클라우드 취약점 점검 가이드 - Xenserver, 파일시스템

Xenserver

가. 계정 관리 7개 항목

나. 파일 시스템 12개 항목 <- 정보보안기사에서 자주 출제(SUID)

다. 네트워크 서비스 및 주요 응용 설정 5개 항목

라. 하이퍼바이저 정책 설정 3개 항목 <- XenServer의 특징이 나타남

마. 패치 및 로그관리 6개 항목

-> 총 5개 영역에서 33개 항목으로 구성

---

파일시스템

XE-08. 사용자 UMASK(User Mask) 설정

시스템 내에서 유저가 새로이 생성하는 파일의 접근 권한은 UMASK에 따라 달라짐 (취약도 하)

UMASK 값은 022(rw-r--r--) 또는 027 권장

/etc/pam.d/su 파일을 아래와 같이 설정하여 진단

# umask

# cat /etc/profile | grep -i "umask"

UMASK 변경하는 법(/etc/pam.d/su 파일을 아래와 같이 설정하여 umask 022 행 추가)

# umask 022

# vi /etc/profile

 

XE-09. SUID(Set User-ID), SGID(Set Group-ID)

SUID, SGID가 설정된 파일의 경우 특히 root 소유의 파일인 경우 버퍼오버플로우 공격과 로컬 공격에 많이 사용됨 (취약도 하)

(SUID, SGID란? 루트가 아닌 사용자들이 잠깐 루트의 사용권한을 써서 프로그램을 실행할 때 주는 권한 설정)

SUID, SGID 검색 (정보보안기사 준비 시 중요)

# find / -user root -type f  \(-perm -400 -o -perm -2000 \) -exec ls -lg {} \;

chmod -s [파일명] 으로 불필요한 SUID, SGID 제거

 

XE-10. xsconsole 파일 권한 설정

xsconsole 파일에 대한 접근권한 제한하고 있는지 점검 (취약도 상)

/usr/bin/xsconsole 파일의 접근권한 확인

# ls -al /usr/bin/xsconsole

xsconsole 파일 소유자를 root로 변경 # chown root /usr/bin/xsconsole

xsconsole 파일에 타사용자 권한(3자의 권한)을 제거 # chmod o-w /usr/bin/xsconsole

 

XE-11. Crontab 파일 권한 설정 및 관리

(Cron이란? 작업 스케줄링 기능을 제공하는 프로그램, 특정시간에 특정작업을 자동으로 수행하도록 하는 프로그램)

일반 사용자가 cron 관련 파일에 악의적으로 접근 권한을 제한하는지 점검 (취약도 하)

- Crontab 관련 파일의 소유자 및 권한 확인

# ls -al /etc/crontab

아래 파일의 소유자 및 권한 확인 필요(/etc/crontab, /etc/cron.daily/* 등등..)

- Crontab 예약 실행 파일 소유자 및 권한 확인 (정보보안기사 실기 문제 유의)

# crontab -l

# ls -al /backup/OS_backup.sh

# ls -al /opt/sfm/vacuum

 

XE-12. /etc/profile 파일 권한 설정

(/etc/profile 파일이란? 로그인하는 모든 사용자들의 기본 사용 환경 설정을 위한 로그인 스크립트로써 중요)

사용자 설정파일인 /etc/profile 파일에 대한 접근 제한하고 있는지 점검 (취약도 중)

/etc/profile 파일의 소유자 및 권한 확인 # ls -al /etc/profile

파일 소유자 변경 # chown root /etc/profile

타 사용자 쓰기 권한 제거 # chmod o-w /etc/profile

 

XE-13. /etc/hosts 파일 권한 설정

(/etc/hosts 파일이란? 파밍(DNS)과 관련, IP address와 Host name을 매핑하는데 사용)

-> 취약한 이유? 정상적인 DNS를 우회하여 악성사이트로의 접속을 유도하는 파밍(Pharming) 공격 등에 악용

호스트네임 등록파일인 /etc/hosts 파일에 대한 접근 제한하고 있는지 점검 (취약도 중)

진단방법, 조치방법은 XE-12와 동일

 

XE-14. /etc/issue 파일 권한 설정

터미널 설정과 관련된 /etc/issue 파일에 대한 접근 제한하고 있는지 점검 (취약도 중)

진단방법, 조치방법은 XE-12와 동일

 

XE-15. 사용자 홈 디렉터리 및 파일 관리

각각의 사용자의 홈 디렉터리 내의 파일을 인가되지 않은 사용자가 접근하여 변조하였는지 점검 (취약도 하)

/etc/passwd 파일에서 사용자 홈 디렉터리 확인 -> cd [사용자 홈 디렉터리] -> ls -al [사용자 홈 디렉터리]

# chmod o-w [홈 디렉터리 경로] [파일명] 으로 타사용자 쓰기 권한 제거

 

XE-16. 주요 디렉터리 파일 권한 설정

주요 디렉터리 파일 권한이 적절히 설정되어 있는지 점검 (취약도 중)

# ls -ldb /usr/bin/xsconsole /usr/lib/xsconsole /opt /sbin /etc/ /bin /usr/bin/ /usr/sbin/

진단방법, 조치방법은 XE-12와 동일

 

XE-17. PATH 환경변수 설정

root 계정의 PATH 환경변수에 "." (현재 디렉터리 지칭)가 포함되어 있으면, root 계정의 인가자로 인해 비의도적으로 현재 디렉터리에 위치하고 있는 명령어가 실행될 수 있음 (취약도 중)

PATH 설정 확인 # echo $PATH -> 만약 취약하다면 "." 제거 필요

 

XE-18. /etc/service 파일 권한 설정

Service 파일을 관리자 아닌 사용자가 접근 및 변경 가능하다면 정상적인 서비스를 제한하거나 허용되지 않은 서비스를 실행시켜 침해사고 위험 존재 (취약도 중)

진단방법, 조치방법은 XE-12와 동일

 

XE-19. 부팅스크립트 파일 권한 설정

OS상에서 사용하는 기타 중요파일에 대해 점검 (취약도 상)

# ls -al /opt/*/*

진단방법, 조치방법은 XE-12와 동일

---

참고 강의 : https://www.youtube.com/watch?v=0nylQNl3Uvw&list=PLrBkRTfN1goPrjzIcBYZUWoBxhdc5P3zm&index=3