Unix 및 관련 대상에서 인증: 모범 사례

Unix 및 Linux 같은 관련 시스템 스캔 시, 루트 액세스 없이 대부분의 취약점을 스캔할 수 있습니다. 일부 취약점 검사 및 여러 정책 검사에는 루트 액세스가 필요합니다. 루트가 아닌 사용자를 통한 스캔을 계획하는 경우, 계정에 지정된 권한이 있는지 확인하고, 루트가 아닌 사용자는 특정한 검사를 검색하지 못한다는 점을 알아 두어야 합니다. 다음 섹션에는 무엇을 구성할지 및 루트 액세스로만 검색할 수 있는 것이 무언인지에 대한 지침이 있습니다. 검사의 복잡성과 잦은 업데이트 빈도로 인해, 이 목록은 변경될 수 있습니다.

루트가 아닌 사용자로서 스캔할 때, 최대한 포괄적으로 취약점을 스캔하려면 다음 중 한 가지가 필요합니다.

• 실제 루트 계정을 이용하지 않고 명령을 루트로서 실행할 수 있도록 권한을 상승합니다.

또는

• 루트가 아니 스캔 사용자가 지정된 명령 및 디렉토리에서 권한을 가질 수 있도록 시스템을 구성합니다.

다음 섹션은 이러한 옵션에 대한 구성을 설명합니다.

권한 상승 지원을 위해 스캔 환경 구성

루트 사용자나 사용자 지정 구성없이 스캔 권한을 상승하는 한 가지 방법은 sudo나 pbrun 같은 권한 상승을 이용하는 것입니다. 이러한 옵션에는 특정한 구성(예를 들어 pbrun의 경우, 사용자의 쉘을 화이트리스트에 추가해야 함)이 필요하지만, 아래의 애플리케이션이 실행하는 명령에 있는 설명과 같이 권한을 사용자 지정할 필요는 없습니다. 권한 상승에 대한 자세한 내용은, Unix 및 관련 대상에서 인증: 모범 사례를 참조하십시오.

애플리케이션이 실행하는 명령

다음 섹션은 스캔 시 애플리케이션이 실행하는 명령에 대한 지침이 있습니다. 이러한 명령의 대부분은 루트 없이 실행 가능합니다. 앞에서 언급된 바와 같이, 이러한 목록은 새로운 검사가 추가되면서 변경될 수 있습니다.

이러한 명령의 대부분은 다음 중 하나를 위해 필요합니다.

• 운영 체제 버전 확보
• 설치된 소프트웨어 패키지 버전 확보
• 쉘 스크립트로서 구현된 정책 검사 실행

注意: 이 애플리케이션은 이러한 명령이 $PATH 변수에 속하며 비표준 $PATH 충돌이 존재하지 않을 것으로 기대합니다.

모든 Unix/Linux 배포에 필요한 명령은 다음과 같습니다.

• ifconfig
• java
• sha1
• sha1sum
• md5
• md5sum
• awk
• grep
• egrep
• cut
• id
• ls

Nexpose는 특정한 파일 스캔을 시도하고, 사용자 계정에 이러한 파일에 액세스할 적절한 권한이 있는 경우 해당하는 검사를 수행할 수 있습니다. 다음은 액세스를 위해 이 계정에 필요한 파일 또는 디렉토리 목록입니다.

• /etc/group
• /etc/passwd
• grub.conf
• menu.lst
• lilo.conf
• syslog.conf
• /etc/permissions
• /etc/securetty
• /var/log/postgresql
• /etc/hosts.equiv
• .netrc
• '/', '/dev', '/sys', and '/proc' "/home" "/var" "/etc"
• /etc/master.passwd
• sshd_config

Linux는, 해당하는 경우, 배포를 파악하기 위해 다음 파일을 판독해야 합니다.

• /etc/debian_release
• /etc/debian_version
• /etc/redhat-release
• /etc/redhat_version
• /etc/os-release
• /etc/SuSE-release
• /etc/fedora-release
• /etc/slackware-release
• /etc/slackware-version
• /etc/system-release
• /etc/mandrake-release
• /etc/yellowdog-release
• /etc/gentoo-release
• /etc/UnitedLinux-release
• /etc/vmware-release
• /etc/slp.reg
• /etc/oracle-release

모든 Unix 또는 관련 변형(예: Ubuntu 또는 OS X)에는 특정한 검사를 실행하기 위해 계정이 수행해야 하는 특정한 명령이 있습니다. 이러한 명령은 계정에 대해 화이트리스트에 추가되어야 합니다.

계정은 특정한 검사를 위해 다음의 명령을 수행할 수 있어야 합니다.

• cat
• find
• mysqlaccess
• mysqlhotcopy
• sh
• sysctl
• dmidecode
• perlsuid
• apt-get
• rpm

다음과 같은 유형의 배포에 대해, 계정은 명시된 대로 권한을 실행해야 합니다.

Debian 기반 배포(예: Ubuntu):

• unix 이름
• dpkg
• egrep
• cut
• xargs

RPM 기반 배포(예: Red Hat, SUSE 또는 Oracle):

• unix 이름
• rpm
• chkconfig

Mac OS X:

• /usr/sbin/softwareupdate
• /usr/sbin/system_profiler
• sw_vers

Solaris:

• showrev
• pkginfo
• ndd

Blue Coat:

• 버전 표시

F5:

• "version", "show" 또는 "tmsh show sys version"

Juniper:

• unix 이름
• 버전 표시

VMware ESX/ESXi:

• vmware -v
• rpm
• esxupdate -a query || esxupdate query

AIX:

• lslpp –cL~목록 패키지
• oslevel

Cisco:

취약점 스캔에 필요:

• show version(참고: IOS, PIX, ASA, IOR-XR을 포함한 여러 Cisco 플랫폼에서 사용됨)

정책 스캔에 필요:

• show running-config all
• show line
• show snmp community
• show snmp group
• show snmp user
• show clock
• show ip ssh
• show ip interface
• show cdp
• show tech-support password

FreeBSD:

• freebsd-version은 FreeBSD 버전 10 이상을 핑거프린팅하는 데 필요합니다.
• 사용자 계정은 FreeBSD 버전 10 미만에서 cat /var/db/freebsd-update/tag를 실행하려면 권한이 필요합니다.
• FreeBSD 패키지 핑거프린팅에 필요한 항목:
  • pkg info
  • pkg_info

루트 실행 서비스가 필요한 취약점 검사

특정한 취약점 검사의 경우, 루트 액세스가 필요합니다. 루트가 아닌 사용자를 통한 스캔을 선택하는 경우, 이러한 취약점은 사용자 시스템에 존재하더라도 검색되지 않는다는 점을 알아 두어야 합니다. 다음은 루트 액세스가 필요한 검사의 목록입니다.

注意: 취약점 ID를 보안 콘솔의 검색 막대에서 검색해 설명 및 기타 세부 정보를 검색할 수 있습니다.

* OpenSSH 구성이 SSHv1 protocol/unix-check-openssh-ssh-version-two 허용은 루트가 필요하지 않은 다른 검사 SSH 서버가 SSH 프로토콜 v1 clients/ssh-v1-supported 지원과 개념적으로 동일합니다.