r 계열 명령어 (rhost, rlogin, rsh, rmd)
rhost, rlogin, rsh, rmd, rsync
# yum install rsh-server
-> rlogin, rsh, rexec 모두 설치됨.
1.
2. r서비스 보안 설정
[리눅스 보안] 리눅스 파일 및 디렉토리 관리 - $HOME/.rhosts, hosts.equiv 사용 금지
■ 대상 OS : SunOS, Linux, AIX, HP-UX
■ 취약점 개요
- *'r'command 사용을 통한 원격 접속은 *NET Backup이나 다른 용도로 사용되기도 하나, 보안상 매우 취약하여 서비스 포트가 열려있을 경우 중요 정보 유출 및 시스템 장애 발생 등 침해사고의 원인이 됨.
- 만약 사용이 불가피한 경우 /etc/hosts.equiv 파일 및 .rhosts 파일 사용자를 root 또는, 해당 계정으로 설정한 뒤 권한을 600으로 설정하고 해당 파일 설정에 '+' 설정(모든 호스트 허용)이 포함되지 않도록 함
*'r'command : 인증 없이 관리자의 원격접속을 가능하게 하는 명령어들로 rsh(remsh), rlogin, rexec 등이 있음
*NET Backup : 이기종 운영체제 간 백업을 지원하는 Symantec 사의 백업 및 복구 툴을 말함.
■ 보안대책
- 양호 : login, shell, exec 서비스를 사용하지 않거나, 사용 시 아래와 같은 설정이 적용된 경우
1. /etc/hosts.equiv 및 $HOME/.rhosts 파일 소유자가 root 또는, 해당 계정인 경우
2. /etc/hosts.equiv 및 $HOME/.rhosts 파일 권한이 600 이하인 경우
3. /etc/hosts.equiv 및 $HOME/.rhosts 파일 설정에 '+' 설정이 없는 경우
- 취약 : login, shell, exec 서비스를 사용하고, 위와 같은 설정이 적용되지 않은 경우
■ 조치방법
1. /etc/hosts.equiv 및 $HOME/.rhosts 파일 소유자를 root 또는, 해당 계정으로 변경
2. /etc/hosts.equiv 및 $HOME/.rhosts 파일 권한을 600 이하로 변경
3. /etc/hosts.equiv 및 $HOME/.rhosts 파일에서 "+"를 제거하고 반드시 필요한 호스트 및 계정만 등록
■ 보안설정 방법
◆ OS별 점검 파일 위치 및 점검 방법
-SunOS, Linux, AIX, HP-UX
1. 파일 소유자 및 권한 확인
#ls -al /etc/hosts.equiv
#ls -al %HOME/.rhosts
rw------- root <hosts.equiv 파일>
rw------- root <$HOME/.rhosts 파일>
2. 계정 별 '+' 부여 적절성 확인
#cat /etc/hosts.equiv
#cat $HOME/.rhosts
- /etc/hosts.equiv : 서버 설정 파일
- $HOME/.rhosts : 개별 사용자의 설정 파일
※ /etc/hosts.equiv 및 $HOME/.rhosts" 파일의 소유자가 root가 아니거나 파일의 권한이 600이 아닌 경우 아래의 보안설정 방법에 따라 설정을 변경
■ SunOS, Linux, AIX, HP-UX
1. "/etc/hosts.equiv" 및 $HOME/.rhosts" 파일의 소유자를 root 또는, 해당 계정으로 변경
#chown root /etc/hosts.equiv
#chown <user_name> $HOME/.rhosts
2. "/etc/hosts.equiv" 및 "$HOME/.rhosts" 파일의 권한을 600이하로 변경
#chmod 600 /etc/hosts.equiv
#chmod 600 $HOME/.rhosts
3. "/etc/hosts.equiv" 및 "$HOME/.rhosts" 파일에서 "+"를 제거하고 허용 호스트 및 계정 등록
#cat /etc/hosts.equiv (or $HOME/.rhosts)
| + + |
모든 호스트의 모든 계정을 신뢰 |
| + test |
모든 호스트의 test 계정을 신뢰 |
| Web1 + |
Web1 호스트의 모든 계정을 신뢰 |
원격 명령 실행에 취약한 r(remote) 계열 명령어에 대하여 위험성 보고서를 올렸더니
rsyslog는 왜 허용했냐는 관련자…
rsyslog 의 r은 rocket-fast 로 더 빨라진?향상된 syslog를 의미한다..