(apach서버를 기준으로 한다.)
1. root권한으로 운영되지 않도록 전용 데몬으로 구동
2. 관리서버 디렉토리 (/usr/local/apache)의 접근 권한 확인.
- 일반 사용자가 접근할 수 없도록한다 750이하
3. 설정파일 권한 확인
- apach설치 디렉터리/conf내 디렉토리의 *.conf파일 권한 설정 확인
- 설정 파일의 indexes옵션을 삭제한다
- 디렉토리 검색기능 -> 해당 디렉토리에 존재하는 모든 파일이 리스팅 되므로 웹서버구조 노출 및 주요 설정파일의 내용이 유출될 가능성이 있다
4. 상위 디렉토리 이동제한 설정
- 상위 경로로 이동하는 것이 가능할 경우. 접근하고자 하는 디렉토리의 하위 경로에 접속하여 상위경로로 이동함으로써 악의적인 목적을 가진 사용자의 접근이 가능해짐
5. 로그 디렉토리 권한 설정
- apache설치 디렉터리/logs/ 및의 파일들
- 톰캣의 경우
catalina base디렉터리/conf/web.xml 에서
<servlet> ...
<init-param>
<param-name>listings</param-name>
<param-value>flase</param-value>
</init-param>
</servlet>
설정한다!
(기본적으로 . 설치하게 되면 false설정이라고 한다)
6. 적절한 로그 포맷설정
- referer설정, user-agent설정, 등 공격자 위치를 파악할 수 있는 포맷설정을 해야 함
7. 헤더 정보 사용 불가능하도록 설정
- Server에 대한 정보가 헤더에 나타나지 않도록 설정해야 함
8. 불필요한 메서드 금지
9. 파일 업로드, 다운로드 용량 제한
10. DocumentRoot디렉토리 설정 변경
11. 세션 타임아웃 설정
12. 관리자 콘솔 접근 통제 :
- 불필요한 경우 프로세스 종료
- 필요한경우 어려운 port로 변경
13. 관리자 디폴트 계정 명 변경
- 기본유저, 패스워드를 삭제하거나 주석으로 처리하여 기본유저로의 로그인이 불가능하도록 설정한다.
- 톰캣디렉터리/conf/tomcat-users.xml설정에서 변경
- 유추하기 쉬운 계정명 사용시 brute - forth공격에 노출되기 쉽다
14. 복잡한 패스워드 설정
- 공통기준)
- 길이: 9자리 이상, 3종류의 문자이상
- 변경주기: 3개월/ 중요 시스템의 경우 1개월
- 재사용 금지: 직전 1개 패스워드
- 계정 잠금 : 10회 실패시 .
- null패스워드 사용금지, 문자또는 숫자만으로 구성 금지, 사용자 id와 동일한 패스워드 금지, 연속적인 문자 사용금지(1111, abcd, 1234등)
- 주기적인 패스워드 재사용 금지
- 전화번호, 생일같이 추측하기 쉬운 개인정보를 패스워드로 사용 금지
- 초기 패스워드는 사용자에게 부여한 후 최초 접속시 반드시 변경하도록 설계
- 패스워드는 마스킹 처리하여 화면상에서 읽을수없도록 표시
- 패스워드 관리기능)
- 패스워드 분실로 인한 신규 패스워드 발급 절차 적용
- 패스워드 분실시 패스워드 초기화 처리후 로그인하여 패스워드 변경을 유도 한다.
- tomcat-users.xml파일 의 권한 설정 확인(600)
댓글 없음:
댓글 쓰기