FreeBSD 보안 하드닝 Tip
이번 호에는 인터넷에 무작위로 떠 돌고 있는 FreeBSD 시스템의 하드닝에 관하여 간단히 몇 가지를 정리해 보았습니다.
다른 OS와 다르게 많이 알려지지 않은 탓일까? 리눅스에 비해 발표되는 취약성이 많지 않은 편입니다. 시스템 하드닝을 하기 위해서 손 댈 곳도 많지 않습니다. BSD는 TCP/IP를 먼저 채택한 OS로 알려지며 어느 OS보다 네트워크가 튼실하다고 합니다. 야후가 Fore-End 서버를 BSD로 쓰고 있는 것을 보면 네트워크 하나만큼은 다른 OS에 비해 강력하다고 볼 수 있을 것입니다.

아래 내용들은 버전에 따라 내용이 다를 수 있습니다. 이점 유의 하시기 바랍니다.

1. Startup

1) 목적: 시스템 부팅 시에 시작되는 시작 프로그램에 의해 발생 할 수 있는 해킹 시도를 미연에 방지합니다.

2) 점검 방법
  • /etc/inetd.conf 파일 permission 점검
    inetd.conf내의 설정을 점검하여 불필요한 서비스나 보안상 취약한 서비스가 있는지 점검한다.
    Default 값은 모든 inetd.conf 설정은 disable 되어있다.
  • /etc/defaults/rc.conf내의 설정 상태를 확인 후 /etc/rc.conf의 설정을 비교하여 서비스를 점검한다.


3) 설정 방법
  • inetd를 사용할 경우 inetd.conf에서 사용하지 않는 서비스는 주석처리하고 process를 재 시작 한다.
  • /etc/default 디렉토리의 rc.conf는 수정하여서는 안 된다. 불필요한 서비스가 실행 중이라면 /etc 디렉토리에 있는 rc.conf에서 수정하여야 한다.



다음 표와 같이 설정 값을 확인하고 변경한다.



2. 패스워드 수준

1) 목적: 잘못 설정되어 있는 패스워드 설정을 점검하여 패스워드를 이용한 해킹 시도를 방지한다.

2) 점검 방법
- Password 생성 기본 암화화 방식은 md5로 설정되어 있다. Md5는 암호화 방식이 간단하여 쉽게 crack이 된다.
- Password 생성시 복잡성을 만족하는지 점검한다. 복잡성을 만족하지 않게 설정을 하면 사용자들이 간단하게 password를 설정함으로써 쉽게 crack을 당할 수 있다.
- Password 생성시 최소 암호 길이를 점검한다. 기본값은 5이다. 암호의 길이가 짧으면 crack하기가 쉬워 진다.

3) 설정 방법
- Password의 encryption 방식을 blowfish로 변경한다. Blowfish는 DES이후에 나온 암호화 방식으로 DES보다는 강력한 암호화 방식이다. Password를 생성할 때 복잡성을 만족시키려면 a-z, A-Z, 0-9, 특수문자 등을 포함하여 생성 할 수 있다.
- Password crack 툴들은 8자 단위로 암호를 crack한다. 그러므로, password의 최소 길이를 8자 이상으로 설정한다.
관련 내용을 /etc/login.conf에 설정 변경 또는 추가 한다.
:passwd_format=blf:\
:mixpasswordcase=true:\
:minpasswordlen=8:\

3. 네트워크 무결성

1) 목적: 네트워크 취약성을 이용하여 악용될 소지가 있는 파일과 설정 사항들을 점검한다.

2) 점검방법:
/etc/rc.conf
/etc/rc.conf의 내용을 수정하기 이전에 /etc/defaults/rc.conf 파일을 먼저 살펴 보아야 한다.
시스템에서 쉘 스크립트를 실행 시키는 순서는 /etc/defaults/rc.conf의 내용을 먼저 읽어 들인 다음 /etc/rc.conf 파일의 내용을 읽어 들인다. /etc/rc.conf파일의 내용은 쉘 스크립트 실행여부, 네트워크 설정 등이 포함되어 있다.
/etc/systel.conf
커널 파라멘터의 값을 확인하여 네트워크 파라미터의 설정 값에 취약점이 있는지 점검한다.

3) 설정 방법
/etc/rc.conf
다음과 같이 설정 값을 변경한다



/etc/sysctl.conf
네트워크 파라미터의 값을 수정한 후 시스템을 reboot 한다.



[ Reference ]

- FreeBSD handbook(보안 부분)
http://www.freebsd.org/doc/en_US.ISO8859-/books/handbook/security.html

- FreeBSD Security How-To

http://www.windowsecurity.com/whitepaper/unix_security/FreeBSD_Security_HowTo.html

[저자] 안랩코코넛 SM사업부 권혁철 대리

[출처] 안랩코코넛 SECU-LETTER 4월호

'Security' 카테고리의 다른 글

Tomcat 보안 개요  (0) 2009.03.12
centos5 geoip patch하기  (0) 2008.07.30
MySQL DB 보안(1)  (0) 2007.06.11
SSH 보안설정  (0) 2007.06.11
[솔라리스 강좌] 설정 변경과 시스템 보안 설정  (0) 2006.06.11
, .