서버 보안 취약점 평가_SRV-005

※ 이 글에서는 LINUX 기준으로만 작성하였습니다.

 

평가항목 ID	구분	평가항목	상세설명	주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시)
SRV-005	기술적 보안	SMTP 서비스의 expn/vrfy 명령어 실행 제한 미비	SMTP 서비스에서 제공하는 expn/vrfy 명령어는 시스템 계정명 수집 가능성이 존재하므로, 해당 명령의 허용 여부를 점검	(중) [서비스 관리] U-70 expn, vrfy 명령어 제한

평가대상 (AIX)	평가대상 (HP-UX)	평가대상 (LINUX)	평가대상 (SOLARIS)	평가대상 (WIN)
O	O	O	O

● 점검목적

- SMTP 서비스의 expn, vrfy 명령을 통한 정보 유출을 막기 위하여 두 명령어를 사용하지 못하게 옵션을 설정해야 함

 

● 보안위협

- vrfy, expn 명령어를 통하여 특정 사용자 계정의 존재유무를 알 수 있고, 사용자의 정보를 외부로 유출 할 수 있음

 

● 판단기준

* 양호 - expn, vrfy 명령어 사용을 허용하지 않고 있을 경우

* 취약 - expn, vrfy 명령어 사용을 허용했을 경우

 

● 확인방법

- SMTP 포트(25)에 접속하여 expn, vrfy 명령을 통해 alias 정보와 사용자 정보를 알아낼 수 있는지 점검

 

- /etc/postfix/main.cf 설정에서 disable_vrfy_command = yes 가 설정되어 있는지 확인

 

 

● 조치방법

[sendmail]

- 서비스 필요 시

step 1) vi /etc/mail/sendmail.cf

setp 2) noexpn, novrfy 옵션 추가

           O PrivacyOptions=authwarnings 뒤에 noexpn, novrfy 또는 goaway 추가

setp 3) SMTP 서비스 재시작

 

 

- 서비스 불필요 시

step 1) 실행중인 서비스 중지

           ① ps -ef | grep sendmail

           ② kill -9 [PID]

step 2) 시스템 재시작 시 SMTP가 시작되지 않도록 설정

           ① ls -al /etc/rc*.d/* | grep sendmail

           ② mv /etc/rc2/S88sendmail /etc/rc2.d/_S88sendmail

           ③ /etc/rc.tcpip 파일에서 아래 내용 주석처리

               #start /usr/lib/sendmail "$src_running" "-bd -q${qpi}"

 

 

[postfix]

- 서비스 필요 시

step 1) vi /etc/postfix/main.cf

setp 2) disable_vrfy_command = yes 설정

setp 3) postfix 서비스 재시작

 

- 서비스 불필요 시

step 1) 실행중인 서비스 중지

           ① service postfix stop

 

 

 

 

 

※ SMTP(Simple Mail Transfer Protocol)는 많은 취약성을 갖고 있어 잠재적인 위험이 존재한다. 서버에서 SMTP를 사용하는 목적을 검토하여 사용할 필요가 없는 경우 서비스를 제거해야 하며, SMTP 서비스 운영 시 Sendmail Abuse를 방지하기 위해 sendmail의 기본적인 서비스인 *VRFY, *EXPN을 막아야 한다.

 

- VRFY : SMTP 클라이언트가 SMTP 서버에 특정 아이디에 대한 메일이 있는지 검증하기 위해 보내는 명령어

- EXPN(메일링 리스트 확장) : 메일 전송 시 포워딩하기 위한 명령어

- goaway : authwarnings, noexpn, novrfy, noverb, needmailhelo, needexnhelo, needvrfyhelo, nobodyreturn를 세팅하기 위한 짧은 명령어