U-42) unix 서버취약점 > 패치 관리 > 최신 보안패치 및 벤더 권고사항 적용

1.1.  

U-42 (상)	4 패치관리 > 최신 보안패치 및 벤더 권고사항 적용
취약점 개요
점검내용	Ÿ 시스템에서 최신 패치가 적용되어 있는지 점검
점검목적	Ÿ 주기적인 패치 적용을 통하여 보안성 및 시스템 안정성을 확보함
보안위협	Ÿ 최신 보안패치가 적용되지 않을 경우, 이미 알려진 취약점을 통하여 공격자에 의해 시스템 침해사고 발생 가능성이 존재함
참고	※ [부록] 08. OS별 서비스 지원 종료(EoS : End of Service) 현황 (2020.12. 기준)
점검대상 및 판단기준
대상	Ÿ SOLARIS, Linux, AIX, HP-UX 등
판단기준	양호 : 패치 적용 정책을 수립하여 주기적으로 패치관리를 하고 있으며, 패치 관련 내용을 확인하고 적용했을 경우
	취약 : 패치 적용 정책을 수립하지 않고 주기적으로 패치관리를 하지 않거나 패치 관련 내용을 확인하지 않고 적용하지 않았을 경우
조치방법	O/S 관리자, 서비스 개발자가 패치 적용에 따른 서비스 영향 정도를 파악하여 OS 관리자 및 벤더에서 적용함 ※ OS 패치의 경우 지속적으로 취약점이 발표되고 있기 때문에 O/S 관리자, 서비스 개발 자가 패치 적용에 따른 서비스 영향 정도를 정확히 파악하여 주기적인 패치 적용 정책을 수립하여 적용하여야 함
점검 및 조치 사례
• SOLARIS 1.   "showrev -p"   서버에 적용되어 있는 패치 리스트 확인 2.   아래 사이트에 접속하여 패치를 찾아 적용 https://support.oracle.com   •   패치를 검색하는 방법 1.   Patches & Updates(패치 및 업데이트) 탭을 클릭 2.   Patch Search(패치 검색) 섹션에서 Product or the Family (Advanced Search)(제품 또는 제 품군(고급 검색)) 옵션을 클릭 3.   제품으로 Solaris Operating System(Solaris 운영 체제)을 선택

U-42 (상)

4 패치관리 > 최신 보안패치 및 벤더 권고사항 적용

4.   릴리스로 Solaris xx Operating System(Solaris xx 운영 체제)을 선택 5.   유형으로 Patch(패치) 또는 Patchset(패치 세트) 또는 둘 다 선택 6.   Search(검색)을 클릭 후 파일 다운로드   < 패치 적용 방법 > MOS(My Oracle Support) 웹 사이트에서 패치 파일(119784-17.zip)을 다운로드 했다고 가정 Step 1) 슈퍼유저가 되어야 함. Step 2) 패치 파일을 임시 디렉토리에 복사 #cp /<patch download location>/119784-17.zip /tmp Step 3) 패치 파일의 압죽 풀기. #cd /tmp #unzip 119784-17.zip Step 4 )패치를 적용 #patchadd 119784-17 Step 5) (옵션)패치가 적용되었는지 확인 #patchadd -p | grep 119784-17 ※ 패치 시 주의점 patchadd -M 명령이 개선되어 더 이상 정확한 설치 순서로 패치ID를 지정할 필요가 없고 디 렉터리의 모든 패치가 시스템에 설치됨   • LINUX LINUX는 서버에 설치된 패치 리스트의 관리가 불가능하므로 rpm 패키지 별 버그가 Fix된 죄 신 버전 설치가 필요함 LINUX는 오픈되고, 커스터마이징 된 OS이므로 LINUX를 구입한 벤더에 따라 rpm 패키지가 다를 수 있으며, 아래의 사이트는 RedHat LINUX에 대한 버그 Fix 관련 사이트임   <Red Hat 일 경우> Step 1) 다음의 사이트에서 해당 버전을 찾음 http://www.redhat.com/security/updates/ http://www.redhat.com/security/updates/eol/ (Red Hat LINUX 9 이하 버전) Step 2) 발표된 Update 중 현재 사용 중인 보안 관련 Update 찾아 해당 Update Download  Step 3) Update 설치 #rpm -Uvh <pakage-name>

 

 

U-42 (상)

4 패치관리 > 최신 보안패치 및 벤더 권고사항 적용

• AIX 1.   "oslevel -s, instfix-i | grep ML, instfix -i l grep ML, instfix -i l grep SP"로 서버에 적용되어 있는 패치 리스트 확인 2.   아래 사이트에 접속하여 패치를 찾아 적용 http://techsupport.services.ibm.com/server/mlfixes/43/   < 패치 적용 방법> Step 1) 패치를 다운로드 후 서버에 파일 업로드 한 뒤 "installp"를 이용하여 OS패치 설치 #smitty installp Step 2) install Software 선택 후 INPUT  device /  directory  for software에서 패치파일 업로드  한 경로 입력 Step 3) SOFTWARE to install 항목은 all-latest 선택 Step 4) PREVIEW only? (install operation will NOT occur) 항목을 yes로 설정할 경우 실제 설치가 아닌 사전 설치가 진행되고 문제 발생 시 Failed 결과값 출력함 Step 5) COMMIT software updates? 항목을 no로 설정할 경우 Apply설치가 진행되고 향후 이 전버전의 OS Patch 단계로 롤백이 가능. YES로 설정 시 롤백 불가 Step 6) ACCEPT new license agreements? 항목은 YES로 설정해야만 설치 진행 ※ 패치 시 문제가 발생한 경우 Apply 설치에 한해 기본버전으로 재설정 가능 Apply, commit 된 패키지 확인은 "lslpp -l"로 확인 가능 # smitty install_reject 1.   SOFTWARE name 항목에서 Apply설치된 OS Patch를 선택 2.   Preview 항목을 Yes로 설정 3.   소프트웨어 제거에 문제가 없는지 확인 후 진행   • HP-UX 1.   'swlist -l product'로 서버에 적용된 패치 리스트 확인 2.   아래 사이트에 접속하여 패치를 찾아 적용(ID, password가 필요함) http://h20565.www2.hp.com/portal/site/hpsc/   •   패치를 검색하는 방법 1.   유지보수 및 지원 (hp 제품) 에서 "개별패치"를 선택 2.   patch database main에서 원하는 패치 database를 선택(여기서 firmware 부분 선택) 3.   search for patches 에서 원하는 항목을 선택(여기서 CPU 선택) 4.   검색할 키워드에서 원하는 항목을 선택 후 search 클릭 5.   most recently에서 체크박스에 체크하고 add to selected patch list 버튼 클릭 6.  selected patch list가 나오면 패치의 체크박스 선택 후 download patch 버튼 클릭 후 다운로드 - 설치되는 방법을 보고 싶다면 패치이름의 링크 클릭

U-42 (상)	4 패치관리 > 최신 보안패치 및 벤더 권고사항 적용
< 패치 적용 방법 > Step 1) patch 파일을 /tmp 밑에 다운로드 받음 -   파일명을 patch_10으로 가정 Step 2) HP-UX에서 shell archive를 품 #sh patch_10 -   patch_10.depot와 patch_10.text가 생성됨 Step 3) patch_10.depot 설치 #swinstall -s /tmp/patch_10.depot (경로는 절대경로를 써야함) #swinstall ?x autoreboot=true ?x patch_match_target=true \ -s /tmp/patch_10.depot     ※ OS의 서비스 지원 종료 현황은 [부록] 08. OS별 서비스 지원 종료(EoS ; End of Service) 현황 (2020.12. 기준)을 참조
조치 시 영향	일반적인 경우 영향 없음