1. 홈브루 설치2. 명령어 때리기, brew install john3. 참고하기hompage : https://formulae.brew.sh/formula/john, https://www.openwall.com/john/
john {대상} --format=crypt > yscript 인경우 $y
중략..
해시캣(hashcat)은 패스워드 크랙 도구다.소개 : https://hashcat.net/hashcat/점검을 할때 주로 쓰는 도구는 해시캣이랑 존더리퍼이다.이친구도 주로 쓴다 : https://crackstation.net/
맥북기준 homebrew를 설치해준다.
설치 : https://brew.sh/index_ko
그리고 링크 참조해서 설치한다.(https://formulae.brew.sh/formula/hashcat)
명령어는 아래와 같다.
brew install hashcat
hashcat 주요 명령어
hashcat -a {어택모드} -m {해쉬타입} {대상} -o result.txtex> sha256타입일 경우, 크랙스테이션에 한번 때려보거나, 길이 체크하고"https://hashcat.net/wiki/doku.php?id=example_hashes"에서 유형 본다음에 아래의 명령어를 준다.hashcat -a 3 -m 1400 "961B6DD3EDE3CB8ECBAACBD68DE040CD78EB2ED5889130CCEB4C49268EA4D506" -o aaa.txt[요약 : 브루트포스 모드, sha256, 암호크랙후 aaa.txt로 추출]
custom
Note: if you do not specify any mask while performing a mask attack (-a 3), then the following default mask is used: ?1?2?2?2?2?2?2?3?3?3?3?d?d?d?d기본 설정값이 ?1?2?2?2?2?2?2?3?3?3?3?d?d?d?d 란다 아래 참고해서 하자
- [ Built-in Charsets ] - ? | Charset ===+========= l | abcdefghijklmnopqrstuvwxyz [a-z] u | ABCDEFGHIJKLMNOPQRSTUVWXYZ [A-Z] d | 0123456789 [0-9] h | 0123456789abcdef [0-9a-f] H | 0123456789ABCDEF [0-9A-F] s | !"#$%&'()*+,-./:;<=>?@[\]^_`{|}~ a | ?l?u?d?s b | 0x00 - 0xff
hashcat 명령어 및 설명 사이트
https://hashcat.net/wiki/doku.php?id=hashcat > 명령어 종류 다 알려줌https://hashcat.net/wiki/doku.php?id=example_hashes > 해시 종류 다보여줌
끝
서버 점검을 하다 보면, 또는 운영 설정을 하다보면 또는 개발 설정을 하다보면환경변수 등록이나 설정 확인 등 할일이 생긴다.차이를 알아보ZA[요약](A) Login Shell : ID/PW 입력해서 로그인 SSH, GUI 일반 로그인이 해당(B) Non-Login SHell : 로그인 없이 실행, 즉 로그인 후 Shell을 띄우는거ex) 윈도우 로그인 후, cmd 실행, 리눅스 로그인 후 터미널 실행, sudo/su 포함1. .profile, A 상황에서 로드됨, bash/zsh/sh 상관없이 공통 적용이므로PATH 등 로그인할때 바로 적용시키고 싶은 설정 입력2. .bash_profile : A 상황에서 로드됨, bash 사용시 필요한 설정3. . bashrc : B 상황에서 로드됨, bash 사용할때마다 로드
ptime을 확인해서 패스워드 변경일자를 체크해보자
[쿼리]
SELECT name, ptime FROM sys.user$
[결과]
name:SYS, ptime:12-JUL-20name:SYSTEM, ptime:10-MAR-21
[해석]
SYS 계정은 20년 july 12에 최종 패스 변경했고
SYSTEM 계정은 21년 MAR 10에 최종 패스워드 변경함
-끝-
점검을 하다보면 Sendmail 최신 버전을 체크해야될 때가 있다.
http://www.sendmail.org/ 사이트를 가면 최신 버전을 알 수 있다.
이렇게~
추가적으로 버전별 Release Date를 남겨본다.
=Release Notes= Sendmail. 8.17.1. 2021-08-17 Sendmail. 8.16.1 2020-07-05 Sendmail-8.15.2 2015-07-03 Sendmail-8.15.1 2014-12-06 Sendmail-8.14.9 2014-05-21 Sendmail-8.14.8 2014-01-26 Sendmail-8.14.7 2013-04-21 Sendmail-8.14.6 2012-12-23 Sendmail-8.14.5 2011-05-17 Sendmail-8.14.4 2009-12-30 Sendmail-8.14.3 2008-05-03 Sendmail-8.14.2 2007-11-01 Sendmail-8.14.1 2007-04-03 Sendmail-8.14.0 2007-01-31 Sendmail-8.13.0 2004-06-20 Sendmail-8.12.0 2001-09-08 Sendmail-8.11.0 2000-07-19 Sendmail-8.10.0 2000-03-01 Sendmail-8.9.0 1998-05-19 Sendmail-8.8.0 1996-09-26 Sendmail-8.7 1995-09-16 Sendmail-8.6 1993-10-05
인프라 점검을 하면
배너메시지 설정값을 봐야할 때가 있다.
근데 어떤건 설정되있고, 어떤건 안되있고, 어떤건 중요 정보가 있다.???!
무튼 위 파일의 용도를 적어본다.
/etc/issue
: 로컬 로그인 시, 로그인 전 출력되는 메시지 설정
/etc/issue.net
: 원격 로그인 시, 로그인 전 출력되는 메시지 설정
/etc/motd
: 로그인 이후, 출력되는 메시지 설정
그렇다.
사견임
test
imsi
hack
hacked
aa
지속적 추가 예정
출처 : KISA
점검하다보면 HP-UX 서버에서 관련 항목을 많이봄.(사이트 바이 사이트)
점검 시 헷갈리는 점은
무엇이 접근통제 미흡이냐.. 임
대부분 위 기준대로 하면됨
(CASE1) /etc/dfs/dfstab을 봄
*dfstab 파일 설정방법은 아래와 같음
================================================
share -F nfs -o rw, ro /공유폴더 share -F nfs -o rw=유저1:유저2, ro=유저3:유저4 /공유폴더 즉 읽기(read only), 쓰기(read/write) 권한에 각각 사용자를 설정해야 모두 제한 가능
=================================================
그러므로 rw, ro 설정을 통해 공유폴더의 접근통제가 잘 설정되어 있는지 체크하면된다.
p.s. 검증한적은 없다.
"#share -F nfs -o rw, ro /공유폴더" 과 같이 dfstab 내에
공유 설정 내용이 주석처리되어 있거나, 없는 경우
everyone으로 공유되는 것이 아닌, 공유가 안되는 것으로 본다.
(구글 조사 결과임.. 추후 확인예정)
-끝이다-
참고사이트
https://ziscuffine.tistory.com/158
*포인트1 : FTP 서비스 사용 여부 체크
(ps -ef / netstat)
*포인트2 : Anonymous(익명) 접속 허용 여부 체크
(e.g. /etc/ftpd/ftpaccess(HP-UX), 등)
*양호/취약 판별
[예시1] class all real,guest,anonymous * -> 취약
[설명]
전체를 대상으로 (class 이름 all) 하기 방식 허용 =================== 접속 계정이 있음(real) Guest로 접속(guest) 익명으로 접속(anonymous) =================== 모든 호스트로 부터 접속을 허용(*)
그렇다면 어떻게 익명 접속 제한 하는가?
[예시2] class all real,guest * -> anonymous 제거
끝(아래는 참고자료)
서버진단을 하다 안하다하면
내용이 가물가물할 때가 있다.
(생략)
리눅스/유닉스에서 동일한 UID를 사용하는 계정이 있을 경우 취약으로 잡는 항목이다.
WHY?
UID가 동일한 계정이 여러개 있으면, 다른 계정이더라도 시스템이 동일한 사용자로 인식한다.
고로 타 계정 소유의 파일/디렉터리로 접근/사용이 가능하고, 추후 로그/시스템 분석 시
확인이 어려워 질 수 있다.
점검방법?
/etc/passwd 파일 확인한다.
동일한 UID가 있는지 체크한다.
실제로 점검하다보면 종종 있는 케이스인데.
왜 발생하는지는 까먹었다.
(.. 예전에 알았을 때 적어놓을거를..)
기억이 나면 적어놔야겠다.