서버 보안 취약점 평가_SRV043

※ 이 글에서는 LINUX 기준으로만 작성하였습니다.

평가항목 ID	구분	평가항목	상세설명	주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시)
SRV-043	기술적 보안	웹 서비스 경로 내 불필요한 파일 존재	웹 서비스 설치 시 기본으로 생성되는 설명 파일 또는 테스트 페이지로 인한 불필요한 정보 노출이 발생할 수 있으므로, 불필요한 파일의 존재 여부를 점검	(상) [서비스 관리] U-38 웹서비스 불필요한 파일 제거

 

평가대상 (AIX)	평가대상 (HP-UX)	평가대상 (LINUX)	평가대상 (SOLARIS)	평가대상 (WIN)
O	O	O	O	O

● 점검목적

- Apache 설치 시 디폴트로 설치되는 불필요한 파일을 제거함을 목적으로 함

 

 

● 보안위협

- Apache 설치 시 htdocs 디렉터리 내에 매뉴얼 파일은 시스템 관련 정보를 노출하거나 해킹에 악용될 수 있음

 

 

● 판단기준

* 양호 - 불필요한 파일이 존재하지 않을 경우

* 취약 - 불필요한 파일이 존재하는 경우(디폴트 cgi-bin이 존재 / 임시 파일, 백업 파일 등이 존재)

 

 

● 확인방법

- cgi-bin 혹은 임시 파일 존재여부 확인

 

 

● 조치방법

- 불필요한 파일 또는 디렉터리 삭제

# rm -rf [파일 또는 디렉터리]