리눅스 서버 취약점 보안
취약점 점검항목: 21. IP 포워딩 비활성화
취약점 점검기준
- 양호기준: IP 포워딩 기능 미사용시 양호합니다.
- 취약기준: IP 포워딩 기능 사용시 취약합니다.
취약점 점검방법
- sudo 권한이 있는 아이디 쉘 접속 후 루트 권한을 얻어서 작업하시길 바랍니다.
$sudo su -
- LINUX: 아래 경로를 cat으로 봤을때 값이 0이면 양호합니다.
#cat /proc/sys/net/ipv4/ip_forward
#cat /proc/sys/net/ipv4/conf/default/accept_source_route
취약점 조치방법
- LINUX: 라우팅 불가능 설정 방법입니다.
1. 다음 명령 실행
# echo 0 > /proc/sys/net/ipv4/ip_forward
# echo 0 > /proc/sys/net/ipv4/conf/default/accept_source_route
2. 부팅 시 항상 적용될 수 있도록 설정 파일에 다음 행 추가
# vi /etc/sysctl.conf
(추가) net.ipv4.ip_forward = 0
(추가) net.ipv4.conf.default.accept_source_route = 0
- AIX: 라우팅 불가능 설정 방법입니다.
no -p -o ipforwarding=0
no -p -o ip6srcrouteforward=0
no -p -o ipsrcrouteforward=0
- HP-UX: 아래 항목은 안전하게 설정된 /etc/rc.config.d/nddconf 파일의 예 입니다.
#vi /etc/rc.config.d/nddconf
TRANSPORT_NAME[1]=ip
NDD_NAME[1]=ip_forwarding
NDD_VALUE[1]=0
TRANSPORT_NAME[2]=ip
NDD_NAME[2]=ip_forward_directed_broadcast
NDD_VALUE[2]=0
TRANSPORT_NAME[3]=ip
NDD_NAME[3]=ip_forward_src_routed
NDD_VALUE[3]=0
TRANSPORT_NAME[4]=ip
NDD_NAME[4]=ip_respond_to_echo_broadcast
NDD_VALUE[4]=0
- SOLARIS: 라우팅 불가능 설정 방법입니다.
* Solaris 5.9이하
1. 다음 명령 실행
# ndd -set /dev/ip ip_forwarding 0
# ndd -set /dev/ip ip_forward_src_routed 0
2. 부팅시 항상 적용될 수 있도록 아래 설정파일의 해당 항목 수정
# vi /etc/rc 2.d/S69inet
3. 라우팅 정보를 외부에 알려주는 /usr/sbin/in.routed을 실행하지 않기 위해 다음 파일을 생성
# touch /etc/notrouter
* Solaris 5.10, 5.11
1. 다음 명령 실행
# ndd -set /dev/ip ip_forwarding 0
# ndd -set /dev/ip ip_forward_src_routed 0
2. 라우팅 정보를 외부에 알려주는 /usr/sbin/in.routed을 실행하지 않기 위해 다음 파일을 생성
# touch /etc/notrouter
리눅스(유닉스) 취약점 점검 전체보기
'리눅스(유닉스) 취약점 점검' 카테고리의 글 목록
전산 관련 경험을 기록 하는 곳
reddb.tistory.com
'리눅스(유닉스) 취약점 점검' 카테고리의 다른 글
| (리눅스 서버 보안) 20. 최신 SSH 버전 사용 (0) | 2020.07.21 |
|---|---|
| (리눅스 서버 보안) 19. 디폴트 SNMP 커뮤니티 스트링(public) 값 변경 (0) | 2020.07.21 |
| (리눅스 서버 보안) 18. Cron 파일 소유자 및 권한 설정 점검 (0) | 2020.07.20 |