

'보안 > 취약점 분석' 카테고리의 다른 글

클라우드 취약점 점검 가이드 - 패치 및 로그관리, 마무리 (0)	2022.12.29
클라우드 취약점 점검 가이드 - Xenserver, 파일시스템 (2)	2022.12.28
클라우드 취약점 점검 가이드 - 개요, 계정관리 (0)	2022.12.27
CVE-2021-25076 취약점 실습 (0)	2022.02.24
Ubuntu 18.04 + WordPress 설치 링크 (0)	2022.02.16

보안의 숲🏕️

클라우드 취약점 점검 가이드 - 네트워크 설정, 하이퍼바이저 정책설정

'보안 > 취약점 분석' 카테고리의 다른 글

티스토리툴바

클라우드 취약점 점검 가이드 - 네트워크 설정, 하이퍼바이저 정책설정

'보안 > 취약점 분석' 카테고리의 다른 글

관련글

티스토리툴바