근짱의 정보보안

/etc/SnmpAgent.d/snmpd.conf       에서 점검.

cat /etc/SnmpAgent.d/snmpd.conf | grep -i "get-community-name"

cat /etc/SnmpAgent.d/snmpd.conf | grep -i "set-community-name"

여기서 원하는 것만 뽑아서 체크하면 된다.

hp-ux에서는 trustmode와 untrustmode가 쟁점이 될 수 있다.

계속해서 update 할 것이지만, 

console에서 확인할 수 있는 방법은,

#/usr/lbin/getprpw

System is not trusted.

의 방법이 있고,

trustmode가 되면

/tcb directory에서 관리하게 된다.

따라서 

if [ -d /tcb ]; then

fi

정도로 체크 해주면 되겠다.

trustmode 인 경우 /tcb/files/auth 파일의 권한 및 소유자를 점검하고,

untrustmode 인 경우 /etc/shadow 파일의 권한 및 소유자를 점검한다.

61. DNS Inverse Query 설정오류

( BIND 4.9.7 이하버전, BIND 8.2.2 이하버전 ) 해당 버전을 사용하고 있는 경우 취약

62. BIND 서버 버전 노출 여부

#vi /etc/namd.conf 

option {

version : I DONT KNOW // 해당부분 수정 알 

}

63. BIND Recursive Query 설정 미흡

64. DNS 보안 보전 패치

참고1) // 최신버전 자료

참고2) // EOL LIST        관련 자료 하이퍼링크 첨부.

66. DNS Zone Transfer 설정

- runlevel 확인

# runlevel

N 5

- runlevel 수정

cat /etc/inittab runlevel | grep -i 'initdefault:'

# vi /etc/inittab runlevel

id:5:initdefault:               // 수정

#reboot

syslog.conf 와 rsyslog.conf 파일의 기본 위치는 /etc 이다.

즉, 두 파일을 확인하려면

# cat /etc/syslog.conf 또는,

# cat /etc/rsyslog.conf 이다.

두 로그의 차이점은 다음에 살펴보도록 하고,,,

AIX에서는 

기본적으로 syslog를 사용할 수 있고, rsyslog는 설치 후 사용할 수 있다.

syslog과 rsyslog 의 프로세스 상태 확인 명령어는 동일하다.

#startsrc -s syslog

#stopsrc -s syslog

#lssrc -s syslog

* 참고사항 : 기존의 syslog를 정지하고 rsyslogd를 실행하려면 syslog_ssw -r

                기존의 rsyslog를 정지하고 syslog를 실행하려면 syslog_ssw -s

AIX에서 timestamp 확인하기.

#fc -t 

#cat /etc/environment | grep -i 'histsize' // size 확인하기

#vi /etc/environment // 원하는 만큼 수정.

양호 : 시스템에 로그인이 가능한 모든 계정이 패스워드가 설정되어 있는경우

로그인이 가능한지 확인하기 위해서는 해당 계정 쉘을 확인할 필요가 있다. (/bin/false 또는 /sbin/nologin 쉘인 경우 확인 계정 제외)

#cat /etc/passwd | egrep -v 'nologin|false'

이렇게 확인된 계정 중

passwd 파일 내, ':' 을구분자로 2번째 필드는 * 이어야한다.

aix의 passwd 파일 내 2번째 필드는 * 또는 !이다.

1) * : 해당 user에 비밀번호가 없는경우

2) ! : 해당 user에 비밀번호가 존재하는 경우

따라서 해당 user에 *가 있는지 없는지만 확인하면 된다.

tip ) 패스워드를 설정하지 않아서 passwd 파일 내 *가 존재하는 계정은

/etc/security/passwd 파일 내 정보가 존재하지 않는다.

AIX는 ftp 접근 제어를 /etc/ftpaccess.ctl 파일에서 한다.

/etc/ftpaccess.ctl의 파일의 형태는 

allow:, deny:,    --> host access

readonly:, writeonly:, readwrite:,  --> 권한 확인

useronly:, grouponly:,  --> 익명 사용자 정의

herald:, motd: --> 로그인 전후 확인

예를들면.

allow: host, host, …  (host 이름 또는 ip 주소로 설정할 수 있음)

deny: host, host, …

readonly: dirname, dirname, ...
writeonly: dirname, dirname, ...
readwrite: dirname, dirname, ...

useronly: username, username, ...
puseronly: username, username, ...
grouponly: groupname, groupname, ...
pgrouponly: groupname, groupname, ...

herald: path
motd: on|off

다양한 환경을 접해야겠지만,

파일 자체가 존재하지 않았기 때문에 파일에 allow: , deny: 뭐 이런 항목이 존재하기만 해도 양호로 판단해도 무방할 듯 하다.

if [ `egrep 'allow:|deny:' ~ | wc -l` -gt 0 ]; then 

else

fi

SMTP 서비스 expn/vrfy 명령어 실행 가능 여부를 확인해보자.

SMTP 서비스 conf FILE = /etc/mail/sendmail.cf

실행이 가능하면 안되니까 no option 값들을 추가한다.

# cat /etc/mail/sendmail.cf | grep -v "^#" | grep -i 'PrivacyOptions' | grep -i 'noexpn' | grep -i novrfy

# cat /etc/mail/sendmail.cf | grep -v "^#" | grep -i 'PrivacyOptions' | grep -i 'goaway'

* goaway 옵션

 authwarnings, noexpn, novrfy, noverb, needmailhelo, needexnhelo, needvrfyhelo, nobodyreturn를 세팅하기 위한 짧은 명령어라고 생각하면 된다

따라서 noexpn, novrfy 옵션이 없더라도, goaway 옵션이 추가되어 있어도 양호로 판단해도 될 듯 하다.

따라서 양호한 설정을 해주고,

# restartsrc -s sendmail을 하면, 적용이 된다.

참고

SMTP 서비스 명에 대한 확인이 필요한 경우

AIX에서 불필요한 SMTP 서비스를 실행하는지 확인하기

SMTP - sendmail, 25번 port

서비스가 구동중인지 확인하기

# netstat -na | grep -i 'LISTEN' | grep -w '25'     // port 확인

# lssrc -s sendmail | grep -i 'active'               // sendmail이 구동중인지 확인.

대응방안

1. 사용중이지 않는 port이면 닫아준다.

2. 사용중이지 않는 SMTP 서비스를 중지 시킨다.

# losf -i : 25

# stopsrc -s sendmail