'무결성'에 해당되는 글 3건
- 2013.07.17 2013년 7월 Oracle Critical Patch Update
- 2009.04.23 Fcheck 를 이용한 파일 시스템 감시
- 2009.02.27 시스템 침입탐지 및 무결성 도구 (1)
| 트윗하기 | |||
개요
- Oracle Critical Patch Update(CPU)는 Oracle사의 제품을 대상으로 다수의 보안 패치를 발표하는 주요 수단임
- Oracle CPU 발표 이후, 관련 공격코드의 출현으로 인한 피해가 예상되는 바 Oracle 제품의 다중 취약점에 대한 패치를 권고함
설명
- 2013년 7월 Oracle CPU에서는 Oracle 자사 제품의 보안취약점 89개에 대한 패치를 발표함
- 원격 및 로컬 공격을 통하여 취약한 서버를 공격하는데 악용될 가능성이 있는 취약점을 포함하여 DB의 가용성 및 기밀성/무결성에 영향을 줄 수 있는 취약점 존재
영향받는 시스템
Oracle Database 11g Release 2, versions 11.2.0.2, 11.2.0.3
Oracle Database 11g Release 1, version 11.1.0.7
Oracle Database 10g Release 2, versions 10.2.0.4, 10.2.0.5
Oracle Access Manager, versions 11.1.1.5.0, 11.1.1.7.0, 11.1.2.0.0
Oracle Endeca Server, versions 7.4.0, 7.5.1.1
Oracle HTTP Server, versions 10.1.3.5.0
Oracle JRockit, versions R27.7.5 and earlier, R28.2.7 and earlier
Oracle Outside In Technology, versions 8.3.7, 8.4.0, 8.4.1
Oracle WebCenter Content, versions 10.1.3.5.1, 11.1.1.6.0, 11.1.1.7.0
- Oracle Hyperion BI, versions 11.1.1.3, 11.1.1.4.107 and earlier, 11.1.2.1.129 and earlier, 11.1.2.2.305 and earlier
Enterprise Manager Plugin for Database 12c Release 1, versions 12.1.0.2, 12.1.0.3
Enterprise Manager Grid Control 11g Release 1, version 11.1.0.1
Enterprise Manager Grid Control 10g Release 1, version 10.2.0.5
Oracle E-Business Suite Release 12i, versions 12.0.6, 12.1.1, 12.1.2, 12.1.3
Oracle E-Business Suite Release 11i, version 11.5.10.2
Oracle Agile Collaboration Framework, version 9.3.1
Oracle Agile PLM Framework, version 9.3.1
Oracle Agile Product Framework, version 9.3.1
Oracle PeopleSoft Enterprise Portal, version 9.1
Oracle PeopleSoft HRMS, version 9.1
Oracle PeopleSoft PeopleTools, versions 8.51, 8.52, 8.53
Oracle iLearning, versions 5.2.1, 6.0
Oracle Policy Automation, versions 10.2.0, 10.3.0, 10.3.1, 10.4.0, 10.4.1, 10.4.2
Oracle and Sun Systems Product Suite
Oracle Secure Global Desktop, versions 4.6 prior to 4.63, 4.7 prior to 4.71
Oracle MySQL Server, versions 5.1, 5.5, 5.6
※ 영향받는 시스템의 상세 정보는 참고사이트[1]를 참조
해결방안
- 해결방안으로서 "Oracle Critical Patch Update Advisory - July 2013" 문서를 검토하고 벤더사 및 유지보수업체와 협의/검토 후 패치적용 요망[1]
[참고사이트]
[1] http://www.oracle.com/technetwork/topics/security/cpujuly2013-1899826.html
| 트윗하기 | |||
Fcheck 툴을 이용해 파일 시스템의 상태를 체크함으로써 간단히 IDS기능을 구현한다.
(파일 시스템의 무결성을 감시 한다.)
1.실행
크래커서 서버에 침투해서 특정한 파일을 변조 하거나 추가하여 백도어 또는 시스템에 악영향을 주는
파일을 숨겨 놓았다면, 서버 관리자는 상당히 곤욕 스러울 것이다. 시스템을 새로 설치하기엔 부담이
너무 크고 그렇다고 해당 백도어 파일을 쉽게 찾아내는 것은 쉽지 않은 일이다.
(또 이러한 경우가 아니더라도 사용자 혹은 관리자의 실수로 잘못 수정된 파일이 생길 수도 있으며,
이로인해 서비스 중인 시스템에 악영햐을 미칠 수 도 있다.)
이 때를 대비하여 우리는 파일시스템을 체크하는 툴들을 사용하는데 대표적인 예로 Tripwire 라는 툴이 있다.
하지만 이 툴은 설정도 약간€ 복잡하고 사용하기 번거로운 면도 없지 않아 있다.
여기서 소개하려는 Fcheck 라는 툴은 Tripwire 에 비해 설정도 간단하면서도 막강한 기능을 가지고 있다.
Fcheck라는 툴을 이용하여 간단한 파일 시스템 감시 시스템을 구축하여 보자.
Fcheck는 사용자가 설정한 디렉토리, 파일의 정보를 데이터베이스에 저장하고 있다가 정해진 시간마다
파일 시스템을 체크하여 파일 시스템의 무결성(파일 변조)을 체크하는 프로그램이다.
Fcheck 는 아래 링크에서 다운 받을 수 있다.
http://www.geocities.com/fcheck2000/download.html 현재 2.07.59 버전 까지 릴리즈 되어 있다.
해당 파일을 다운로드 한뒤에 압축을 풀고 설정화일의 변경만으로 바로 사용할 수 있다.
|
|
설정할 화일은 실행 화일은 fcheck 와 설정화일은 fcheck.cfg 이다.
fcheck.cfg 에서는 무결성을 검사할 디렉토리와 타임존 그리고 무결성 데이터 베이스가 존재할 경로를 설정한다.
설정은 이와 같이 할 수 있다.
vi fcheck.cgf
|
#fcheck.cfg- # 무결성 데이터베이스를 저장할 위치 #타임존 설정 |
화일의 약 212 라인에 유저가 수정할 수 있는 영역이 있다.
|
#vi fcheck |
위에서 처럼 fcheck.cfg 가 위치할 디렉토리를 설정하면 된다.
설정후 fcheck -ac 를 실행함으로서 무결성 디비를 생성하게 된다.
|
[root@vellev fcheck]# ./fcheck -ac |
|
[root@vellev fcheck]# touch /usr/backboor PROGRESS: validating integrity of Files PROGRESS: validating integrity of /usr/ PROGRESS: validating integrity of /usr/bin/
[root@vellev fcheck]# |
/usr/ 디렉토리에 backdoor 라는 파일이 추가된것을 확인 할 수 있다.
이와 같은 방법으로 각 핵심 파일시스템이나 특정 프로그램의 파일시스템의 무결성을 체크할 수 있다.
주의해야 할점은 정산적인 시스템의 변경이나 패키지 추가/변경 작업 후에는 반듯이 무결성 데이터베이스를
업데이트(fcheck -ac) 해주어야 한다.
이를 응용하여 cron 같은 데몬을 통해서 주기적으로 fcheck 를 실행하고 이 내용을 메일로 전송 받거나 외부
전송을 통해서 해당 시스템의 파일시스템 무결성을 체크 할 수 있을 것이다
fcheck는 Tripwire 와 동일한 파일 무결성 체크 툴입니다. 기존 시스템에 대한 정보를 데이터베이스로
가지고 있다가 변화가 생기면 비교를 통해 변화 내용을 관리자에게 알려주는 툴입니다.
tripwire에 비해 자세한 정보를 알려주지는 않지만 사용법이 간결하고, 출력정보가
복잡하지 않아서 편리하게 사용하실 수 있습니다.
http:www.geocities.com/fcheck2000
fcheck 홈 페이지에서 다운로드 후에 설치를 합니다. fcheck 는 펄로 만들어진 스크립트라서
컴파일이나 인스톨 과정은 거치치 않는 대신에 몇 가지 설정 파일을 수정하셔야 합니다.
/usr/local/fcheck 디렉토리에 설치하쟝.
압축을 해제하고 해당 디렉토리로 이동하면 달랑 5개 파일 뿐이지요.
[root@gyn fcheck]# ll 합계 136 -r--r--r-- 1 root root 13582 3월 13 2001 README -r-xr-xr-x 1 root root 72507 3월 13 2001 fcheck -r--r--r-- 1 root root 4168 3월 13 2001 fcheck.cfg -r--r--r-- 1 root root 12873 3월 13 2001 install -r--r--r-- 1 root root 17982 3월 13 2001 license |
먼저 fcheck 파일을 열어서 설정파일의 위치를 수정해줍니다.
| ########################################################### # # User modifiable variable definitions: # ########################################################### # This should be passed through the command line, but hard coding still works $config="/usr/local/admtools/conf/fcheck.cfg"; $config="/usr/local/fcheck/fcheck.cfg"; <-- 설치된 디렉토리로 변경. #$config="C:/Work/fcheck/fcheck.cfg"; |
그 후에는 환경설정파일을 수정합니다.
|
#Exclusion = /tmp/dir/afile |
나머지 설정들은 디폴트 값으로 두고, data 디렉토리를 만든후에 무결성 체크를 실행 합니다.
[root@gyn fcheck]# mkdir data [root@gyn fcheck]# ll 합계 140 -r--r--r-- 1 root root 13582 3월 13 2001 README drwxr-xr-x 2 root root 4096 11월 21 18:15 data -r-xr-xr-x 1 root root 72500 11월 21 16:35 fcheck -r--r--r-- 1 root root 4314 11월 21 18:15 fcheck.cfg -r--r--r-- 1 root root 12873 3월 13 2001 install -r--r--r-- 1 root root 17982 3월 13 2001 license [root@gyn fcheck]# ./fcheck -ac |
fcheck -ac 명령을 실행하고 나며 data 디렉토리 내의 환경설정 파일에서 지정한 디렉토리의 정보를
저장한 data.dbf 파일이 생성됩니다.
[root@gyn fcheck]# vi data/data.dbf # - Host gyn.pe.kr # - OS Linux 2.4.7-2 # - Database Creation Nov 21 18:17 2001 # - Uname Linux gyn.pe.kr 2.4.7-2 #1 Tue Aug 14 05:16:54 EDT 2001 i686 unknown # - FCheck by Michael A. Gumienny # - - - - -> BEGIN Directory /etc <- - - - - 228994!33152!0!1001896148!/etc/.pwd.lock!NOCRC 3581137!16877!4096!1001896739!/etc/CORBA!NOCRC 228986!33188!2434!1001896129!/etc/DIR_COLORS!NOCRC 3123321!16877!4096!1001896173!/etc/FreeWnn!NOCRC 229021!33188!81211!1001896200!/etc/Muttrc!NOCRC 277985!16877!4096!1001896939!/etc/X11!NOCRC 229002!33188!2561!1001896188!/etc/a2ps-site.cfg!NOCRC 229006!33188!15223!1001896188!/etc/a2ps.cfg!NOCRC ..중략.. |
일단 fcheck 를 한 번 실행한 후에 시스템에 변경사항이 생기면 변화를 체크해서 리포트를 출력하게
됩니다.
예제로 /home 에 111 이란 파일을 만든 후에 실행을 시키면 경고메세지를 보냅니다.
[root@gyn home]# touch 111 합계 12 -rw-r--r-- 1 root root 0 11월 21 18:28 111 drwx------ 4 backup backup 4096 11월 13 11:10 backup drwx------ 6 data data 4096 11월 16 15:39 data drwxr-xr-x 5 root root 4096 10월 25 11:41 members |
[root@gyn fcheck]# ./fcheck -ad PROGRESS: No individual files to validating PROGRESS: validating integrity of /lib
|
그런데 한가지 아쉬운 점은 하위 디렉토리의 변경은 정확하게 파악을 하지 못 하는게 좀 부족하다고
느끼는데 간편하게 쓰기엔 좋은 것 같습니다.
실행 세부 옵션은 다음과 같습니다.
| -a | automatic mode, 설정파일의 모든 디렉토리 검사. |
| -c | 새로운 데이터 베이스 생성. |
| -d | 디렉토리 하위 변경사항 체크. |
| -f | 환경설정 파일 지정. |
| -i | 생성시간 무시 |
| -l | 로그 파일에 변경된 내용 추가. |
| -r -x |
리포트 내용을 파일로 저장. |
출처: http://user.oss.or.kr/lecture
| 트윗하기 | |||
1. Tripwire ( http://www.tripwiresecurity.com )
Tripwire은 자신의 linux시스템을 외부의 크래커 공격과 내부의 악의적인 사용자의 공격으로부터 자신의 linux시스템을 지켜내는 마지노선과 같은 역할을 하는 프로그램이다. 자신의 시스템이 방화벽과 다른 보안수단으로 보안을 강화하고 있다고 하더라도 어느 순간 크래커나 내부사용자에 의해 시스템이 침투되어 질 수 있다. 침투한 크래커나 악의적인 내부사용자들은 다음을 위해 백도어를 만들어 놓거나, 시스템 파일을 변경해 놓거나, 아니면 지난번 야후나 아마존등 유명한 사이트을 공격할 때 사용되어진 DoS attack 프로그램등과 같은 악의적인 프로그램을 설치하여 크래커의 중간공격기지 역할을 하게 할 수도 있다.
- 관련글 : 보안프로그램 tripwire을 돌려보자
2. aide ( http://sourceforge.net/projects/aide )
"AIDE (Advanced Intrusion Detection Environment)", Tripwire(tm)를 대신할 수 있는 도구로 파일의 무결성을 검사하는데 사용한다. 메시지 다이제스트 알고리즘을 사용하여 파일이 변조되었는지를 점검할 수 있다.
- 관련글 : AIDE를 이용한 시스템 무결성 구축
3. claymore ( http://linux.rice.edu/magic/claymore )
침입탐지 및 무결성 모니터링 도구로 크론테이블을 이용하여 주기적으로 파일시스템의 변조유무를 확인하고 변조되었을 경우 관리지에게 메일로 통보해 주는 기능이 있다.
- 관련글 : 원격 침입탐지 시스템 - Claymore
4. samhain (http://la-samhna.de/samhain )
시스템의 무결성을 점검하는 도구로 여러 시스템을 관리할 수 있는 수단을 제공한다. 각 각의 호스트에서 실행되는 모니터링 에이전트와 이러한 에이전트로부터 정보를 수집하는 중앙 로그서버로 구성된다.
- 관련글 : 파일 무결성 체크/IDS 툴-Samhain
5. slipwire http://packet.node.to , freshmeat.net/projects/slipwire.pl )
"slipwire.pl", 파일시스템의 무결성을 검사하는 도구로 파일의 SHA-1 hashes값을 비교하여 변경될 경우 사용자에게 경고하는 기능이 있다. 또한 파일 사이즈, uid, 화일 변경시간등도 검사한다.
- 관련글 :http://www.securitymap.net/stm/stm_system.html
6. Fcheck (http://www.geocities.com/fcheck2000 )
유닉스 파일시스템의 변조유무를 점검하기 위한 PERL script 도구로 syslog. console 등로 관리자에게 파일시스템 변화를 경보해 준다. "tripwire"와 비슷한 도구로 보다 설치 및 운영이 쉽다.
- 관련글 : Fcheck 를 이용한 호스트 무결성 점검
간단하면서도 막강한 파일 무결성 체크 프로그램 Fcheck
7. TAMU ( ftp://net.tamu.edu/pub/security/TAMU/ )
택사스의 A&M대학에서 개발된 넘이다. 특성은 트로이를 찾는것 외에도 네트웍 모니터링 및 팻킷필터링등도 제공한다.
- 관련글 : IT보안해설서 유닉스 보안
8. ATP
Tripwire와 유사한 서비스를 제공한다.
9. Hobgoblin
파일 무결성과 시스템 무결성을 검사, COPS와 Tripwire 합쳐놓은 것과 유사, 프로그래밍 언어, 인터프리터 처럼 사용
- 관련내용 : Linux Security
10. sXid ( http://www.phunnypharm.org/pub/sxid )
MD5 체크섬을 사용하여 suid, sgid파일을 추적 루트키트가 설치되어있는지 검사.
Cron작업형태로 수행 자동으로 파일을 추적 경고
- 관련글 : sXid 를 이용한 파일시스템 감시(퍼미션) 감시하기
참고 : SecurityMap, Google
aide,
ATP,
Claymore,
fcheck,
hi.pe.kr,
Hobgoblin,
samhain,
slipwire,
sxid,
TAMU,
tripwire,
무결성,
물고기,
운영체제,
침입탐지
-
김종형 2017.03.17 10:49
제가 필요로 하던 정보라 요긴하게 활용하겠습니다.
Prev
