반응형
Linux CentOS 7 기본 보안 설정 조치
Linux 서버를 운영하고 있는 사람이라면 기본적으로 설정해야할 보안조치
1. 리눅스 커널 취약점 발견 및 업데이트 필요.
| 조치필요 | Vulnerable software installed: Linux kernel 3.10.0-1160.31.1.el7 Required patch [CVE-2021-33909] is not installed, no patches discovered. [CVE-2021-33909] / [CVE-2020-11668] / [CVE-2019-20934] / [CVE-2021-33033] / [CVE-2021-33034] |
| 조치사항 | # yum update kernel 확인  |
| 비고 | 커널 업데이트 후 재부팅 필요 |
2. microcode_ctl 취약점 발견 및 업데이트 필요.
| 조치필요 | microcode_ctl - version 2:2.1-73.9.el7_9 is installed |
| 조치사항 | # yum update microcode_ctl |
| 비고 |
3. ROOT 계정 직접 접속 제한
| 조치필요 | Root의 직접 접속 제한 Following entries in /etc/securetty may allow anonymous root logins: ttysclp0sclp_line03270/tty1hvc0hvc1hvc2hvc3hvc4hvc5hvc6hvc7hvsi0 Hvsi1hvsi2xvc0 |
| 조치사항 | #vi /etc/securetty vc, pts, tty로 시작하는 접근방식 주석처리 tty : 콘솔이나 터미널을 의미함 pts : 네트워크를 통해 시스템에 원격접속 했을때 열리는 터미널 hvc : Hypervisor Console   SSH 접근시에는 /etc/ssh/sshd_config 설정을 통해 Root 직접접근 제한 |
| 비고 | https://boanchung.tistory.com/22 |
4. ipv4 보안설정
| 조치필요 | The net.ipv4.conf.all.accept_redirects sysctl variable is set to 1, expected 0. The net.ipv4.conf.default.accept_redirects sysctl variable is set to 1, expected 0. The net.ipv4.conf.all.secure_redirects sysctl variable is set to 1, expected 0. The net.ipv4.conf.default.secure_redirects sysctl variable is set to 1, expected 0. Able to determine system boot time |
| 조치사항 | # vi /etc/sysctl.conf  |
| 비고 | https://www.whonix.org/wiki/Disable_TCP_and_ICMP_Timestamps https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux_for_real_time/7/html/tuning_guide/reduce_tcp_performance_spikes https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/6/html/security_guide/sect-security_guide-server_security-disable-source-routing |
5. SSH 약한 암호화 방식 사용하지 않기
| 조치필요 | Running SSH serviceInsecure key exchange algorithms in use : diffiehellman-group-exchange-sha1,diffie-hellman-group1-sha1 Running SSH serviceInsecure CBC ciphers in use : aes128-cbc,aes192-cbc,aes256-cbc,blowfish-cbc,cast128-cbc,3des-cbc Running SSH serviceInsecure 3DES ciphers in use: 3des-cbc |
| 조치사항 | # /etc/ssh/sshd_config 아래 키교환 알고리즘 및 암호화 방식(Ciphers) 지정  |
| 참고자료 | OpenSSH (mozilla.org) (https://infosec.mozilla.org/guidelines/openssh) |
| 부작용 | 사용하던 Putty의 버전이 낮으면 아래와 같이 SSH접속에 이슈가 발생할 수 있다.  해결방안 : putty 버전 업그레이드 (0.62 > 0.76) https://kb.vmware.com/s/article/51526 |
6. 파티션에 nodev 옵션
| 조치필요 | The following issues were discovered: /boot partition does not have 'nodev' option set. |
| 조치사항 | # vi /etc/fstab /boot 파티션에 nodev추가  |
| 비고 | https://kb.iweb.com/hc/en-us/articles/230267488--Increasing-Linux-server-security-with-nodev-nosuid-and-no-exec-options |
7. owner or group 이 없는 파일이 없도록 하기
| 조치필요 | The following un-owned files were found. |
| 조치사항 | 서버에 owner or group이 없는 파일을 찾아서 조치 필요. # find / -nouser -o -nogroup 대상 파일은 모두 root에게 할당 or 삭제 # chown root:root filename |
| 비고 | https://www.cyberciti.biz/faq/find-files-that-do-not-have-any-owners-or-do-not-belong-to-any-user-under-linuxunix/ |
8. umask 077로 설정하기
| 조치필요 | The umask value was found to be 0022 but was expected to be 0077 |
| 조치사항 | /etc/login.defs /etc/profile  /etc/bashrc  ~/.bash_profile  ~/.bashrc  |
| 참고자료 | https://www.stigviewer.com/stig/hp-ux_smse/2014-02-28/finding/V-40494 |
반응형
'IT Knowledge > 보안' 카테고리의 다른 글
| How to create self-signed wildcard certificate(OpenSSL) (0) | 2021.10.01 |
|---|---|
| OpenSSL을 사용하여 self-signed 인증서 체인 만들기 (0) | 2021.09.25 |
| Nginx client authentication with multiple certificates (2) | 2021.09.17 |
| OpenSSL Self-signed 인증서 만들기(create) (4) | 2021.09.17 |
| Linux 로그인 메시지(CentOS, issue) (2) | 2021.04.14 |
댓글