본문 바로가기

공부/KISA84

root 이외의 UID가 '0' 금지 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 보안 가이드라인 - UNIX 서버 - 계정관리(선택사항) - root 이외의 UID가 '0' 금지 취약점 개요 점검 내용 사용자 계정 정보가 저장된 파일에 root(UID=0) 계정과 동일한 UID(User Idntification)를 가진 계정이 존재하는지 점검 점검 목적 root 계정과 동일한 UID가 존재하는지 점검하여 root 권한이 일반 .. 2020. 8. 3.
패스워드 파일 보호 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 보안 가이드라인 - UNIX 서버 - 계정관리(기본사항) - 패스워드 파일 보호 취약점 개요 점검 내용 시스템의 사용자 계정(root, 일반계정) 정보가 저장된 파일(예 /etc/passwd, /etc/shadow)에 사용자 계정 패스워드가 암호화되어 저장되어 있는지 점검 점검 목적 일부 오래된 시스템의 경우 패스워드 정책이 적용되지 않아 /etc.. 2020. 7. 31.
계정 잠금 임계값 설정 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 보안 가이드라인 - UNIX 서버 - 계정관리(기본사항) - 계정 잠금 임계값 설정 취약점 개요 점검 내용 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검 점검 목적 시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 점검하여 비인가자의 공격(무작위 대입 공격, 추측 공격) 시도 시 로그인 실패 임계값에 따라 로그인을 차단하.. 2020. 7. 30.
패스워드 복잡성 설정 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 보안 가이드라인 - UNIX 서버 - 계정관리(기본사항) - 패스워드 복잡성 설정 취약점 개요 점검 내용 시스템 정책에 사용자 계정(root 및 일반 계정 모두 해당) 패스워드 복잡성 관련 설정이 되어 있는지 점검 점검 목적 패스워드 복잡성 관련 정책이 설정되어 있는지 점검하여 비인가자의 공격(무작위 대입 공격, 사전 대입 공격 등)에 대비가 되어.. 2020. 7. 27.
root 계정 원격 접속 제한 - KISA 주요정보통신기반시설 기술적 취약점 분석ㆍ평가 방법상세가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 보안 가이드라인 - UNIX 서버 - 계정관리(기본사항) - root 계정 원격 접속 제한 취약점 개요 점검 내용 시스템 정책에 root 계정의 터미널 접속 차단 설정이 적용되어 있는지 점검 점검 목적 root 계정 원격 접속 차단 설정 여부를 점검하여 외부 비인가자의 root 계정 접근 시도를 원천적으로 차단하는지 확인하기 위함 보안 위협 각종 .. 2020. 7. 24.
취약한 API 사용 - KISA 소프트웨어 개발 보안 가이드 https://www.kisa.or.kr/public/laws/laws3.jsp 기술안내서 가이드 < 관련법령·기술안내서 < 자료실 : 한국인터넷진흥원 기술안내서 가이드 한국인터넷진흥원 기술안내서 가이드 입니다. 게시판 목록 보기 기술안내서 가이드 표 대분류 소분류 기술안내서 가이드 대상 수준 인터넷 진흥 및 이용 활성화 인터넷 진흥 www.kisa.or.kr 구현 단계 시큐어코딩 가이드 - API 오용 - 취약한 API 사용 가. 개요 취약한 API는 보안상 금지된(banned) 함수이거나, 부주의하게 사용될 가능성이 많은 API를 의미한다. 이들 범주의 API에 대해 확인하지 않고 사용할 때 보안 문제를 발생시킬 수 있다. 금지된 API의 대표적인 예로는 스트링 자료와 관련된 gets(), strca.. 2020. 7. 22.