하루에 하나씩

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-044 기술적 보안 웹 서비스 파일 업로드 및 다운로드 용량 제한 웹 서버에 불필요한 대량의 파일 업로드, 다운로드로 인한 서비스 거부 공격 위협이 존재하므로, 서버에 영향을 줄 정도의 대량의 업로드와 다운로드에 대한 통제 여부를 점검 (상) [서비스 관리] U-40 웹서비스 파일 업로드 및 다운로드 제한 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O O ● 점검목적 - 기반시설 특성상 원칙적으로 파일 업로드 및 다운로드를 금지하고 있지만 불가피하게 필요시 용량..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-043 기술적 보안 웹 서비스 경로 내 불필요한 파일 존재 웹 서비스 설치 시 기본으로 생성되는 설명 파일 또는 테스트 페이지로 인한 불필요한 정보 노출이 발생할 수 있으므로, 불필요한 파일의 존재 여부를 점검 (상) [서비스 관리] U-38 웹서비스 불필요한 파일 제거 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O O ● 점검목적 - Apache 설치 시 디폴트로 설치되는 불필요한 파일을 제거함을 목적으로 함 ● 보안위협 - Apache 설치 시 htdocs ..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-035 기술적 보안 취약한 서비스 활성화 알려진 취약점이 존재하는 서비스를 실행할 경우, 공격자의 침입 경로로 활용될 수 있기 때문에 취약한 서비스나 취약한 버전의 서비스가 실행되고 있는지 점검 ( tftp, talk, ntalk, finger, 취약한 r 계열 서비스, echo, discard, daytime, chargen, NIS, NIS+ 서비스 등) (상) [서비스 관리] U-19 Finger 서비스 비활성화 (상) [서비스 관리] U-21 r 계열 서비스 비활성화 (상) [서비스 관리] U-23 DoS 공격에 취약한 서비스 비활성..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-027 기술적 보안 서비스 접근 IP 및 포트 제한 미비 서비스로의 접근이 통제되지 않을 경우 악의적인 사용자의 공격 목표가 될 수 있기 때문에 보안상 접근통제가 필요함. 방화벽, 3rd-party 제품 또는 tcpwrapper를 활용하여 서비스에 대한 IP 및 포트 접근제어를 수행하고 있는지 점검 (상) [파일 및 디렉터리 관리] U-18 접속 IP 및 포트 제한 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O O ● 점검목적 - 허용한 호스트에 대한 접속 IP..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-026 기술적 보안 root 계정 원격 접속 제한 미비 시스템 관리를 위한 root 계정의 원격 접속 허용은 악의적인 사용자가 무작위 대입 공격을 통해 시스템의 관리자 권한을 획득할 수 있는 위협을 증가시키므로, root 계정의 직접적인 원격 접속을 차단하고 있는지 여부를 점검 (상) [계정 관리] U-01 root 계정 원격접속 제한 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O ● 점검목적 - 관리자 계정 탈취로 인한 시스템 장악을 방지하기 위해 외부 비인가..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-025 기술적 보안 취약한 hosts.equiv 또는 .rhosts 설정 존재 hosts.equiv, .rhosts 파일 내에 등록된 시스템이나 사용자는 시스템 접근 시 인증 절차 없이 r 계열 명령어(rexec, rlogin등)를 사용이 가능함. 특히 hosts.equiv, .rhosts 파일 내에 `+ +` 구문 존재 시 시스템 root를 제외한 모든 사용자가 인증절차 없이 r 계열 명령어를 실행할 수 있는 등 보안 수준이 낮으므로 이러한 설정이 존재하는지 점검 (상) [파일 및 디렉터리 관리] U-17 $HOME/.rhosts, hos..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-022 기술적 보안 계정의 비밀번호 미설정, 빈 암호 사용 관리 미흡 시스템 접속 계정에 대한 비밀번호가 설정되어 있지 않은 경우 비인가자가 계정을 도용하여 인가되지 않은 파일 및 서비스에 접근할 수 있는 위협이 존재하므로, 계정에 비밀번호가 설정되어 있지 않거나 빈 비밀번호를 설정하였는지를 점검 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O O ● 점검목적 - 비밀번호가 설정되어있지 않은 취약한 계정을 통한 시스템 접근 방지 ● 보안위협 - 시스템 정보를 쉽게..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-021 기술적 보안 FTP 서비스 접근 제어 설정 미비 FTP는 파일을 전송하기 위한 프로토콜로 계정과 패스워드를 암호화하지 않고 평문 전송을 하며, 적절한 접근통제 정책 미적용 시 비인가자에게 시스템 파일이 노출될 수 있으므로 FTP 접근 제어 설정의 적절성 여부를 점검 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O O ● 점검목적 - 비인가자의 FTP 접속을 방지하여 계정 정보를 노출 및 시스템 파일 유출 등이 되지 않도록 하기 위함 ● 보안위협 - 적절한 ..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-015 기술적 보안 불필요한 NFS 서비스 실행 FTP 서비스는 파일을 전송하기 위한 프로토콜을 기반으로 하는 서비스로, 임의의 사용자가 FTP 서비스를 이용할 수 있는 익명(Anonymous) FTP 기능이 활성화된 경우 악의적인 사용자도 손쉽게 접근이 가능하므로 해당 기능의 허용 여부를 점검 (상) [서비스 관리] U-24 NFS 서비스 비활성화 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O ● 점검목적 - NFS(Network File System) 서비스..

※ 이 글에서는 LINUX 기준으로만 작성하였습니다. 평가항목 ID 구분 평가항목 상세설명 주요 정보통신기반시설 취약점 분석 평가기준 (과학기술정보통신부고시) SRV-012 기술적 보안 .netrc 파일 내 중요 정보 노출 .netrc 파일은 ftp 나 rexec 사용 시 자동 로그인을 위한 계정과 패스워드를 저장할 수 있는 파일로 계정 정보를 평문으로 저장하는 취약한 설정이므로, 해당 설정 파일이 존재하는지 점검 평가대상 (AIX) 평가대상 (HP-UX) 평가대상 (LINUX) 평가대상 (SOLARIS) 평가대상 (WIN) O O O O ● 점검목적 - ftp, rexec 사용 시 자동로그인을 목적으로 계정 정보를 평문저장하는 파일의 안전한 설정을 하고자 함 ● 보안위협 - 파일의 접근권한을 이용한 계..