System Security Checker
    • PDF

    System Security Checker

    • PDF

    기사 요약

    Classic/VPC 환경에서 이용 가능합니다.

    System Security Checker 소개

    기능

    System Security Checker는 고객이 생성한 서버의 운영체제와 WAS(Apache, Tomcat, Nginx) 보안 설정을 점검하고, 보안 관점에서 적절한 값으로 설정할 수 있도록 안내합니다.

    특징

    KISA의 보안 설정 가이드와 NAVER의 보안 설정 정책에 근거하여 편의성과 보안성 모두를 높일 수 있는 항목 위주로 선별하여 점검합니다. 각각의 항목은 보안상 중요한 설정을 점검하고, 취약한 경우 올바르게 설정을 할 수 있도록 가이드를 제공합니다.

    기대 효과

    System Security Checker를 통해 보안 설정을 점검하고, 가이드에 따라 설정을 수정하면 서버의 보안 향상을 기대할 수 있습니다. 예를 들어 사용자의 비밀번호 길이를 8자 이상으로 최대 사용 기간을 90일 이하로 설정하면, 외부 공격자의 무작위 대입 공격으로 인한 서버 침입을 사전에 방지할 수 있습니다.
    이와 같이 비교적 간단한 몇 가지 설정만으로 서버의 보안을 향상시켜 서비스를 보다 안전하게 만들 수 있습니다.

    사용하기 전에

    Q. System Security Checker는 무엇인가요?

    • System Security Checker는 고객의 VM에서 구동할 수 있는 Agent를 제공합니다. 고객이 원하는 서버 혹은 시점에 Agent를 다운로드하여 직접 검사를 수행하는 방식의 시스템입니다.
    • System Security Checker는 고객이 생성한 서버의 보안 설정을 점검합니다. 기본 설정을 보안 관점에서 적절한 값으로 설정할 수 있도록 안내합니다.

    Q. 서버를 점검하려면 어떤 권한이 필요한가요?

    • 서버를 점검하려면 관리자(root) 권한이 필요합니다. 일부 중요 시스템 파일을 확인하려면 관리자 권한이 필요하오니 꼭 관리자 권한으로 에이전트를 실행해 주십시오.

    Q. System Security Checker의 검사 범위는 어떻게 되나요?

    • 고객이 사용하는 서버의 운영체제(Windows, Linux)
    • 고객이 활용하는 WAS(Apache, Tomcat, Nginx)의 설정

    Q. System Security Checker는 어떻게 사용하나요?

    • 아래의 절차에 따라 점검을 진행하시면 됩니다.

      security-9-103.svg

    1. 콘솔 접속 및 이용 신청: MC Console에 접속, Services > Security > System Security Checker 메뉴에서 [이용신청] 을 클릭, 약관 동의 및 신청
    2. 점검할 VM에 터미널 접속: 접속 가이드에 따라 서버에 직접 터미널 접속
    3. 에이전트 다운로드: 점검에 필요한 에이전트를 직접 다운로드
    4. 에이전트 실행: 에이전트를 실행하면 자동으로 서버의 보안 설정을 점검
    5. 결과 확인: MC Console에 접속, Services > Security > System Security Checker 메뉴에서 점검 결과 확인

    Q. 점검 시간은 얼마나 걸리나요?

    • 일반적인 경우 최대 5초를 넘지 않습니다.
    • 만약, 점검이 정상적으로 종료되지 않을 경우에는 60초 이후에는 강제 종료되도록 설계되었습니다. 강제 종료가 되는 시간은 기본 60초이며, -t(--timeout) 옵션으로 초 단위로 설정할 수 있습니다.

    Q. 한번 점검하고 나서, 다시 실행했더니 에이전트 실행이 안되요.

    • 5분(300초) 이내에 동일한 점검 대상을 반복해서 점검하면 아래와 같은 에러 메시지가 출력됩니다.
      • Project Execution Time Interval (linux) : 5 min (over 300 seconds)
    • 잠시만 기다리셨다가, 5분이 지난 후에 다시 점검을 진행해 주세요.

    Q. 이용 해지했더니 이전에 점검한 결과가 보이지 않아요.

    • 이용 신청을 한 이후의 점검 결과만 보이도록 설계되었습니다. 이전의 점검 결과를 계속 보고 싶은 경우에는 이용 해지를 신중하게 결정해 주세요.

      security-9-105_ko.png

    점검 방법

    Linux 점검 방법

    Step 1. 콘솔 접속 및 이용 신청

    1. MC Console에 접속합니다.

    2. 좌측 메뉴 영역에서 [System Security Checker] 메뉴를 클릭합니다.

      • 좌측 메뉴에 서비스명이 보이지 않을 경우, 'Services'에서 해당 서비스명의 좌측 별표를 클릭하여 즐겨찾기를 추가합니다.
    3. [이용신청] 버튼을 클릭합니다.

    Step 2. 점검할 대상 VM에 접속

    Step 3. 에이전트 다운로드

    서버에서 실행할 에이전트를 다운로드하는 방법은 다음과 같습니다.

    • VM에서 실행되는 에이전트를 다운로드합니다.

      # wget http://pub-ossc.ncloud.com/download/sscAgent
      
    • 에이전트에 실행 권한 부여

      # chmod 755 sscAgent
      

    Step 4. Agent 실행

    에이전트를 실행하여 서버의 보안 설정을 점검합니다. 점검 대상에 알맞은 명령을 실행해 주십시오.

    주의

    서버를 점검하려면 관리자(root) 권한이 필요합니다. 일부 중요 시스템 파일을 확인하려면 관리자 권한이 필요하므로, 반드시 관리자 권한으로 에이전트를 실행해 주십시오.

    • OS/WAS 점검

      # ./sscAgent
       ---- [System Security Checker] 사용 가이드 ----
      시스템 점검을 위해서는 root 권한이 필요합니다.
      
      #1. 점검 대상 및 기준 소개
        + OS  - Linux (CSAP)    : Cloud Security Assurance Program(CSAP) 인증 기준의 36개 항목 점검
        + OS  - Linux (KISA)    : 주요정보통신기반시설 기술적 취약점 분석평가 방법 상세가이드 기준의 72개 항목 점검
        + OS  - Linux (Finance) : 전자금융기반시설 보안 취약점 평가기준의 89개 항목 점검
        + WAS - Apache httpd  (CSAP) : CSAP 인증심사 기준의 7개 항목 점검
        + WAS - Apache Tomcat (CSAP) : CSAP 인증심사 기준의 9개 항목 점검
        + WAS - Nginx         (CSAP) : CSAP 인증심사 기준의 7개 항목 점검
      
      #2. 점검 비용
        + OS (CSAP / KISA) - 1건당  100원 (월 100건 초과 이후, 1건당 80원)
        + OS (Finance)         - 1건당  500원 (월 100건 초과 이후, 1건당 400원)
        + WAS (httpd / Tomcat / Nginx) - 1건당 20,000원 (동일 서버 및 프로세스에 대한 재점검시 무료 1회)
      
      [System Security Checker] 점검하려는 대상을 선택해주세요.
      
    • 에이전트 실행 시 다음 옵션을 사용할 수 있습니다.

      • -h: 도움말 표시(--help)
      • --update: 에이전트의 업데이트를 위한 정보 표시
      • --debug: 터미널에 디버그를 위한 정보 표시
    • 정상적으로 점검이 종료되면 Success가 표시됩니다.

      • <예시> Linux 점검이 정상적으로 종료된 경우
      [Complete] System Securicy Checker 점검이 완료되었습니다.
          NCP Console 에서 점검 결과를 확인하실 수 있습니다.
      

    Step 5. 결과 확인

    • MC Console Services > Security > System Security Checker 메뉴에서 점검된 결과를 확인합니다.

      security-9-109_ko.png

    • Report에서 점검 결과가 Bad인 항목만 보고 싶은 경우

      • '상세 결과 및 조치'에서 붉은색 박스로 표시한 부분의 '점검결과'를 'Bad'로 선택하고 [검색] 버튼을 클릭합니다.
      • 화면 하단의 [Report] 버튼을 클릭하면, 'Bad' 항목만 Report에 출력됩니다.
    • 위험도가 Critical인 항목만 보고 싶은 경우

      • '상세 결과 및 조치'에서 '위험도'를 'Critical'로 선택하고 [검색] 버튼을 클릭합니다.
      • 화면 하단의 [Report] 버튼을 클릭하면, 위험도가 'Critical'인 항목만 Report에 출력됩니다.

    Step 6. 상세 리포트

    • [리포트] 버튼을 클릭하면 상세 리포트를 확인할 수 있습니다.

    • 상세 리포트는 전체 점검항목을 볼 수도 있고, Step 5와 같이 특정 조건을 만족하는 항목만을 볼 수도 있습니다.

      security-9-114_ko.png

    Windows 점검 방법

    Step 1. 콘솔 접속 및 이용 신청

    1. MC Console에 접속합니다.

    2. 좌측 메뉴 영역에서 [System Security Checker] 메뉴를 클릭합니다.

    3.[이용신청] 버튼을 클릭합니다.

    Step 2. 점검할 대상 VM에 접속

    Step 3. 에이전트 다운로드

    • VM에서 실행되는 에이전트를 다운로드

    • 인터넷 브라우저에서 아래 URL에 접속하여 다운로드

      # http://pub-ossc.ncloud.com/download/ncp_secuagent.zip
      
    • 또는 명령창에서 아래 명령으로 다운로드

      cmd> curl http://pub-ossc.ncloud.com/download/ncp_secuagent.zip -o ssc_agent.zip
      
    • 압축 해제

    Step 4. Agent 실행

    • ncp_secuagent 파일이 있는 디렉토리에서 < Shift > 키+ '마우스 우클릭'

    • 팝업 메뉴에서 여기서 명령창 열기(W) 클릭

      security-9-111_ko.png

    • agent 실행

      cmd> ncp_secuagent.exe
      [project : windows] => Success
      

      security-9-112_ko.png

    • 아래와 같은 메시지가 출력되면 점검이 정상적으로 종료된 상태입니다.

      [project : windows] => Success
      
    • 사용가능한 옵션

      • -h [ --help ] 도움말 출력
      • -v [ --version ] 에이전트의 버전 출력
      • -d [ --debug ] 디버그를 위한 메시지 출력
      • -t [ --timeout ] arg (default : 60 sec), 1초 단위로 설정 가능하며 timeout 시간 내에 점검이 종료되지 않을 경우 강제종료

    Step 5. 결과 확인

    • MC Console Services > Security > System Security Checker 메뉴에서 점검된 결과를 확인합니다.

    Troubleshooting

    1. ERROR (update doesn't running)

    • 증상: 서버를 점검할 때, 아래와 같은 에러 메시지가 발생합니다.
    root@hostname ~]# ./ncp_secuagent
    [Project : linux] => Fail => [stdout]: ERROR(update doesn't running) : cmd(yum install perl-libwww-perl) not work.
    
    • 원인

      • System Security Checker는 서버의 보안을 점검하기 위해서 perl 관련 패키지를 반드시 설치해야 합니다.
      • yum 명령어로 패키지 설치에 실패하였을 경우, 위와 같은 에러가 발생합니다.
      • 점검이 정상적으로 이루어지지 못하며, 해당 건에 대해서는 과금되지 않습니다.
    • 해결 방법

      • rpmdb 에러인 경우 (Error: rpmdb open failed)
      # yum list | grep perl-libwww-perl
      error: rpmdb: BDB0113 Thread/process 14277/139717220628288 failed: BDB1507 Thread died in Berkeley DB library
      error: db5 error(-30973) from dbenv->failchk: BDB0087 DB_RUNRECOVERY: Fatal error, run database recovery
      error: cannot open Packages index using db5 -  (-30973)
      error: cannot open Packages database in /var/lib/rpm
      CRITICAL:yum.main:
      
      Error: rpmdb open failed
      
      • yum list 명령어로 확인하면, 'rpmdb open failed' 이라고 확인되는 경우에는 rpmdb를 초기화하면 해결됩니다.
      • rpmdb 초기화 방법
      # rm -f /var/lib/rpm/__db*
      
      # rpm -vv --rebuilddb
      

    2. 서버의 'CentOS-Base.repo' 파일이 변경되었을 경우

    • 증상: System Security Checker 실행 이후에 '/etc/yum.repos.d/CentOS-Base.repo' 파일이 변경됨
    • 원인
      • System Security Checker는 서버의 보안을 점검하기 위해서 perl 관련 패키지를 반드시 설치해야 합니다.
      • SecureZone 이나 외부와 차단된 망에서는 인터넷 접속이 차단되어, 기본적으로 설정된 repo에서 패키지를 다운로드 할 수 없습니다.
      • 설정 점검 중에는 ncloud 내부에 별도로 구축한 repo에서 패키지를 다운로드 하기 위해서 CentOS-Base.repo 파일을 임시로 수정합니다.
      • 임시로 수정한 파일은 점검이 종료된 이후에 원래의 파일로 원복되지만, 비정상 종료 등의 사유로 원복되지 못하여 변경된 상태로 남아 있을 수 있습니다.
    • 해결 방법
      • backup 파일을 이용하여 아래와 같이 원복 가능합니다.
      mv -f /etc/yum.repos.d/CentOS-Base.repo_backup /etc/yum.repos.d/CentOS-Base.repo
      

    이 문서가 도움이 되었습니까?

    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.