[Unix] U-21 (상) r 계열 서비스 비활성화

 

 

 

- 주요정보통신기반시설 기술적 취약점 분석/평가 방법 상세 가이드 -

 

• 점검내용
  r-command 서비스 비활성화 여부 점검

※  r-command: 인증 없이 관리자의 원격접속을 가능하게 하는 명령어들로 rsh(remsh), rlogin, rexec, rsync 등이 있음

 

• 점검목적
  r-command 사용을 통한 원격 접속은 NET Backup 또는 클러스터링 등 용도로 사용되기도 하나, 인증 없이 관리자 원격접속이 가능하여 이에 대한 보안위협을 방지하고자 함

 

• 보안위협
  rsh, rlogin, rexec 등의 r command를 이용하여 원격에서 인증절차 없이 터미널 접속, 쉘 명령어를 실행이 가능함 

 

• 판단기준

양호 : 불필요한 r 계열 서비스가 비활성화 되어 있는 경우

취약 : 불필요한 r 계열 서비스가 활성화 되어 있는 경우

 

---

점검 및 조치 방법

 

 

• 조치 방법

NET Backup등 특별한 용도로 사용하지 않는다면 아래의 서비스 중지

shell(514)

login(513)

exec(512)

 

 

OS별 점검 파일 위치 및 점검 방법
SOLARIS 5.9  이하 버전	r-command 서비스 활성화 여부 확인 #vi /etc/inetd.conf
AIX	#cat /etc/inetd.conf | grep rlogin (# 처리 되어 있으면 비활성화) #cat /etc/inetd.conf | grep rsh (# 처리 되어 있으면 비활성화)
HP-UX	#vi /etc/inetd.conf r로 시작하는 필드 존재 시 취약
SOLARIS 5.10  이상 버전	#inetadm | egrep "shell|rlogin|rexec" r command 관련 데몬 확인
LINUX  (xinetd일  경우)	rsh, rlogin, rexec (shell, login, exec) 서비스 구동 확인 #ls -alL /etc/xinetd.d/* | egrep "rsh|rlogin|rexec"  | egrep -v "grep|klogin|kshell|kexec"
위에 제시된 파일 내 "r-command계열“ 서비스가 활성화 된 경우 아래의 보안설정 방법에 따라 서비스 중지