이번 호에는 인터넷에 무작위로 떠 돌고 있는 FreeBSD 시스템의 하드닝에 관하여 간단히 몇 가지를 정리해 보았습니다. 다른 OS와 다르게 많이 알려지지 않은 탓일까? 리눅스에 비해 발표되는 취약성이 많지 않은 편입니다. 시스템 하드닝을 하기 위해서 손 댈 곳도 많지 않습니다. BSD는 TCP/IP를 먼저 채택한 OS로 알려지며 어느 OS보다 네트워크가 튼실하다고 합니다. 야후가 Fore-End 서버를 BSD로 쓰고 있는 것을 보면 네트워크 하나만큼은 다른 OS에 비해 강력하다고 볼 수 있을 것입니다.
아래 내용들은 버전에 따라 내용이 다를 수 있습니다. 이점 유의 하시기 바랍니다.
1. Startup
1) 목적: 시스템 부팅 시에 시작되는 시작 프로그램에 의해 발생 할 수 있는 해킹 시도를 미연에 방지합니다.
2) 점검 방법
- /etc/inetd.conf 파일 permission 점검
inetd.conf내의 설정을 점검하여 불필요한 서비스나 보안상 취약한 서비스가 있는지 점검한다. Default 값은 모든 inetd.conf 설정은 disable 되어있다.
- /etc/defaults/rc.conf내의 설정 상태를 확인 후 /etc/rc.conf의 설정을 비교하여 서비스를 점검한다.
3) 설정 방법
- inetd를 사용할 경우 inetd.conf에서 사용하지 않는 서비스는 주석처리하고 process를 재 시작 한다.
- /etc/default 디렉토리의 rc.conf는 수정하여서는 안 된다. 불필요한 서비스가 실행 중이라면 /etc 디렉토리에 있는 rc.conf에서 수정하여야 한다.
다음 표와 같이 설정 값을 확인하고 변경한다.
2. 패스워드 수준
1) 목적: 잘못 설정되어 있는 패스워드 설정을 점검하여 패스워드를 이용한 해킹 시도를 방지한다.
2) 점검 방법 - Password 생성 기본 암화화 방식은 md5로 설정되어 있다. Md5는 암호화 방식이 간단하여 쉽게 crack이 된다. - Password 생성시 복잡성을 만족하는지 점검한다. 복잡성을 만족하지 않게 설정을 하면 사용자들이 간단하게 password를 설정함으로써 쉽게 crack을 당할 수 있다. - Password 생성시 최소 암호 길이를 점검한다. 기본값은 5이다. 암호의 길이가 짧으면 crack하기가 쉬워 진다.
3) 설정 방법 - Password의 encryption 방식을 blowfish로 변경한다. Blowfish는 DES이후에 나온 암호화 방식으로 DES보다는 강력한 암호화 방식이다. Password를 생성할 때 복잡성을 만족시키려면 a-z, A-Z, 0-9, 특수문자 등을 포함하여 생성 할 수 있다. - Password crack 툴들은 8자 단위로 암호를 crack한다. 그러므로, password의 최소 길이를 8자 이상으로 설정한다. 관련 내용을 /etc/login.conf에 설정 변경 또는 추가 한다. :passwd_format=blf:\ :mixpasswordcase=true:\ :minpasswordlen=8:\
3. 네트워크 무결성
1) 목적: 네트워크 취약성을 이용하여 악용될 소지가 있는 파일과 설정 사항들을 점검한다.
2) 점검방법: /etc/rc.conf /etc/rc.conf의 내용을 수정하기 이전에 /etc/defaults/rc.conf 파일을 먼저 살펴 보아야 한다. 시스템에서 쉘 스크립트를 실행 시키는 순서는 /etc/defaults/rc.conf의 내용을 먼저 읽어 들인 다음 /etc/rc.conf 파일의 내용을 읽어 들인다. /etc/rc.conf파일의 내용은 쉘 스크립트 실행여부, 네트워크 설정 등이 포함되어 있다. /etc/systel.conf 커널 파라멘터의 값을 확인하여 네트워크 파라미터의 설정 값에 취약점이 있는지 점검한다.
3) 설정 방법 /etc/rc.conf 다음과 같이 설정 값을 변경한다
/etc/sysctl.conf 네트워크 파라미터의 값을 수정한 후 시스템을 reboot 한다.
[ Reference ]
- FreeBSD handbook(보안 부분) http://www.freebsd.org/doc/en_US.ISO8859-/books/handbook/security.html
- FreeBSD Security How-To http://www.windowsecurity.com/whitepaper/unix_security/FreeBSD_Security_HowTo.html
[저자] 안랩코코넛 SM사업부 권혁철 대리
[출처] 안랩코코넛 SECU-LETTER 4월호 |
RECENT COMMENT