Amazon Inspector Classic의 보안 모범 사례

Medium

사용자가 SSH를 통해 루트 자격 증명을 사용하여 로그인할 수 있도록 구성된 EC2 인스턴스가 평가 대상에 있습니다. 이 경우 Brute-Force 공격이 성공할 가능성이 높아집니다.

SSH를 통한 루트 계정 로그인을 방지하도록 EC2 인스턴스를 구성하는 것이 좋습니다. 대신 필요한 경우 루트 이외의 사용자로 로그인하고 sudo를 사용하여 권한을 에스컬레이션합니다. SSH 루트 계정 로그인을 비활성화하려면 /etc/ssh/sshd_config 파일에서 PermitRootLogin을 no로 설정하고 sshd를 다시 시작합니다.

Medium

평가 대상의 EC2 인스턴스가 SSH 1을 지원하도록 구성되어 있습니다. SSH 1에는 보안을 크게 저하시키는 설계 결함이 내재되어 있습니다.

SSH 2 이상만 지원하도록 평가 대상의 EC2 인스턴스를 구성하는 것이 좋습니다. OpenSSH의 경우 Protocol 2를 /etc/ssh/sshd_config 파일에서 설정하여 이를 수행할 수 있습니다. 자세한 내용은 man sshd_config 섹션을 참조하세요.

Medium

평가 대상의 EC2 인스턴스가 SSH를 통한 암호 인증을 지원하도록 구성되어 있습니다. 암호 인증은 Brute-Force 공격에 취약하기 때문에 가능한 경우 키 기반 인증을 사용하기 위해 암호 인증을 비활성화해야 합니다.

EC2 인스턴스에서 SSH를 통한 암호 인증을 비활성화하고 대신 키 기반 인증 지원을 활성화하는 것이 좋습니다. 그러면 Brute-Force 공격의 성공 가능성을 크게 낮출 수 있습니다. 자세한 내용은 https://aws.amazon.com/articles/1233/을 참조하십시오. 암호 인증이 지원되는 경우 SSH 서버에 대한 액세스를 신뢰할 수 있는 IP 주소로 제한해야 합니다.

Medium

평가 대상의 EC2 인스턴스에 암호의 최대 수명이 구성되어 있지 않습니다.

암호를 사용하는 경우 평가 대상의 모든 EC2 인스턴스에 암호의 최대 수명을 구성하는 것이 좋습니다. 이를 위해 사용자는 암호를 정기적으로 변경해야 합니다. 그러면 암호 추측 공격이 성공할 가능성을 낮출 수 있습니다. 기존 사용자에 대해 이 문제를 해결하려면 chage 명령을 사용합니다. 모든 향후 사용자에 대한 암호의 최대 수명을 구성하려면 /etc/login.defs 파일의 PASS_MAX_DAYS 필드를 편집합니다.

Medium

평가 대상의 EC2 인스턴스에 암호의 최소 길이가 구성되어 있지 않습니다.

암호를 사용하는 경우 평가 대상의 모든 EC2 인스턴스에 암호의 최소 길이를 구성하는 것이 좋습니다. 최소 암호 길이를 적용하면 암호 추측 공격이 성공할 위험이 줄어듭니다. pwquality.conf 파일에서 minlen 옵션을 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 https://linux.die.net/man/5/pwquality.conf를 참조하십시오.

인스턴스에서 pwquality.conf를 사용할 수 없는 경우 minlen 모듈을 사용하여 pam_cracklib.so 옵션을 설정할 수 있습니다. 자세한 내용은 man pam_cracklib 섹션을 참조하세요.

minlen 옵션은 14 이상으로 설정해야 합니다.

Medium

평가 대상의 EC2 인스턴스에 암호 복잡도 메커니즘 또는 제한이 구성되어 있지 않습니다. 이 경우 사용자가 단순한 암호를 설정할 수 있고, 그렇게 되면 권한 없는 사용자가 액세스 권한을 얻어 계정을 오용할 가능성이 커집니다.

암호를 사용하는 경우 암호 복잡도 수준을 요구하도록 평가 대상의 모든 EC2 인스턴스를 구성하는 것이 좋습니다. pwquality.conf 파일에서 lcredit, ucredit, dcredit, ocredit 옵션을 사용하여 이 작업을 수행할 수 있습니다. 자세한 내용은 https://linux.die.net/man/5/pwquality.conf를 참조하십시오.

인스턴스에서 pwquality.conf를 사용할 수 없는 경우 lcredit 모듈을 사용하여 ucredit, dcredit, ocredit 및 pam_cracklib.so 옵션을 설정할 수 있습니다. 자세한 내용은 man pam_cracklib 섹션을 참조하세요.

이러한 각 옵션에 대한 예상 값은 아래와 같이 -1보다 작거나 같습니다.

lcredit <= -1, ucredit <= -1, dcredit<= -1, ocredit <= -1

또한 이 remember 옵션을 12 이상으로 설정해야 합니다. 자세한 내용은 man pam_unix 섹션을 참조하세요.

Medium

평가 대상의 EC2 인스턴스에 ASLR이 활성화되어 있지 않습니다.

평가 대상의 보안을 강화하기 위해 echo 2 | sudo tee /proc/sys/kernel/randomize_va_space를 실행하여 평가 대상에 있는 모든 EC2 인스턴스의 운영 체제에서 ASLR을 활성화하는 것이 좋습니다.

Medium

평가 대상의 EC2 인스턴스에 DEP가 활성화되어 있지 않습니다.

평가 대상에 있는 모든 EC2 인스턴스의 운영 체제에서 DEP를 활성화하는 것이 좋습니다. DEP를 활성화하면 버퍼 오버플로우 기술을 사용하여 보안 손상으로부터 인스턴스를 보호할 수 있습니다.

높음

평가 대상의 EC2 인스턴스에 루트 이외의 사용자가 쓸 수 있는 시스템 디렉터리가 포함되어 있습니다.

평가 대상의 보안을 강화하고 악의적인 로컬 사용자의 권한 에스컬레이션을 방지하려면 대상에 있는 모든 EC2 인스턴스의 모든 시스템 디렉터리를 루트 계정 자격 증명을 사용하여 로그인하는 사용자만 쓸 수 있도록 구성합니다.