|
대규모 홈페이지 변조 예방을 위한 권고2006-02-01 |
|
|
한국정보보호진흥원 KrCERT/CC에
"대규모 홈페이지 변조 예방을 위한 권고" 입니다.
Ⅰ. 외부 사이트의 소스 실행 금지
o 기본적으로 웹 호스팅 서버 차원에서 외부 사이트의 소스
실행을 금지시킨다.
o php.ini 파일에서 다음과 같이 설정한다.
allow_url_fopen = Off
Ⅱ. 필요시 특정 홈페이지만 외부 사이트의 소스 실행 허용
o 과정 Ⅰ 적용 후 외부 사이트의 소스 실행이 반드시 필요한
홈페이지에 대해서만 선별적으로 해당 기능을 허용한다.
(이 경우 반드시 과정 Ⅲ의 패치 적용 필요)
o httpd.conf 파일에서 특정 홈페이지 도메인(예를들어
www.abc.co.kr)에 다음과 같은 설정을 추가한다.
ServerAdmin webmaster@abc.co.kr
DocumentRoot /home/abc/public_html
ServerName www.abc.co.kr
php_admin_flag allow_url_fopen On <= 추가
Ⅲ. 최신 보안 패치 항상 유지
o 과정 Ⅱ를 통해 외부 사이트의 소스 실행이 허용된 홈페이지가
존재하는 경우 반드시 보안 패치를 적용시킨다.
o 주요 웹 애플리케이션의 보안 패치는 아래 사이트에서
다운로드 가능하다. (패치버전은 2005. 3월 현재)
- 제로보드 : 4.1 pl7로 업그레이드
http://www.nzeo.com/bbs/zboard.php?id=cgi_download2&page=1&
sn1=&divpage=1&sn=off&ss=on&sc=off&select_arrange=headnum&desc=asc&no=45
- 그누보드 : 3.41로 업그레이드
http://sir.co.kr/?doc=bbs/gnuboard.php&bo_table=pds&page=1&wr_id=1910
- KorWeblog
http://kldp.net/tracker/index.php?func=detail&aid=300654&group_id=13&atid=300013
※ 외부사이트 소스실행 취약점 이외의 다양한 취약점이 있을
수 있으므로 항상 최신 보안 패치 유지 필요
IV. Outbound 트래픽 제한설정
o 과정 Ⅲ을 설정한 후, 좀 더 강력한 보안설정을 위해 리눅스에
서 기본 제공되는 프로그램인 ipchains나 iptables를 사용하여
홈페이지 서버에서 외부 시스템으로의 Outbound 트래픽을
제한한다.
- 먼저 전체 서비스에 대해 차단 설정을 한 후, 많이 사용되는
서비스(포트)와 고객이 필요로 하는 서비스에 대해 접속제한을
해 |
|
|