강좌
클라우드/리눅스에 관한 강좌입니다.
해킹&보안 분류

rootcheck로 시스템 보안설정 점검

작성자 정보

  • 관리자 작성
  • 작성일

컨텐츠 정보

본문

rootcheck로 시스템 보안설정 점검

 

이번에 설명하는 rootcheck라는 프로그램은 OSSEC HIDS(http://www.ossec.net/hids/)의 일부분으로 개발되고 있는데, 앞에서 설명한 chkrootkit, rootkit hunter 두 프로그램 보다는 강력한 기능을 제공하지는 않지만 상호 장단점이 있어 보안 점검을 할 때 함께 활용하는 것이 좋다.

 

rootcheck는 다음과 같은 시스템의 스캔을 진행한다.

 

 

 

* 일부 바이너리 파일의 트로이안 여부

 

* LKM rootkit에서 사용되는 숨겨진 포트나 파일점검

 

* 인터페이스의 promisc 여부 점검

 

* passwd 파일 점검

- /etc/passwd의 개수와 /etc/shadow개수가 동일한지 확인

- 암호가 없는 계정이 있는지 확인

- 쉘이 있는 시스템계정이 있는지 확인

 

* httpd.confinetd.conf, xinetd.conf, sshd_conf 등의 설정 파일 점검

- 설정 파일에 수상한 목록이 있는지 확인

- 잘못 설정되어 있는지 확인

- 설정 파일의 퍼미션이 잘못 지정되어 있는지 확인

 

* 삭제된 로그파일등 로그 파일 관련 수상한 점 점검

 

* /procps를 점검하여 숨김 프로세스 여부 점검

 

* 알려진 루트킷 존재 여부 확인

 

* 백도어 디렉토리로 자주 사용되는 /dev 디렉토리 내 파일 존재 여부 점검

 

* 기타 수상한 파일이나 디렉토리 및 퍼미션 등 점검

- 파일 이름이 "."로 시작되는 파일

이러한 파일은 /bin, /sbin/, /var/, /lib. 디렉토리에 존재할 수 없다.

 

 

- 파일이름에 @,&,% 와 같은 문자가 포함되었는지 확인

- suid/sgid 파일 점검

- history 파일이 /dev/null등에 링크되어 있는지 확인

- 몇몇 바이너리의 변경 날짜 확인

 

rootcheck의 홈페이지는 http://www.ossec.net/rootcheck/이며 홈페이지에 접속 후 최신 버전의 패키지를 다운로드하면 된다.

 

 

ab790006690e3d62bbb0037300157788_1657701232_6196.png
 

[그림] rootcheck 홈페이지

 

 

9.3.1 다운로드 및 설치

 

[root@server root]# tar zxvfp rootcheck-0.x.tar.gz // 압축해제

[root@server root]# cd rootcheck-0.x // 디렉토리 이동

[root@server rootcheck-0.x]#make all // 컴파일 설치

 

 

9.3.2 사용방법

 

이후 압축 해제한 디렉토리에서 다음과 같이 실행하면 사용할 수 있는 옵션들이 출력된다.

 

 

 

 

[root@server rootcheck-0.x]# ./ossec-rootcheck -h

RootCheck 0.x

Options available:

-h 현재 화면을 보여준다.

-c 설정 파일을 지정한다.

 

-d debug 모드로 실행한다.

 

-D 실행 디렉토리를 지정한다.

 

-s 모든 시스템을 체크한다.

 

-r kernel 기반의 탐지를 위해 모든 파일을 읽는다.

 

만약 아무런 옵션도 주지 않고 실행하면 다음과 같이 스캔을 하게 된다.

 

 

 

# ./ossec-rootcheck

 

** Starting Rootcheck v0.7 by Daniel B. Cid **

** http://www.ossec.net/hids/aboutus.php#dev-team **

** http://www.ossec.net/rootcheck/ **

 

Be patient, it may take a few minutes to complete...

 

[FAILED]: Rootkit 'Showtee' detected by the presence of file '/usr/include/file.h'.

[FAILED]: Rootkit 'Showtee' detected by the presence of file '/usr/include/proc.h'.

[FAILED]: File '/dev/srd0' present on /dev. Possible hidden file.

.....

[FAILED]: Process '777' hidden from ps. Possible trojaned version installed.

[FAILED]: Process '8522' hidden from ps. Possible trojaned version installed.

[FAILED]: Port '40133'(tcp) hidden. Kernel-level rootkit or trojaned version of netstat.

 

 

앞에서 살펴본 chkrootkitrkhunter와 어느 정도 비슷한 결과가 보이는 것을 알 수 있다

"무단배포금지: 클라우드포털(www.linux.co.kr)의 모든 강좌는 저작권에 의해 보호되는 콘텐츠입니다. 무단으로 복제하여 배포하는 행위는 금지되어 있습니다."

관련자료

댓글 0
등록된 댓글이 없습니다.
목록

공지사항

뉴스광장

  • 현재 회원수 :  60,156 명
  • 현재 강좌수 :  36,513 개
  • 현재 접속자 :  260 명