오늘은 별 내용이 없다
1. 계정 관리
- root 이외의 UID 0 금지
- 개요 — root 계정과 동일한 UID를 가진 일반 사용자 계정 존재 시 일반 사용자 계정도 root 권한으로 시스템 접근 가능
- 실습
- 보안 설정
- passwd 파일 내 사용자 계정 UID 점검
- 사용자 계정 UID 변경
- SOLARIS, LINUX, HP-UX — usermod
- AIX — chuser
- 패스워드 복잡성 설정
- 개요
- 보안 설정
- 부적절한 패스워드 유형
- 패스워드 관리 방법
- 대문자, 소문자, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 또는 3종류 이상 조합하여 최소 8자리
- 시스템마다 다른 패스워드를 사용하고, 패스워드 기록 시 변형하여 기록
- 패스워드 복잡성 설정 방법(RedHat 리눅스 예)
- system-auth 서비스 PAM 설정 파일을 이용하여 패스워드 복잡성 설정
- 설정 파일 경로 — /etc/pam.d/system-auth
- pam_cracklib.so 모듈 — 패스워드 설정 시 복잡성 검사를 위해 사용하는 PAM 모듈
- 권장 설정 방식(pam_cracklib.so 모듈의 인수 권장 설정)
- lcredit=-1 — 최소 1자 이상의 소문자
- ucredit=-1 — 최소 1자 이상의 대문자
- dcredit=-1 — 최소 1자 이상의 숫자
- ocredit=-1 — 최소 1자 이상의 특수문자
- minlen=8
- difok=N — 새 비밀번호가 이전 비밀번호와 달라야 하는 문자 수
- system-auth 서비스 PAM 설정 파일을 이용하여 패스워드 복잡성 설정
- 패스워드 최소 길이 설정
- 개요
- 보안 설정
- 각 OS별 패스워드 정책 설정 파일 점검
- SOLARIS — /etc/default/passwd
- LINUX — /etc/login.defs
- AIX — /etc/security/user
- HP-UX — /etc/default/security
- 각 OS별 패스워드 정책 설정 파일 점검
- 패스워드 최대 사용 기간 설정
- 개요
- 보안 설정
- 각 OS별 패스워드 정책 설정 파일 점검 — 90일(12주)
- 패스워드 최소 사용 기간 설정 — 1일(1주)
- 패스워드 파일 보호
- 개요
- 보안 설정
- SOLARIS, LINUX 운영체제 점검
- shadow 파일의 패스워드 암호화 존재 확인
- /etc/passwd 파일 내 두 번째 필드가 x로 표시되어 있는지 확인
- 패스워드 정책 관련 변경 관련 명령어
- pwconv
- pwunconv
- AIX 운영체제 점검 — /etc/security/passwd 파일 내 패스워드 암호화 여부 확인
- HP-UX 운영체제 점검
- Trust Mode 전환 시 패스워드를 암호화하여 /tcb/files/auth 디렉터리에 계정 이니셜과 계정 이름에 따라 파일로 저장 및 관리 — /tcb/files/auth/[User 이니셜]/[User]
- Trust Mode 설정 여부 확인
- /tcb 디렉터리 존재 여부 확인
- /etc/passwd 파일 내 두 번째 필드가 x로 표시되어 있는지 확인
- Trust Mode 관련 명령어(root로 실행)
- 설정 — /etc/tsconvert
- 해제 — /etc/tsconvert -r2
- SOLARIS, LINUX 운영체제 점검
- Session Timeout 설정
- 개요
- 보안 설정
- sh, ksh, bash — /etc/profile(.profile) 초
- csh — /etc/csh.login 또는 /etc/csh.cshrc 분
- 600초(10분) 이하
2. 파일 및 디렉터리 관리
- root 홈, 패스 디렉터리 권한 및 패스 설정
- 개요 — PATH 환경변수에 .이 맨 앞 또는 중간에 있으면 root가 의도하지 않은 명령이 실행될 수 있으므로 PATH 환경변수의 마지막으로 이동시키거나 불필요한 경우 삭제
- 실습(Linux)
- 보안 설정
- /bin/sh — /etc/profile, $HOME/.profile
- /bin/bash — /etc/profile, $HOME/.bash_profile
- /bin/ksh — /etc/profile, $HOME/.profile, $HOME/kshrc
- /bin/csh — /etc/.login, $HOME/.cshrc, $HOME/.login
- 파일 및 디렉터리 소유자/소유 그룹 설정
- 개요 — 소유자나 소유 그룹이 존재하지 않는 파일의 UID 또는 GID로 특정 사용자 계정의 UID나 특정 그룹의 GID를 악의적으로 변경하면 소유자 또는 소유 그룹의 권한으로 해당 파일에 접근할 수 있는 위협 발생 가능
- 보안 설정
- World writable 파일 점검
- 개요
- World writable 파일 — 파일의 소유자나 소유 그룹에 속하지 않는 모든 사용자(Others)에 대해 쓰기가 허용된 파일
- 중요 파일에 World writable 설정이 되어있는 경우 비인가자에 의해 파일 변경 가능
- 보안 설정
- World wirtable 파일 검색 — find -perm -2(Others에 쓰기 권한이 있는 파일)
- 개요
- 주요 파일 소유자 및 권한 설정
- /etc/passwd — 644 이하
- /etc/shadow — 400 이하
- /etc/hosts — 600 이하
- /etc/inetd.conf, /etc/xinetd.conf — 600 이하
- /etc/syslog.conf, /etc/rsyslog.conf — 640 이하
- /etc/services — 644 이하
'정보보안기사' 카테고리의 다른 글
| [정보보안기사(실기)] SECTION 04 네트워크 기본 학습 (1) (0) | 2026.04.15 |
|---|---|
| [정보보안기사(실기)] SECTION 03 윈도우 서버 취약점 (1) | 2026.04.13 |
| [정보보안기사(실기)] SECTION 01 시스템 기본 학습 (3) (0) | 2026.04.05 |
| [정보보안기사(실기)] SECTION 01 시스템 기본 학습 (2) (0) | 2026.03.25 |
| [정보보안기사(실기)] SECTION 01 시스템 기본 학습 (1) (0) | 2026.03.24 |