리눅스 서버 취약점 보안

취약점 점검항목: 21. IP 포워딩 비활성화

취약점 점검기준

  – 양호기준: IP 포워딩 기능 미사용시 양호합니다.

  – 취약기준: IP 포워딩 기능 사용시 취약합니다.

취약점 점검방법

  – sudo 권한이 있는 아이디 쉘 접속 후 루트 권한을 얻어서 작업하시길 바랍니다.
    $sudo su – 

  – LINUX: 아래 경로를 cat으로 봤을때 값이 0이면 양호합니다.

    #cat /proc/sys/net/ipv4/ip_forward

    #cat /proc/sys/net/ipv4/conf/default/accept_source_route

취약점 조치방법

  – LINUX: 라우팅 불가능 설정 방법입니다. 
    1.  다음 명령 실행
      # echo 0 > /proc/sys/net/ipv4/ip_forward
      # echo 0 > /proc/sys/net/ipv4/conf/default/accept_source_route

    2.  부팅 시 항상 적용될 수 있도록 설정 파일에 다음 행 추가
      # vi /etc/sysctl.conf

      (추가) net.ipv4.ip_forward = 0
      (추가) net.ipv4.conf.default.accept_source_route = 0

  – AIX: 라우팅 불가능 설정 방법입니다.
    no -p -o ipforwarding=0 
    no -p -o ip6srcrouteforward=0 
    no -p -o ipsrcrouteforward=0

  – HP-UX: 아래 항목은 안전하게 설정된 /etc/rc.config.d/nddconf 파일의 예 입니다.

    #vi /etc/rc.config.d/nddconf

    TRANSPORT_NAME[1]=ip
    NDD_NAME[1]=ip_forwarding
    NDD_VALUE[1]=0
    TRANSPORT_NAME[2]=ip
    NDD_NAME[2]=ip_forward_directed_broadcast
    NDD_VALUE[2]=0
    TRANSPORT_NAME[3]=ip
    NDD_NAME[3]=ip_forward_src_routed
    NDD_VALUE[3]=0
    TRANSPORT_NAME[4]=ip
    NDD_NAME[4]=ip_respond_to_echo_broadcast
    NDD_VALUE[4]=0

  – SOLARIS: 라우팅 불가능 설정 방법입니다.
   * Solaris 5.9이하
    1. 다음 명령 실행
      # ndd -set /dev/ip ip_forwarding 0
      # ndd -set /dev/ip ip_forward_src_routed 0
    2. 부팅시 항상 적용될 수 있도록 아래 설정파일의 해당 항목 수정
      # vi /etc/rc    2.d/S69inet

    3. 라우팅 정보를 외부에 알려주는 /usr/sbin/in.routed을 실행하지 않기 위해 다음 파일을 생성
      # touch /etc/notrouter

   * Solaris 5.10, 5.11 
    1. 다음 명령 실행
      # ndd -set /dev/ip ip_forwarding 0
      # ndd -set /dev/ip ip_forward_src_routed 0
    2. 라우팅 정보를 외부에 알려주는 /usr/sbin/in.routed을 실행하지 않기 위해 다음 파일을 생성
      # touch /etc/notrouter

출처 URL : https://reddb.tistory.com/category/%EB%A6%AC%EB%88%85%EC%8A%A4%28%EC%9C%A0%EB%8B%89%EC%8A%A4%29%20%EC%B7%A8%EC%95%BD%EC%A0%90%20%EC%A0%90%EA%B2%80

문제가 될시 삭제하겠습니다.