표제지
목차
약어표 7
논문요약 8
제1장 서론 9
제2장 웹 서버 침해사고 사례 11
제1절 침해사고 동향과 일반적 특징 11
제2절 국내 침해사고 사례 13
1. 2011년 D캐피탈 고객정보 해킹 13
2. 2012년 A일보 웹 사이트 해킹 13
3. 2013년 6.25 사이버 테러 14
제3장 리눅스 웹 서버 취약점 분석 15
제1절 취약점 분석 점검 항목 15
제2절 취약점 분석에 따른 대응 방안 17
1. root 계정 원격 접속 제한 17
2. 패스워드 복잡성 설정 17
3. 계정 잠금 임계값 설정 18
4. 패스워드 파일 보호 18
5. root 홈, 패스 디렉터리 권한 및 패스 설정 19
6. 파일 및 디렉터리 소유자 설정 19
7. /etc/passwd 파일 소유자 및 권한 설정 19
8. /etc/shadow 파일 소유자 및 권한 설정 20
9. /etc/hosts 파일 소유자 및 권한 설정 20
10. /etc/(x)inetd.conf 파일 소유자 및 권한 설정 20
11. /etc/syslog.conf 파일 소유자 및 권한 설정 21
12. /etc/services 파일 소유자 및 권한 설정 21
13. SUID, SGID, Sticky bit 설정 파일 점검 22
14. 사용자, 시스템 시작파일 및 환경 파일 소유자 및 권한 설정 22
15. world writable 파일 점검 22
16. /dev에 존재 하지 않는 device 파일 점검 23
17. $HOME/.rhosts, hosts.equiv 사용 금지 23
18. 접속 IP 및 포트 제한 24
19. Finger 서비스 비활성화 24
20. Anonymous FTP 비활성화 25
21. r 계열 서비스 비활성화 25
22. cron 파일 소유자 및 권한 설정 25
23. DoS 공격에 취약한 서비스 비활성화 26
24. NFS 서비스 비활성화 26
25. NFS 접근통제 27
26. automountd 제거 27
27. RPC 서비스 확인 27
28. NIS, NIS+ 점검 28
29. tftp, talk 서비스 비활성화 28
30. Sendmail 버전 점검 29
31. 스팸 메일 릴레이 제한 29
32. 일반사용자의 Sendmail 실행 방지 30
33. DNS 보안 버전 패치 30
34. DNS Zone Transfer 설정 31
35. Apache 디렉더라 리스팅 제거 31
36. Apache 웹 프로세스 권한 제한 32
37. Apache 상위 디렉터리 접근 금지 32
38. Apache 불필요한 파일 제거 33
39. Apache 링크 사용금지 33
40. Apache 파일 업로드 및 다운로드 제한 34
41. Apache 웹 서비스 영역의 분리 34
42. 최신 보안패치 및 벤더 권고사항 적용 35
43. 로그의 정기적 검토 및 보고 35
제4장 취약점 분석 스크립트 구현 36
1. 계정 관리 점검 38
2. 파일 및 디렉터리 관리 점검 40
3. 서비스 관리 점검 42
4. 패치 관리 점검 44
5. 로그 관리 점검 45
제5장 시험 및 보안성 평가 46
제1절 시험 준비 46
제2절 보안성 평가 48
1. 보안 설정 적용 전 보안성 평가 결과 48
2. 보안 설정 적용 후 보안성 평가 결과 53
제6장 결론 57
참고문헌 58
ABSTRACT 59
[표 3-1] 주요정보통신기반시설 취약점 분석·평가 기준 15
[표 3-2] 디렉터리 리스팅 제거 설정 32
[표 3-3] 상위 디렉터리 접근 금지 설정 33
[표 3-4] 링크 사용금지 설정 34
[표 4-1] 초기 화면 스크립트 코드 37
[표 4-2] 계정 관리 점검 스크립트 38
[표 4-3] 파일 및 디렉터리 관리 점검 스크립트 40
[표 4-4] 서비스 관리 점검 스크립트 42
[표 4-5] 패치 관리 점검 스크립트 44
[표 4-6] 로그 관리 점검 스크립트 45
[표 5-1] 시험 시스템 사양 46
[표 5-2] 취약점 분석 진행 현황 49
[표 5-3] 보안 설정 적용 전 취약점 분석 로그 50
[표 5-4] 보안 설정 적용 전 보안성 평가 52
[표 5-5] 보안 설정 적용 후 취약점 분석 로그 53
[표 5-6] 보안 설정 적용 후 보안성 평가 55
[그림 2-1] 시대별 공격의 변화 11
[그림 2-2] 웹 서버 정보보호시스템 구성도 12
[그림 4-1] 취약점 분석 스크립트 순서도 36
[그림 5-1] 시험 네트워크 구성도 47
[그림 5-2] 취약점 분석 스크립트 초기 화면 48