프로브 기반 검색 중 권한 있는 사용자가 필요한 SSH 명령
다음 테이블에는 가로 검색 중 프로브에 의해 디스커버리 실행되는 SSH 명령이 나와 있습니다. 이러한 SSH 명령을 실행하려면 높은 권한이 필요합니다.
높은 권한이 필요한 운영 체제 명령
disco ALL = (root) NOPASSWD:/usr/sbin/dmidecode,/usr/sbin/lsof,/sbin/ifconfig를 입력할 수 있습니다.상승된 권한이 필요하지 않은 명령에 대한 자세한 내용은 을 참조하십시오 프로브 기반 검색 중에 권한 있는 사용자가 필요 없는 SSH 명령.
하향식 검색 중에 사용하는 서비스 매핑에서 사용하는 명령에 대한 자세한 내용은 서비스 매핑 권한 있는 사용자가 필요한 명령 및 서비스 매핑 권한이 있는 사용자가 필요하지 않은 명령 문서를 참조하십시오.
SSH 키가 확인되지 않음
MID 서버 시스템에 MID 서버 연결할 때 는 해당 시스템에 대해 호스트 키 유효성 검사를 수행하지 않으므로 신뢰할 수 없는 것으로 처리합니다. 공격자가 메시지 가로채기(man-in-the-middle) 공격을 수행하고 트래픽을 악성 SSH 서비스로 리디렉션하는 경우 공격자는 연결을 통해 전송되는 모든 데이터를 가로채거나 수정할 수 있습니다.
따라서 SSH 서버와 대상 SSH 서버 간에 MID 서버 교환되는 중요한 정보를 제한합니다. SSH 인증에는 키 또는 인증서만 사용하고 시스템 자격 증명은 보내지 않습니다. 필요한 권한 있는 명령에 대해 sudoers 파일에서 NOPASSWD 를 구성합니다.
| 명령 | 목적 |
|---|---|
| 광고 | CPU 속도와 메모리를 수집합니다. /etc/sudoers 라인 예: |
| 명령 | 목적 |
|---|---|
| DMIDECODE | 마더보드에 내장된 일련 번호를 포함하여 하드웨어에 대한 여러 가지 정보를 수집합니다. /etc/sudoers 라인 예: |
| fdisk | 시스템에서 디스크와 크기 정보를 수집합니다. /etc/sudoers 라인 예: |
| 다중 경로 | 다중 경로 입력 출력(MPIO)에 대한 장치 매핑을 수집합니다. /etc/sudoers 라인 예: |
| 명령 | 목적 |
|---|---|
| DMSETUP | 낮은 레벨의 볼륨을 검사합니다. /etc/sudoers 라인 예
|
| 명령 | 목적 |
|---|---|
| lsof | 프로세스와 시스템 간의 연결 관계를 결정합니다. /etc/sudoers 라인 예: |
| oratab | 홈 및 pfile을 Oracle 찾기 위해 oratab 파일에 대한 읽기 권한을 부여합니다. |
| 넷스타트 | 프로세스와 시스템 간의 연결 관계를 결정합니다. /etc/sudoers 라인 예: |
| ss | 프로세스와 시스템 간의 연결 관계를 결정합니다. /etc/sudoers 라인 예: |
| 명령 | 목적 |
|---|---|
| ISCSIADM | IQN(iSCSI 정규화된 이름)을 가져옵니다. /etc/sudoers 라인 예: |
| FCINFO의 | 포트에 대한 WWPN(World Wide Port Name)을 가져옵니다. /etc/sudoers 라인 예: |
| prtvtoc | 디스크 파티션에 대한 정보를 보고합니다. /etc/sudoers 라인 예: |
| /usr/bin/ps | 실행 중인 프로세스를 나열합니다. 루트 액세스로 실행하는 대신 proc_owner role.sola를 추가합니다. /etc/sudoers 라인 예: |
| /usr/ucb/ps | 실행 중인 프로세스를 나열합니다. 루트 액세스를 실행하는 대신 proc_owner 역할을 추가합니다.
/etc/sudoers 라인 예: |
| pgrep | 소켓 정보가 포함된 프로세스 ID(PID) 목록을 가져옵니다. /etc/sudoers 라인 예: |
| p파일 | 각 PID에 대해 S_IFSOCK에 대한 출력을 가져오고 처리합니다. /etc/sudoers 라인 예: |