r'command 를 통한 원격접속은 *NET Backup 이나 다른 용도로 사용되기도 하지만, 인증 없이 원격접속을 가능하게 한다는 점에서 보안상 매우 취약하다.
2. 'r' Command 서비스 활성화 여부 확인
OS 마다 확인 방법이 약간 상이하다. 본 포스트에서는 HP-UX와 AIX 위주로 기술한다. 상세한 내용은 "주요정보통신기반시설_기술적_취약점_분석_평가_방법_상세가이드"의 U-28, U-38 항목을 참고하면 된다.
방법 1) /etc/inetd.conf 파일에서 r 계열 서비스 활성화 여부를 확인한다. 해당 서비스 라인이 # 처리 되어 있으면 비활성화된 것이다.
방법 2) netstat -an 명령어 사용
- netstat -an | grep "*.513 // rlogin
- netstat -an | grep "*.514 // rsh
- netstat -an | grep "*.512 // rexec
만약 서비스는 구동중이나, /etc/hosts.equiv 또는 각 홈 디렉터리 밑에 있는 .rhosts 파일에 아무런 설정이 없다면 불필요한 서비스 구동이라고 판단 할 수 있다.
3. 해당 서비스를 통한 원격 접속 방법
1) rlogin 사용 예
rlogin [option] host
ex) rlogin 203.xxx.xxx.xxx
rlogin -l tmax 203.xxx.xxx.xxx // 203.xxx.xxx.xxx 라는 계정에 접속을 시도할 때 tmax 라는 계정으로 접속을 시도한다.
2) rsh 사용 예
rsh 203.247.xxx.xxx sh -i // 프롬프트가 바뀌면서 실제 해당 호스트에 접속한 상태와 같게 된다.
rsh 203.247.xxx.xxx ls -l / // 접속하지 않아도 원격지 서버의 /디렉토리의 내용 확인이 가능하다.
rsh 203.247.xxx.xxx cat /etc/passwd > passwd.txt // 원격지 서버의 /etc/passwd 의 내용을 내 디렉토리의 passwd.txt 파일로 저장이 가능하다
** 참고로 rsh 서비스를 통한 행위는 1) who 명령이나 w명령으로 확인이 불가능하고 2) last 같은 로그기록으로도 확인이 불가능하다. 오직 3) 접속의 확인은 netstat 명령으로만 가능하다
| ** 참고 ** 현재의 리눅스는 root 계정자로 rlogin인이 불가능하다. 또한, 일반 계정으로 .rhosts 를 만들고 파일의 내용을 + + 라고 작성하여도 패스워드를 입력하도록 되어 있다. 이 부분은 점검이 필요하다. |
3. 대응 방안
원칙적으로 해당 서비스를 중단하거나, 사용이 불가피한 경우에는 다음과 같은 조치를 수행한다.
- /etc/hosts.equiv 파일 및 .rhosts 파일 사용자를 root 또는 해당 계정으로 설정하고 권한을 600으로 설정
- 또한 해당 파일 설정에 '+' 설정(모든 호스트 허용)이 포함되지 않도록 함
| ** /etc/hosts.equiv 과 $HOME/.rhosts 의 차이 ** /etc/hosts.equiv 은 서버 설정파일이고, $HOME/.rhosts는 개별 사용자의 설정 파일이다. 즉 /etc/hosts.equiv 파일은 TRUSTED 시스템들을 등록하고 'r' command를 이용하여 인증없이 접근하는 것을 가능하게 하는 설정 파일이며, .rhosts 파일은 /etc/hosts.equiv 파일과 거의 동일한 기능을 수행하지만 .rhosts 파일은 사용자 별로 'r'command 를 통해 접속 가능하도록 설정할 수 있다. |
# 취약점 점검 시나리오
1) rlogin, rsh, rexec 서비스 실행여부를 확인하고 실행되고 있다면, 접속 시도를 해본다.
2) .rhosts 는 root, tmax 등 과 같이 여러 홈디렉토리에 설치 될 수 있다. 그러므로 -l 옵션으로 계정을 미리 지정할 수 있다. 로그인 계정을 지정하지 않으면 root 계정으로 접근한다.
(현재 -l 로 계정을 지정할 수 있는 옵션이 지원되지 않는다고 한다.)
참고 사이트
- http://se.uzoogom.com/125