서버 보안 취약점 평가_SRV-025

※ 이 글에서는 LINUX 기준으로만 작성하였습니다.

 

평가항목 ID	구분	평가항목	상세설명	주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시)
SRV-025	기술적 보안	취약한 hosts.equiv 또는 .rhosts 설정 존재	hosts.equiv, .rhosts 파일 내에 등록된 시스템이나 사용자는 시스템 접근 시 인증 절차 없이 r 계열 명령어(rexec, rlogin등)를 사용이 가능함. 특히 hosts.equiv, .rhosts 파일 내에 `+ +` 구문 존재 시 시스템 root를 제외한 모든 사용자가 인증절차 없이 r 계열 명령어를 실행할 수 있는 등 보안 수준이 낮으므로 이러한 설정이 존재하는지 점검	(상) [파일 및 디렉터리 관리] U-17 $HOME/.rhosts, hosts.equiv 사용 금지

 

평가대상 (AIX)	평가대상 (HP-UX)	평가대상 (LINUX)	평가대상 (SOLARIS)	평가대상 (WIN)
O	O	O	O

● 점검목적

- 'r' command 사용을 통한 원격 접속은 인증 없이 관리자 원격접속이 가능하므로 서비스 포트를 차단해야 함

 

● 보안위협

- rlogin, rsh 등과 같은 'r' command의 보안 설정이 적용되지 않은 경우, 원격지의 공격자가 관리자 권한으로 목표 시스템상의 임의의 명령을 수행시킬 수 있으며, 명령어 원격 실행을 통해 중요 정보 유출 및 시스템 장애를 유발시킬 수 있음. 또한 공격자 백도어 등으로도 활용될 수 있음

- r-command(rlogin, rsh 등) 서비스의 접근통제에 관련된 파일로 권한설정을 미 적용한 경우 r-command 서비스 사용 권한을 임의로 등록하여 무단 사용이 가능함

 

● 판단기준

* 양호 - /etc/hosts.equiv, 각 계정들의 $HOME/.rhosts 파일이 없을 경우 혹은 신뢰된 호스트들의 목록만 가지고 있을 경우

           - /etc/hosts.equiv 및 $HOME/.rhosts 파일 소유자가 root 또는 해당 계정인 경우

           - /etc/hosts.equiv 및 $HOME/.rhosts 파일 권한이 600 이하인 경우

           - /etc/hosts.equiv 및 $HOME/.rhosts 파일 설정에 '+' 설정이 없는 경우

* 취약 - /etc/hosts.equiv 또는 각 계정들의 $HOME/.rhosts 파일에 '+' 설정이나 불필요한 계정/호스트 IP가 존재할 경우

           - 위 각각의 설정이 적용되어있지 않은 경우

 

● 확인방법

- /etc/hosts.equiv 파일 또는 [각 계정의 홈디렉터리]/.rhosts 파일 소유자 및 권한 확인

# ls -al /etc/hosts.equiv

# ls -al $HOME/.rhosts

 

- /etc/hosts.equiv 파일 또는 [각 계정의 홈디렉터리]/.rhosts 파일 내에 '+' 설정이나 불필요한 계정 및 호스트 
IP가 존재하는지 확인

# cat /etc/hosts.equiv

# cat $HOME/.rhosts

 

 

● 조치방법

- /etc/hosts.equiv 파일 또는 $HOME/.rhosts 파일의 소유자를 root 또는 해당 계정으로 변경

# chown root /etc/hosts.equiv

# chown <user_name> $HOME/.rhosts

 

- /etc/hosts.equiv 파일 또는 $HOME/.rhosts 파일 권한을 600 이하로 변경

# chmod 600 /etc/hosts.equiv

# chmod 600 $HOME/.rhosts

 

- /etc/hosts.equiv 파일 또는 $HOME/.rhosts 파일에서 '+'를 제거하고 허용 호스트 및 계정 등록

 

+ +	모든 호스트의 계정을 신뢰
+ test	모든 호스트의 test 계정을 신뢰
test +	test 호스트의 모든 계정을 신뢰