반응형
| U-26 (상) | 3. 서비스관리 > automountd 제거 |
| 취약점 개요 | |
| 점검내용 | automountd 서비스 데몬의 실행 여부 점검 |
| 점검목적 | 로컬 공격자가 automountd 데몬에 RPC(Remote Procedure Call)를 보낼 수 있는 취약점이 존재하기 때문에 해당 서비스가 실행중일 경우 서비스를 중지시키기 위함 |
| 보안위협 | 파일 시스템의 마운트 옵션을 변경하여 root 권한을 획득할 수 있으며, 로컬 공격자가 automountd 프로세스 권한으로 임의의 명령을 실행할 수 있음 |
| 참고 | ※ automountd: 클라이언트에서 자동으로 서버에 마운트를 시키고 일정 시간 사용하지 않으면 unmount 시켜 주는 기능을 말함 ※ RPC(Remote Procedure Call): 별도의 원격 제어를 위한 코딩 없이 다른 주소 공간에서 함수나 프로시저를 실행할 수 있게 하는 프로세스 간 프로토콜 |
| 점검대상 및 판단기준 | |
| 대상 | SOLARIS, Linux, AIX, HP-UX 등 |
| 판단기준 | 양호 : automountd 서비스가 비활성화 되어 있는 경우 |
| 취약 : automountd 서비스가 활성화 되어 있는 경우 | |
| 조치방법 | automountd 서비스 비활성화 |
| 점검 및 조치 사례 | |
 • LINUX, AIX, SOLARIS 5.9 이하 버전 Step 1) automountd 서비스 데몬 중지 #kill -9 [PID] Step 2) 시동 스크립트 삭제 또는, 스크립트 이름 변경 1. 위치 확인 #ls -al /etc/rc.d/rc*.d/* | grep automount(or autofs) |
|
| U-26 (상) | 3. 서비스관리 > automountd 제거 |
| 2. 이름 변경 #mv /etc/rc.d/rc2.d/S28automountd /etc/rc.d/rc2.d/_S28automountd • HP-UX Step 1) automount 서비스 데몬 중지 #kill -9 [PID] Step 2) /etc/rc.config.d/nfsconf 파일 설정 수정 #vi /etc/rc.config.d/nfsconf (수정 전) AUTOFS=1 (수정 후) AUTOFS=0 • SOLARIS 5.10 이상 버전 Step 1) autofs 서비스 데몬 확인 svc:/system/filesystem/autofs:default Step 2) svcadm disable "중지하고자 하는 데몬" 명령으로 서비스 데몬 중지 #svcadm disable svc:/system/filesystem/autofs:default |
|
| 조치 시 영향 | NFS 및 삼바(Samba) 서비스에서 사용 시 automountd 사용 여부 확인이 필요하며, 적용 시 CDROM의 자동 마운트는 이뤄지지 않음 (/etc/auto.*, /etc/auto_* 파일을 확인하여 필요 여부 확인) ※ 삼바(Samba) : 서로 다른 운영체제(OS) 간의 자원 공유를 위해 이용하는 서버로 같은 네트워크 내 연결된 PC는 서로 운영체제가 달라도 네트워크로 파일을 주고받을 수 있고 자원을 공유할 수 있음 |
반응형
'정보보안' 카테고리의 다른 글
| U-28) unix 서버취약점 > 서비스 관리 > NIS, NIS+ 점검 (0) | 2023.02.13 |
|---|---|
| U-27) unix 서버취약점 > 서비스 관리 > RPC 서비스 확인 (0) | 2023.02.13 |
| U-25) unix 서버취약점 > 서비스 관리 > NFS 접근 통제 (0) | 2023.02.13 |
| U-24) unix 서버취약점 > 서비스 관리 > NFS 서비스 비활성화 (0) | 2023.02.09 |
| U-23) unix 서버취약점 > 서비스 관리 > DoS공격에 취약한 서비스 비활성화 (0) | 2023.02.09 |
댓글