Security and NetBSD
NetBSD 프로젝트는 시스템의 나머지 부분에 적용하는 것과 마찬가지로 보안에 대해서도 임시 방편이 아닌 진정한 해결책을 적용합니다. NetBSD의 보안 문제는 NetBSD 보안 담당자와 NetBSD 보안 경보팀이 취급하고 있습니다. 이들 팀에서는 새로 보고된 보안 문제를 분석하고 문서화하며 코드를 개정함은 물론, 잠재적인 보안 문제를 탐지하고 제거하기 위해 보안팀은 정기적으로 코드 감사를 실시하고 있습니다.
NetBSD 1.5부터 NetBSD는 Kerberos IV(KTH-KRB), Kerberos 5(Heimdal), ssh를 통합하고 있습니다. 그외에도 모든 서비스는 가장 보안성이 높은 상태로 기본 설정되어 있으며, 보안에 문제가 있을 수 있는 서비스는 새로 설치할 때 동작하지 않도록 기본 설정되어 있습니다. NetBSD는 또한 IPv4와 IPv6 모두에 대해 IPSEC의 완전한 지원을 포함하고 있습니다.
중대한 보안 문제가 NetBSD에서 발견되어 수정될 때마다 문제를 설명하고 해결 방법을 포함하고 있는 보안 권고를 발표합니다. 보안 권고는 netbsd-announce 메일링 리스트와 여러 다른 메일링 리스트 및 웹사이트에 공지합니다. 또한 이 사이트에도 저장하고 있습니다.
외부 소프트웨어 패키지(pkgsrc)에 대해서는 더 이상 보안 권고를 제공하지
않는다는 점을 유념하십시오. 대신 설치되어 있는 바이너리 패키지를
자동적으로 감사할 수 있는 기능을 security/audit-packages에서
제공하고 있습니다.
컴퓨터로 처리 가능한 취약한 패키지 데이터베이스를 제공합니다.
- NetBSD-SA2004-009 ftpd root escalation
- NetBSD-SA2004-008 CVS server vulnerability
- NetBSD-SA2004-007 Systrace systrace_exit() local root
- NetBSD-SA2004-006 TCP protocol and implementation vulnerability
- NetBSD-SA2004-005 Denial of service vulnerabilities in OpenSSL
- NetBSD-SA2004-004 shmat reference counting bug
- NetBSD-SA2004-003 OpenSSL 0.9.6 ASN.1 parser vulnerability
- NetBSD-SA2004-002 Inconsistent IPv6 path MTU discovery handling
- NetBSD-SA2004-001 Insufficient packet validation in racoon IKE daemon
전체 목록은 권고 모음을 참조하십시오.
NetBSD 프로젝트에는 보안 관련 연락처가 두 군데 있습니다.
- tech-security 메일링 리스트는 보안과 관련된 문제를 공개적으로 토의하기 위한 곳입니다.
-
<security-alert@NetBSD.org>로 메일을 보내어 보안 문제에 관해 NetBSD 프로젝트와 직접 접촉할 수 있습니다.
NetBSD의 보안 문제를 보고하려면, NetBSD
<security-alert@NetBSD.org>팀으로 연락하거나, send-pr 양식 또는 NetBSD 시스템에
있는 send-pr(1) 프로그램을 이용하여 표준 NetBSD
시스템 문제 보고서를 보내주시기 바랍니다.
민감한 정보는 NetBSD 보안 담당자의 PGP 키를 이용하여 암호화하여 주시기 바랍니다. PGP에 관한 정보는 Network Associates의 PGP 사이트에서 얻을 수 있습니다.
지금까지 발표된 모든 NetBSD 보안 패치는 NetBSD 프로젝트의 FTP 서버에 있는 security/patches/ 디렉터리에서 구할 수 있습니다.
NetBSD 릴리스와 관련된 갱신 사항은 아래에서 볼 수 있습니다.
NetBSD-current에 대해서는 특별히 패치나 보안 권고를 제공하지 않으며, 대신 수정 내용을 포함한 버전으로 갱신할 것을 권장합니다. 수정 내용의 날짜를 보려면 위의 권고를 참조하십시오.
NetBSD 패키지 컬렉션을 이용하면 다수의 외부 응용 프로그램을 소스 혹은 바이너리로 손쉽게 설치할 수 있다. 외부 소프트웨어에는 종종 버그가 있을 수 있고, 어떤 버그는 기계를 외부 공격에 취약한 상태로 만들 수 있다는 점을 유의해야한다. 이런 문제때문에 NetBSD에서는 설치된 패키지의 알려진 취약점을 손쉽게 감사할 수 있는 방법을 제공한다.
NetBSD 보안 담당자와 패키지 그룹에서는 pkgsrc에 포함된(혹은 포함되었던) 패키지의 보안 취약점 목록을 관리하고 있다. 이 목록은 NetBSD FTP 사이트의 다음 위치에서 받을 수 있다.
audit-packages를 이용하면 이 목록을 자동으로 받아오고, 시스템에 설치된 모든 패키지에 대하여 보안 감사를 실시할 수 있다.
audit-packages는 두 가지 명령을 제공한다. 첫째는 download-vulnerability-list로, NetBSD FTP 사이트에서 취약점 목록을 받아 온다. 둘째는 audit-packages로, 설치된 패키지중에 하나라도 취약한 것이 있는지를 조사한다. 만약 패키지가 취약한 경우에는 다음과 같은 결과를 출력한다.
Package samba-2.0.9 has a local-root-shell vulnerability, see http://www.samba.org/samba/whatsnew/macroexploit.html
audit-packages가 vulnerabilities 파일을 매일 받아오도록 하고, 패키지 감사를 일일 보안 점검 스크립트에 추가할 수 있다. 구체적인 방법은 audit-packages의 MESSAGE 파일에 나와 있다.
NetBSD 패키지 시스템에서 RSA 보안 관련 프로그램을 설치하여 쓰고 있다면 적어도 rsaref 버전 2.0p3이나 그 이후의 버전을 설치했는지 확인해야 합니다. 1999년 12월에 RSAREF 라이브러리에서 여러 버퍼 넘침이 발견되었습니다. 2.0p3이나 이후의 버전이 설치되어 있지 않다면, 'pkg_info -R rsaref'로 문제가 있을지 모르는 패키지를 알아볼 수 있다.
여러 가지 보안 권고 및 기타 보안 참고 자료들은 아래 사이트에서 온라인으로 볼 수 있습니다.
NetBSD를 방화벽으로 사용하는 데 관심있는 분들을 위해 Darren Reed씨의 IPFilter 페이지에서 IPFilter의 자세한 설명과 추가 문서로의 링크를 제공하고 있습니다.
![[NetBSD flag]](/images/NetBSD-flag.png)
Copyright © 1994-2007 The NetBSD Foundation, Inc. ALL RIGHTS RESERVED.
NetBSD® is a registered trademark of The NetBSD Foundation, Inc.