System Security Checker 소개

기능

System Security Checker는 고객이 생성한 서버의 운영체제와 WAS(Apache, Tomcat, Nginx) 보안 설정을 점검하고, 보안 관점에서 적절한 값으로 설정할 수 있도록 안내합니다.

특징

KISA의 보안 설정 가이드와 NAVER의 보안 설정 정책에 근거하여 편의성과 보안성 모두를 높일 수 있는 항목 위주로 선별하여 점검합니다. 각각의 항목은 보안상 중요한 설정을 점검하고, 취약한 경우 올바르게 설정을 할 수 있도록 가이드를 제공합니다.

기대 효과

System Security Checker를 통해 보안 설정을 점검하고, 가이드에 따라 설정을 수정하면 서버의 보안 향상을 기대할 수 있습니다. 예를 들어 사용자의 비밀번호 길이를 8자 이상으로 최대 사용 기간을 90일 이하로 설정하면, 외부 공격자의 무작위 대입 공격으로 인한 서버 침입을 사전에 방지할 수 있습니다. 이와 같이 비교적 간단한 몇 가지 설정만으로 서버의 보안을 향상시켜 서비스를 보다 안전하게 만들 수 있습니다.

사용하기 전에

Q. System Security Checker는 무엇인가요?

  • System Security Checker는 고객의 VM에서 구동할 수 있는 Agent를 제공합니다. 고객이 원하는 서버 혹은 시점에 Agent를 다운로드하여 직접 검사를 수행하는 방식의 시스템입니다.
  • System Security Checker는 고객이 생성한 서버의 보안 설정을 점검합니다. 기본 설정을 보안 관점에서 적절한 값으로 설정할 수 있도록 안내합니다.

Q. 서버를 점검하려면 어떤 권한이 필요한가요?

  • 서버를 점검하려면 관리자(root) 권한이 필요합니다. 일부 중요 시스템 파일을 확인하려면 관리자 권한이 필요하오니 꼭 관리자 권한으로 에이전트를 실행해 주십시오.

Q. System Security Checker의 검사 범위는 어떻게 되나요?

  • 고객이 사용하는 서버의 운영체제(Windows, Linux)
  • 고객이 활용하는 WAS(Apache, Tomcat, Nginx)의 설정

Q. System Security Checker는 어떻게 사용하나요?

  • 아래의 절차에 따라 점검을 진행하시면 됩니다.

    step

  • 콘솔 접속 및 이용 신청: MC Console에 접속, [Security > Security Checker > System Security Checker] 메뉴에서 '이용신청'을 클릭, 약관 동의 및 신청

  • 점검할 VM에 터미널 접속: 접속 가이드에 따라 서버에 직접 터미널 접속
  • 에이전트 다운로드: 점검에 필요한 에이전트를 직접 다운로드
  • 에이전트 실행: 에이전트를 실행하면 자동으로 서버의 보안 설정을 점검
  • 결과 확인: MC Console에 접속, [Security > Security Checker > System Security Checker] 메뉴에서 점검 결과 확인

Q. 점검 시간은 얼마나 걸리나요?

  • 일반적인 경우 최대 5초를 넘지 않습니다.
  • 만약, 점검이 정상적으로 종료되지 않을 경우에는 60초 이후에는 강제 종료되도록 설계되었습니다. 강제 종료가 되는 시간은 기본 60초이며, -t(--timeout) 옵션으로 초 단위로 설정할 수 있습니다.

Q. 한번 점검하고 나서, 다시 실행했더니 에이전트 실행이 안되요.

  • 5분(300초) 이내에 동일한 점검 대상을 반복해서 점검하면 아래와 같은 에러 메시지가 출력됩니다.
    • Project Execution Time Interval (linux) : 5 min (over 300 seconds)
  • 잠시만 기다리셨다가, 5분이 지난 후에 다시 점검을 진행해 주세요.

Q. 이용 해지했더니 이전에 점검한 결과가 보이지 않아요.

  • 이용 신청을 한 이후의 점검 결과만 보이도록 설계되었습니다. 이전의 점검 결과를 계속 보고 싶은 경우에는 이용 해지를 신중하게 결정해 주세요.

점검 방법

Linux 점검 방법

Step 1. 콘솔 접속 및 이용 신청

  • MC Console 접속: https://console.gov-ncloud.com/dashboard

  • 좌측 메뉴 영역에서 'System Security Checker' 상품 메뉴 클릭

    • 좌측 메뉴에 상품명이 보이지 않을 경우, 아래와 같이 'All Product'에서 해당 상품명의 좌측 별표를 클릭하여 즐겨찾기 추가

  • '이용신청' 클릭

Step 2. 점검할 대상 VM에 접속

Step 3. 에이전트 다운로드

  • VM에서 실행되는 에이전트를 다운로드

    # wget http://pub-ossc.ncloud.com:10080/download/ncp_secuagent.tar.gz
    

Step 4. Agent 실행

root 권한으로 점검을 진행해야 합니다.

  • agent 압축 해제

    # tar xvzf ncp_secuagent.tar.gz
    ncp_secuagent
    
  • agent 실행

    # ./ncp_secuagent
    [Project : linux] => Success
    // ncloud 계정으로 로그인한 경우에는 sudo 명령어로 root 권한으로 실행해야 함.
    $ sudo ./ncp_secuagent
    
    Apache 점검을 할 때는 아래와 같이 옵션을 추가
    # ./ncp_secuagent -p apache
    Tomcat 점검하고자 할 때는 아래와 같이 옵션을 추가
    # ./ncp_secuagent -p tomcat
    Nginx 점검하고자 할 때는 아래와 같이 옵션을 추가
    # ./ncp_secuagent -p nginx
    
    • Success로 결과가 나오면 점검이 정상적으로 종료됨
  • 사용가능한 옵션

    • -h [ --help ] 도움말 출력
    • -v [ --version ] 에이전트의 버전 출력
    • -d [ --debug ] 디버그를 위한 메시지 출력
    • -t [ --timeout ] arg (default : 60 sec), 1초 단위로 설정 가능하며 timeout 시간 내에 점검이 종료되지 않을 경우 강제종료
    • -p [ --project ] arg (apache, tomcat, nginx) - Apache, Tomcat 또는 Nginx의 보안 설정을 점검

Step 5. 결과 확인

  • MC Console [Security > Security Checker > System Security Checker] 메뉴에서 점검된 결과 확인

  • Report에서 점검 결과가 Bad인 항목만 보고 싶은 경우

    • '상세 결과 및 조치'에서 붉은색 박스로 표시한 부분의 '점검결과'를 'Bad'로 선택하고 검색 버튼 클릭

    • 화면 하단의 'Report' 버튼을 클릭하면, 'Bad' 항목만 Report에 출력됨.

  • 위험도가 'Critical'인 항목만 보고 싶은 경우

    • '상세 결과 및 조치'에서 '위험도'를 'Critical'로 선택하고 검색 버튼 클릭
    • 화면 하단의 'Report' 버튼을 클릭하면, 위험도가 'Critical'인 항목만 Report에 출력됨.

Step 6. 상세 리포트

  • '리포트' 버튼을 클릭하면 상세 리포트를 확인
  • 상세 리포트는 전체 점검항목을 볼 수도 있고, Step 5와 같이 특정 조건을 만족하는 항목만을 볼 수도 있음.

Windows 점검 방법

Step 1. 콘솔 접속 및 이용 신청

Step 2. 점검할 대상 VM에 접속

Step 3. 에이전트 다운로드

  • VM에서 실행되는 에이전트를 다운로드
  • 인터넷 브라우저에서 아래 URL에 접속하여 다운로드

    # http://pub-ossc.ncloud.com:10080/download/ncp_secuagent.zip
    
  • 압축 해제

Step 4. Agent 실행

  • ncp_secuagent 파일이 있는 디렉토리에서 'shift + 마우스 우클릭'
  • 팝업 메뉴에서 '여기서 명령창 열기(W)' 클릭

  • agent 실행

      cmd> ncp_secuagent.exe
      [project : windows] => Success
    

  • 아래와 같은 메시지가 출력되면 점검이 정상적으로 종료된 상태

      [project : windows] => Success
    
  • 사용가능한 옵션

    • -h [ --help ] 도움말 출력
    • -v [ --version ] 에이전트의 버전 출력
    • -d [ --debug ] 디버그를 위한 메시지 출력
    • -t [ --timeout ] arg (default : 60 sec), 1초 단위로 설정 가능하며 timeout 시간 내에 점검이 종료되지 않을 경우 강제종료

Step 5. 결과 확인

  • MC Console [Security > Security Checker > System Security Checker] 메뉴에서 점검된 결과 확인

""에 대한 건이 검색되었습니다.

    ""에 대한 검색 결과가 없습니다.

    처리중...