System Security Checker 사용 가이드

가입 절차

System Security Checker를 사용하려면 네이버 클라우드 플랫폼[Financial]에서 제공하는 콘솔 및 리소스 등을 이용하기 위해 네이버 클라우드 플랫폼의 계정이 필요합니다.

네이버 클라우드 플랫폼[Financial]에 가입하면 모든 서비스를 이용하실 수 있으며, 사용한 서비스에 대해서만 요금이 청구됩니다.
이미 계정이 있는 경우에는 해당 단계를 건너뛸 수 있습니다.

• 포털로 이동합니다.
• 오른쪽 상단에 [회원가입] 버튼을 클릭하여 회원가입 페이지로 이동합니다.
• 서비스 이용 약관 및 개인정보수집이용에 대한 안내 문구를 확인하고 동의합니다.
• 법인 및 담당자 정보를 입력합니다.
• 결제수단은 직접입금과 자동이체를 선택하실 수 있습니다.
• 가입한 ID/PW를 통해 로그인하고, 결제수단 선택 및 등록을 완료합니다.
• 담당자의 가입정보 및 금융회원여부 검증 후, 승인이 완료되면 SSL VPN 계정이 발급되어 메일로 전송됩니다.
• SSL VPN Client 접속 툴을 설치하고 실행하여, 발급된 SSL VPN 계정으로 로그인합니다.
• Financial 콘솔은 Financial 포털에 로그인하여 [Console] 버튼을 클릭하거나, 도메인(www.fin-ncloud.com)을 직접 입력하여 접속 후 사용가능합니다.

[포털](https://www.fin-ncloud.com)에서 가입한 계정으로 [콘솔](https://console.fin-ncloud.com/)에서도 동일하게 사용이 가능합니다.

네이버 클라우드 플랫폼[Financial] 서비스를 사용하기 위해서는 반드시 SSL VPN 접속을 통해 이용가능합니다.

System Security Checker 사용하기

System Security Checker를 통해 OS와 WAS의 취약점 점검을 하는 방법을 아래와 같이 안내하고 있습니다.

• 리눅스 사용자 경우
• 윈도우 사용자 경우

콘솔 접속 및 이용 신청하기

콘솔 접속하기

1. 콘솔에 접속하여 Services > Security > System Security Checker 메뉴로 이동합니다.

이용 신청하기

2. 좌측 메뉴 System Security Checker > OS Security Checker 서비스 신청 페이지에서 [상품 이용 신청] 버튼을 클릭합니다.

3. 서비스 이용약관을 읽고 동의하기에 체크한 후, [확인] 버튼을 클릭합니다.

리눅스 환경에서 점검 방법

점검할 Linux 서버 접속하기

아래 가이드를 참고하여 점검할 리눅스 서버에 접속합니다. (리눅스 64bits 운영체제만 지원합니다.)

• Server 접속

Linux 에이전트 실행하기

sscAgent 설명

• System Security Checker는 고객의 서버에서 구동할 수 있는 Agent를 제공합니다. 고객이 점검하려는 서버에서 Agent를 다운로드하여 직접 검사를 수행합니다. 고객이 생성한 서버의 보안 설정을 점검합니다. 또한, 기본 설정을 보안 관점에서 적절한 값으로 설정할 수 있도록 안내합니다.
• 점검 시간은 일반적인 경우 최대 10초를 넘지 않습니다. 만약, 점검이 정상적으로 종료되지 않을 경우에는 60초 이후에는 강제 종료되도록 설계되었습니다.

에이전트 설치하기

접속된 터미널 프로그램 창에서 에이전트를 다운로드합니다.

• 다음과 같은 명령어를 실행합니다.

  wget http://ossc.ncloud.com:10080/download/sscAgent
  

  

에이전트 실행하기

1. root 권한으로 점검을 진행해야 합니다.

sudo su

에이전트 권한 변경하기

2. 에이전트의 실행권한을 변경하기 위해 다음과 같은 명령어를 실행합니다.

chmod 755 ./sscAgent

에이전트 실행하기

3. 에이전트를 실행하기 위해 다음과 같은 명령어를 실행합니다.
키보드의 방향 키(↓ ↑ → ←)를 눌러서 항목을 선택할 수 있습니다.

• Step 1) 점검하려는 대상 선택
  • OS - Linux (CSAP)
  • OS - Linux (KISA)
  • OS - Linux (Finance)
  • WAS - Apache httpd (CSAP)
  • WAS - Apache Tomcat (CSAP)
  • WAS - Nginx (CSAP)
• Step 2) WAS 점검 시, 실행 중인 프로세스 선택
• Step 3) WAS 점검 시, 설정 파일의 경로 입력
• Step 4) 예외 처리를 위한 설정 파일 경로 입력
  

• 점검이 정상적으로 수행되면 아래와 같은 결과가 나옵니다.

[Complete] System Securicy Checker 점검이 완료되었습니다.
      NCP Console 에서 점검 결과를 확인하실 수 있습니다.

윈도우 환경에서 점검 방법

점검할 Windows 서버 접속하기

아래 단계를 따라 점검할 윈도우 서버에 접속합니다. (윈도우 64 bit OS만 지원합니다.)

• 서버 생성하기
• 서버 접속 환경 설정하기
• 서버 접속하기

자세한 내용은 윈도우 서버 접속 가이드를 참고합니다.

Windows 에이전트 실행하기

에이전트 설치하기

1. 원격 데스크톱으로 접속한 윈도우 서버에서 아래 URL에 접속하여 다운로드합니다.

http://ossc.ncloud.com/download/fin/ncp_secuagent.zip

2. 에이전트 압축을 해제합니다.

에이전트 실행하기

1. ncp_secuagent 파일이 있는 디렉토리에서 'shift + 마우스 우클릭'을 합니다.

2. 팝업 메뉴에서 '여기서 명령 창 열기(W)' 클릭합니다.

3. 에이전트를 실행하기 위해 다음과 같은 명령어를 실행합니다.

ncp_secuagent.exe

4. Success로 결과가 나오면 점검이 정상적으로 종료됩니다.

[project : windows] => Success

사용가능한 옵션

1. h [ --help ] 도움말 출력

2. -v [ --version ] 에이전트의 버전 출력

3. -d [ --debug ] 디버그를 위한 메시지 출력

4. -t [ --timeout ] arg (default : 60 sec), 1초 단위로 설정 가능하며 timeout 시간 내에 점검이 종료되지 않을 경우 강제종료

결과 확인하기

1. 콘솔의 Security > Security Checker > System Security Checker > OS Security Checker 메뉴에서 점검된 결과 확인할 수 있습니다.

2. 리포트에서 점검 결과가 'Bad'인 항목만 보고 싶은 경우

• '상세 결과 및 조치'에서 붉은색 박스로 표시한 부분의 '점검결과'를 'Bad'로 선택하고 [검색] 버튼을 클릭합니다.

3. 화면 하단의 [Report] 버튼을 클릭하면, 'Bad' 항목만 리포트에 출력됩니다.

4. 위험도가 'Critical'인 항목만 보고 싶은 경우

• '상세 결과 및 조치'에서 '위험도'를 'Critical'로 선택하고 [검색] 버튼 클릭합니다.

5. 화면 하단의 [Report] 버튼을 클릭하면, 위험도가 'Critical'인 항목만 리포트에 출력됩니다.

상세 리포트 확인하기

1. OS Security Checker 메뉴에서 해당 서버의 [리포트] 버튼을 클릭하면 상세 리포트를 확인할 수 있습니다.

2. 상세 리포트는 전체 점검항목을 확인할 수 있으며, 특정 조건만을 선택하여 해당 항목만 확인할 수 있습니다.

이용 해지하기

1. [상품 이용 중] 버튼을 클릭한 후 [상품 이용 해지] 버튼을 클릭합니다.

2. 노출되는 메시지 창에서 [확인] 버튼을 클릭하면 서비스가 해지됩니다.

System Security Checker의 이용을 해지하실 경우, 이용 신청을 한 이후의 점검 결과만 보이도록 설계되었습니다. 이전의 점검 결과를 계속해서 확인하고 싶은 경우에는 이용 해지를 신중하게 결정하시기 바랍니다.

Troubleshooting

1. ERROR(update doesn't running)

• 증상 : 서버를 점검할 때, 아래와 같은 에러 메시지가 발생합니다.

root@hostname ~]# ./ncp_secuagent
[Project : linux] => Fail => [stdout]: ERROR(update doesn't running) : cmd(yum install perl-libwww-perl) not work.

• 원인

  • System Security Checker는 서버의 보안을 점검하기 위해서 perl 관련 패키지를 반드시 설치해야 합니다.
  • yum 명령어로 패키지 설치에 실패하였을 경우, 위와 같은 에러가 발생합니다.
  • 점검이 정상적으로 이루어지지 못하며, 해당 건에 대해서는 과금되지 않습니다.

• 해결방법

  • rpmdb 에러인 경우 (Error: rpmdb open failed)

  # yum list | grep perl-libwww-perl
  error: rpmdb: BDB0113 Thread/process 14277/139717220628288 failed: BDB1507 Thread died in Berkeley DB library
  error: db5 error(-30973) from dbenv->failchk: BDB0087 DB_RUNRECOVERY: Fatal error, run database recovery
  error: cannot open Packages index using db5 -  (-30973)
  error: cannot open Packages database in /var/lib/rpm
  CRITICAL:yum.main:
  
  Error: rpmdb open failed
  

  • yum list 명령어로 확인하면, 'rpmdb open failed' 이라고 확인되는 경우에는 rpmdb를 초기화 하면 해결됩니다.
  • rpmdb 초기화 방법

  # rm -f /var/lib/rpm/__db*
  
  # rpm -vv --rebuilddb
  

2. 서버의 'CentOS-Base.repo' 파일이 변경되었을 경우

• 증상 : System Security Checker 실행 이후에 '/etc/yum.repos.d/CentOS-Base.repo' 파일이 변경됨
• 원인
  • System Security Checker는 서버의 보안을 점검하기 위해서 perl 관련 패키지를 반드시 설치해야 합니다.
  • SecureZone 이나 외부와 차단된 망에서는 인터넷 접속이 차단되어, 기본적으로 설정된 repo에서 패키지를 다운로드 할 수 없습니다.
  • 설정 점검 중에는 ncloud 내부에 별도로 구축한 repo에서 패키지를 다운로드 하기 위해서 CentOS-Base.repo 파일을 임시로 수정합니다.
  • 임시로 수정한 파일은 점검이 종료된 이후에 원래의 파일로 원복되지만, 비정상 종료 등의 사유로 원복되지 못하여 변경된 상태로 남아 있을 수 있습니다.
• 해결방법
  • backup 파일을 이용하여 아래와 같이 원복 가능합니다.

  mv -f /etc/yum.repos.d/CentOS-Base.repo_backup /etc/yum.repos.d/CentOS-Base.repo