Re : 초보자의 보안관리

News, Internal, Projects, Home
Software, Support, Documentation

Re : 초보자의 보안관리

To: questions@xxxxxxxxxxxxxx
Subject: Re : 초보자의 보안관리
From: 김태훈 <kth@xxxxxxxxxx>
Date: Wed, 02 Jan 2002 10:18:12 +0900
Content-transfer-encoding: 8bit
Content-type: text/plain; charset=EUC-KR
Delivered-to: questions-outgoing@kr.freebsd.org
Delivered-to: questions@kr.freebsd.org
Reply-to: questions@xxxxxxxxxxxxxx
Sender: owner-questions@xxxxxxxxxxxxxx

안녕하세요~

> 강의 보조용으로 웹서버를 구축할려고 오픈버드에서 4.4 버전 시디
구입하여 사무실에 있는 컴퓨터에 프리비를 깔고
> 집에서 ftp와 telnet을 이용하여 홈페이지 제작중이었는데 누군가가
침입하여 root의 암호를 바꿔놓은것 같습니다. 사무실

만약 그렇다면,

telnet 경우엔 사용하지 않는 것이 바람직 합니다. 스니핑의 우려도 있고,
BSD계열의 telnetd에서 취약성이
발견되었기 때문이기도 하고요. 가급적이면 ssh를 사용하는 것이
바람직합니다. (물론, ssh 데몬에 대한
취약성이 보고되고 있지만, 최소한 네트웤 스니핑에서는 안전할 수 있거든요
^^)

FTP 경우엔, 사용을 해야 한다면 Anonymous로 접근을 허가 해서는 안됩니다.
그리고 ftp보다는 scp등을
습관화 하는 것도 좋을 것 같습니다.

그 밖에 나머지 오픈된 포트도 체크를 하시는 것이 좋을 것 같습니다.

그리고, 강의 보조로 웹 서버를 구축하고 있다면, 웹 서버 구축시 공개되어
있는 게시판이나 툴을 사용하고
있다면 그 공개된 툴의 취약성도 검토해야 합니다. 요즈음, PHP로 구현된
공개 툴(php-nuke)의 취약성을
공격하여 원격에서 루트 권한을 얻을 수 있는 취약성이 발견되었기
때문입니다.

> 출입한 사람은 없을걸로 믿기 때문에 해커의 짓으로 짐작하고 있습니다.
이런 일이 어떻게 가능하게 되었는지

-> 취약성을 공격할 수 있는 익스플로잇을 이용하면 가능 할 것으로
보입니다. 그리고 내부자의 소행도 음.........

-> 혹시 그 시스템에 로컬 사용자 계정이 발급되어 있다면, 그 로컬 사용자의
히스토리도 검토해 볼 필요가 있습
니다. 로컬 시스템에서 해킹이 remote 해킹보다 훨 쉽기 때문입니다.

> 알고싶군요. 그리고 다시 이런 일을 당하지 않기 위해서는 어떤 조치를
해햐 하는지 말씀해 주시면 감사하겠습니다.

먼저, 해킹 유무에 대해서 피해 조사를 해볼 필요가 있을 것 같습니다.

참고할 만한 문서는,

-> http://www.certcc.or.kr/paper/tr2001/tr2001-03/Scene-of-the-Crime.pdf

-> http://www.certcc.or.kr/paper/tr2001/tr2001-05/unix_log_analysis.pdf
->
http://www.certcc.or.kr/paper/tr2001/tr2001-07/Unix_log_analysis_II.pdf

등이 있습니다. (루트킷 설치되어 있을 수 있기 때문에, 해킹당하지 않은
시스템에서 체크관련 파일(ps,netstat,
find,ls,w 등등)을 복사하여 체크 하는 것이 좋을 것 같습니다.)

조사 결과가 해킹으로 판단되었다면, 시스템을 재설치 하는 것이
바람직합니다. 재 설치 하기 위해 데이타를
백업 받을 때 루트킷마저 백업을 받을 수 있기 때문에 조심해야 합니다. 특히
CGI형식의 루트킷을 확인할 필요
가 있을 것으로 보입니다.

다음은 FreeBSD Security How-To 관련된 문서입니다. 참고하시길 바랍니다.
http://people.freebsd.org/~jkb/howto.html

그리고, root의 권한도 제한시킬 수 있는 서버 보안 제품을 설치해 보는 것도
좋을 것 같습니다. FreeBSD용 공개용
툴이 있을 것 같은데요, 리눅스 경우엔 LIDS라는 서버보안 제품이 있어서
공객된 서버에 설치하면 해킹 당해도 피해
를 최소화 시킬 수 있는 장점이 있습니다.

> 참고로 이 질문을 혹시 게시판에 올리시려면 익명으로 하여 주시고 저의
email 주소도 공개하지 말아 주시길 바랍니다.

> 그럼 좋은 말씀 고대합니다. 오영기 올림

--
To Unsubscribe: send mail to majordomo@kr.FreeBSD.org
with "unsubscribe questions" in the BODY of the message

이전 글: sendmail+sasl 에 대해서...
다음 글: ip_fw_ctl : neither in nor out 이라는 에러 메시지가....
이전 댓글: Re: sendmail+sasl 에 대해서...
다음 댓글: ip_fw_ctl : neither in nor out 이라는 에러 메시지가....

[ 날짜순 색인 ] [ 댓글순 색인 ] [ 최상위 색인]