System Security Checker

Classic/VPC 환경에서 이용 가능합니다.

System Security Checker 소개

기능

System Security Checker는 고객이 생성한 서버의 운영체제와 WAS(Apache, Tomcat, Nginx) 보안 설정을 점검하고, 보안 관점에서 적절한 값으로 설정할 수 있도록 안내합니다.

특징

KISA의 보안 설정 가이드와 NAVER의 보안 설정 정책에 근거하여 편의성과 보안성 모두를 높일 수 있는 항목 위주로 선별하여 점검합니다. 각각의 항목은 보안상 중요한 설정을 점검하고, 취약한 경우 올바르게 설정을 할 수 있도록 가이드를 제공합니다.

기대 효과

System Security Checker를 통해 보안 설정을 점검하고, 가이드에 따라 설정을 수정하면 서버의 보안 향상을 기대할 수 있습니다. 예를 들어 사용자의 비밀번호 길이를 8자 이상으로 최대 사용 기간을 90일 이하로 설정하면, 외부 공격자의 무작위 대입 공격으로 인한 서버 침입을 사전에 방지할 수 있습니다.
이와 같이 비교적 간단한 몇 가지 설정만으로 서버의 보안을 향상시켜 서비스를 보다 안전하게 만들 수 있습니다.

사용하기 전에

Q. System Security Checker는 무엇인가요?

• System Security Checker는 고객의 VM에서 구동할 수 있는 Agent를 제공합니다. 고객이 원하는 서버 혹은 시점에 Agent를 다운로드하여 직접 검사를 수행하는 방식의 시스템입니다.
• System Security Checker는 고객이 생성한 서버의 보안 설정을 점검합니다. 기본 설정을 보안 관점에서 적절한 값으로 설정할 수 있도록 안내합니다.

Q. 서버를 점검하려면 어떤 권한이 필요한가요?

• 서버를 점검하려면 관리자(root) 권한이 필요합니다. 일부 중요 시스템 파일을 확인하려면 관리자 권한이 필요하오니 꼭 관리자 권한으로 에이전트를 실행해 주십시오.

Q. System Security Checker의 검사 범위는 어떻게 되나요?

• 고객이 사용하는 서버의 운영체제(Windows, Linux)
• 고객이 활용하는 WAS(Apache, Tomcat, Nginx)의 설정

Q. System Security Checker는 어떻게 사용하나요?

• 아래의 절차에 따라 점검을 진행하시면 됩니다.

  

1. 콘솔 접속 및 이용 신청: MC Console에 접속, Services > Security > System Security Checker 메뉴에서 [이용신청] 을 클릭, 약관 동의 및 신청
2. 점검할 VM에 터미널 접속: 접속 가이드에 따라 서버에 직접 터미널 접속
3. 에이전트 다운로드: 점검에 필요한 에이전트를 직접 다운로드
4. 에이전트 실행: 에이전트를 실행하면 자동으로 서버의 보안 설정을 점검
5. 결과 확인: MC Console에 접속, Services > Security > System Security Checker 메뉴에서 점검 결과 확인

Q. 점검 시간은 얼마나 걸리나요?

• 일반적인 경우 최대 5초를 넘지 않습니다.
• 만약, 점검이 정상적으로 종료되지 않을 경우에는 60초 이후에는 강제 종료되도록 설계되었습니다. 강제 종료가 되는 시간은 기본 60초이며, -t(--timeout) 옵션으로 초 단위로 설정할 수 있습니다.

Q. 한번 점검하고 나서, 다시 실행했더니 에이전트 실행이 안되요.

• 5분(300초) 이내에 동일한 점검 대상을 반복해서 점검하면 아래와 같은 에러 메시지가 출력됩니다.
  • Project Execution Time Interval (linux) : 5 min (over 300 seconds)
• 잠시만 기다리셨다가, 5분이 지난 후에 다시 점검을 진행해 주세요.

Q. 이용 해지했더니 이전에 점검한 결과가 보이지 않아요.

• 이용 신청을 한 이후의 점검 결과만 보이도록 설계되었습니다. 이전의 점검 결과를 계속 보고 싶은 경우에는 이용 해지를 신중하게 결정해 주세요.

  

점검 방법

Linux 점검 방법

Step 1. 콘솔 접속 및 이용 신청

1. MC Console에 접속합니다.

2. 좌측 메뉴 영역에서 [System Security Checker] 메뉴를 클릭합니다.

   • 좌측 메뉴에 서비스명이 보이지 않을 경우, 'Services'에서 해당 서비스명의 좌측 별표를 클릭하여 즐겨찾기를 추가합니다.

3. [이용신청] 버튼을 클릭합니다.

Step 2. 점검할 대상 VM에 접속

• 리눅스 서버 접속 가이드를 참고합니다.
• Linux 64 bit OS만 지원합니다.

Step 3. 에이전트 다운로드

서버에서 실행할 에이전트를 다운로드하는 방법은 다음과 같습니다.

• VM에서 실행되는 에이전트를 다운로드합니다.

  # wget http://pub-ossc.ncloud.com/download/sscAgent
  

• 에이전트에 실행 권한 부여

  # chmod 755 sscAgent
  

Step 4. Agent 실행

에이전트를 실행하여 서버의 보안 설정을 점검합니다. 점검 대상에 알맞은 명령을 실행해 주십시오.

• OS/WAS 점검

  # ./sscAgent
   ---- [System Security Checker] 사용 가이드 ----
  시스템 점검을 위해서는 root 권한이 필요합니다.
  
  #1. 점검 대상 및 기준 소개
    + OS  - Linux (CSAP)    : Cloud Security Assurance Program(CSAP) 인증 기준의 36개 항목 점검
    + OS  - Linux (KISA)    : 주요정보통신기반시설 기술적 취약점 분석평가 방법 상세가이드 기준의 72개 항목 점검
    + OS  - Linux (Finance) : 전자금융기반시설 보안 취약점 평가기준의 89개 항목 점검
    + WAS - Apache httpd  (CSAP) : CSAP 인증심사 기준의 7개 항목 점검
    + WAS - Apache Tomcat (CSAP) : CSAP 인증심사 기준의 9개 항목 점검
    + WAS - Nginx         (CSAP) : CSAP 인증심사 기준의 7개 항목 점검
  
  #2. 점검 비용
    + OS (CSAP / KISA) - 1건당  100원 (월 100건 초과 이후, 1건당 80원)
    + OS (Finance)         - 1건당  500원 (월 100건 초과 이후, 1건당 400원)
    + WAS (httpd / Tomcat / Nginx) - 1건당 20,000원 (동일 서버 및 프로세스에 대한 재점검시 무료 1회)
  
  [System Security Checker] 점검하려는 대상을 선택해주세요.
  

• 에이전트 실행 시 다음 옵션을 사용할 수 있습니다.

  • -h: 도움말 표시(--help)
  • --update: 에이전트의 업데이트를 위한 정보 표시
  • --debug: 터미널에 디버그를 위한 정보 표시

• 정상적으로 점검이 종료되면 Success가 표시됩니다.

  • <예시> Linux 점검이 정상적으로 종료된 경우

  [Complete] System Securicy Checker 점검이 완료되었습니다.
      NCP Console 에서 점검 결과를 확인하실 수 있습니다.
  

Step 5. 결과 확인

• MC Console Services > Security > System Security Checker 메뉴에서 점검된 결과를 확인합니다.

  

• Report에서 점검 결과가 Bad인 항목만 보고 싶은 경우

  • '상세 결과 및 조치'에서 붉은색 박스로 표시한 부분의 '점검결과'를 'Bad'로 선택하고 [검색] 버튼을 클릭합니다.
  • 화면 하단의 [Report] 버튼을 클릭하면, 'Bad' 항목만 Report에 출력됩니다.

• 위험도가 Critical인 항목만 보고 싶은 경우

  • '상세 결과 및 조치'에서 '위험도'를 'Critical'로 선택하고 [검색] 버튼을 클릭합니다.
  • 화면 하단의 [Report] 버튼을 클릭하면, 위험도가 'Critical'인 항목만 Report에 출력됩니다.

Step 6. 상세 리포트

• [리포트] 버튼을 클릭하면 상세 리포트를 확인할 수 있습니다.

• 상세 리포트는 전체 점검항목을 볼 수도 있고, Step 5와 같이 특정 조건을 만족하는 항목만을 볼 수도 있습니다.

  

Windows 점검 방법

Step 1. 콘솔 접속 및 이용 신청

1. MC Console에 접속합니다.

2. 좌측 메뉴 영역에서 [System Security Checker] 메뉴를 클릭합니다.

3.[이용신청] 버튼을 클릭합니다.

Step 2. 점검할 대상 VM에 접속

• 윈도우 서버 접속 가이드를 참고해 주십시오.
• Windows 64 bit OS만 지원합니다.

Step 3. 에이전트 다운로드

• VM에서 실행되는 에이전트를 다운로드

• 인터넷 브라우저에서 아래 URL에 접속하여 다운로드

  # http://pub-ossc.ncloud.com/download/ncp_secuagent.zip
  

• 또는 명령창에서 아래 명령으로 다운로드

  cmd> curl http://pub-ossc.ncloud.com/download/ncp_secuagent.zip -o ssc_agent.zip
  

• 압축 해제

Step 4. Agent 실행

• ncp_secuagent 파일이 있는 디렉토리에서 < Shift > 키+ '마우스 우클릭'

• 팝업 메뉴에서 여기서 명령창 열기(W) 클릭

  

• agent 실행

  cmd> ncp_secuagent.exe
  [project : windows] => Success
  

  

• 아래와 같은 메시지가 출력되면 점검이 정상적으로 종료된 상태입니다.

  [project : windows] => Success
  

• 사용가능한 옵션

  • -h [ --help ] 도움말 출력
  • -v [ --version ] 에이전트의 버전 출력
  • -d [ --debug ] 디버그를 위한 메시지 출력
  • -t [ --timeout ] arg (default : 60 sec), 1초 단위로 설정 가능하며 timeout 시간 내에 점검이 종료되지 않을 경우 강제종료

Step 5. 결과 확인

• MC Console Services > Security > System Security Checker 메뉴에서 점검된 결과를 확인합니다.

Troubleshooting

1. ERROR (update doesn't running)

• 증상: 서버를 점검할 때, 아래와 같은 에러 메시지가 발생합니다.

root@hostname ~]# ./ncp_secuagent
[Project : linux] => Fail => [stdout]: ERROR(update doesn't running) : cmd(yum install perl-libwww-perl) not work.

• 원인

  • System Security Checker는 서버의 보안을 점검하기 위해서 perl 관련 패키지를 반드시 설치해야 합니다.
  • yum 명령어로 패키지 설치에 실패하였을 경우, 위와 같은 에러가 발생합니다.
  • 점검이 정상적으로 이루어지지 못하며, 해당 건에 대해서는 과금되지 않습니다.

• 해결 방법

  • rpmdb 에러인 경우 (Error: rpmdb open failed)

  # yum list | grep perl-libwww-perl
  error: rpmdb: BDB0113 Thread/process 14277/139717220628288 failed: BDB1507 Thread died in Berkeley DB library
  error: db5 error(-30973) from dbenv->failchk: BDB0087 DB_RUNRECOVERY: Fatal error, run database recovery
  error: cannot open Packages index using db5 -  (-30973)
  error: cannot open Packages database in /var/lib/rpm
  CRITICAL:yum.main:
  
  Error: rpmdb open failed
  

  • yum list 명령어로 확인하면, 'rpmdb open failed' 이라고 확인되는 경우에는 rpmdb를 초기화하면 해결됩니다.
  • rpmdb 초기화 방법

  # rm -f /var/lib/rpm/__db*
  
  # rpm -vv --rebuilddb
  

2. 서버의 'CentOS-Base.repo' 파일이 변경되었을 경우

• 증상: System Security Checker 실행 이후에 '/etc/yum.repos.d/CentOS-Base.repo' 파일이 변경됨
• 원인
  • System Security Checker는 서버의 보안을 점검하기 위해서 perl 관련 패키지를 반드시 설치해야 합니다.
  • SecureZone 이나 외부와 차단된 망에서는 인터넷 접속이 차단되어, 기본적으로 설정된 repo에서 패키지를 다운로드 할 수 없습니다.
  • 설정 점검 중에는 ncloud 내부에 별도로 구축한 repo에서 패키지를 다운로드 하기 위해서 CentOS-Base.repo 파일을 임시로 수정합니다.
  • 임시로 수정한 파일은 점검이 종료된 이후에 원래의 파일로 원복되지만, 비정상 종료 등의 사유로 원복되지 못하여 변경된 상태로 남아 있을 수 있습니다.
• 해결 방법
  • backup 파일을 이용하여 아래와 같이 원복 가능합니다.

  mv -f /etc/yum.repos.d/CentOS-Base.repo_backup /etc/yum.repos.d/CentOS-Base.repo