프로브 기반 검색 중 권한 있는 사용자가 필요한 SSH 명령

  • 릴리스 버전: Zurich
  • 업데이트 날짜 2025년 07월 31일
  • 소요 시간: 4분

    • 다음 테이블에는 가로 검색 중 프로브에 의해 디스커버리 실행되는 SSH 명령이 나와 있습니다. 이러한 SSH 명령을 실행하려면 높은 권한이 필요합니다.

    높은 권한이 필요한 운영 체제 명령

    이 예시에서는 사용자 이름을 Disco로 가정합니다. 실제 사용자 이름을 대체하여 명령의 경로가 시스템의 경로와 일치하는지 확인합니다.
    주:
    Sudo 명령은 sudo 명령에 제공할 암호가 없기 때문에 개인 키 자격 증명으로 작동하지 않습니다. 해결 방법은 sudo 구성에 NOPASSWD 옵션을 추가하는 것입니다. 예를 들어 다음과 같이 입력 합니다. disco ALL = (root) NOPASSWD:/usr/sbin/dmidecode,/usr/sbin/lsof,/sbin/ifconfig.

    상승된 권한이 필요하지 않은 명령에 대한 자세한 내용은 다음을 참조하십시오 프로브 기반 검색 중에 권한 있는 사용자가 필요 없는 SSH 명령.

    하향식 검색 중에 사용하는 서비스 매핑에서 사용하는 명령에 대한 자세한 내용은 권한이 있는 사용자를 필요로 하는 서비스 매핑 명령권한이 있는 사용자를 필요로 하지 않는 서비스 매핑 명령 문서를 참조하십시오.

    SSH 키가 확인되지 않음

    MID 서버 시스템에 MID 서버 연결할 때 는 해당 시스템에 대해 호스트 키 유효성 검사를 수행하지 않으므로 신뢰할 수 없는 것으로 처리합니다. 공격자가 메시지 가로채기(man-in-the-middle) 공격을 수행하고 트래픽을 악성 SSH 서비스로 리디렉션하는 경우 공격자는 연결을 통해 전송되는 모든 데이터를 가로채거나 수정할 수 있습니다.

    따라서 SSH 서버와 대상 SSH 서버 간에 MID 서버 교환되는 중요한 정보를 제한합니다. SSH 인증에는 키 또는 인증서만 사용하고 시스템 자격 증명은 보내지 않습니다. 필요한 권한 있는 명령에 대해 sudoers 파일에서 NOPASSWD 를 구성합니다.

    표 1. HP-UX
    명령 목적
    adb CPU 속도와 메모리를 수집합니다.

    /etc/sudoers 라인 예: Disco ALL = (root)/usr/bin/adb
    표 2. 모든 Linux
    명령 목적
    dmidecode 마더보드에 내장된 일련 번호를 포함하여 하드웨어에 대한 여러 가지 정보를 수집합니다.

    /etc/sudoers 라인 예: Disco ALL = (root)/sbin/dmidecode
    fdisk 시스템에서 디스크와 크기 정보를 수집합니다.

    /etc/sudoers 라인 예: Disco ALL = (root)/usr/bin/fdisk-l
    다중 경로 MPIO(MultiPath Input Output)에 대한 장치 매핑을 수집합니다.

    /etc/sudoers 라인 예: Disco ALL = (root)/usr/bin/multipath-ll
    표 3. LinuxSolaris
    명령 목적
    dmsetup 낮은 레벨의 볼륨을 검사합니다.

    /etc/sudoers 라인 예

    • Disco ALL = (root)/usr/bin/dmsetup 테이블 *
    • Disco ALL = (root)/usr/bin/dmsetup ls
    표 4. 모든 UNIX 버전
    명령 목적
    lsof 프로세스와 시스템 간의 연결 관계를 결정합니다.

    /etc/sudoers 라인 예: Disco ALL = (root)/sbin/lsof
    oratab 홈 및 pfile을 Oracle 찾기 위해 oratab 파일에 대한 읽기 권한을 부여합니다.
    netstat 프로세스와 시스템 간의 연결 관계를 결정합니다.

    /etc/sudoers 라인 예: Disco ALL = (root)/bin/netstat
    ss 프로세스와 시스템 간의 연결 관계를 결정합니다.

    /etc/sudoers 라인 예: Disco ALL = (root)/sbin/ss
    표 5. Solaris
    명령 목적
    iscsiadm IQN(iSCSI 정규화된 이름)을 가져옵니다.

    /etc/sudoers 라인 예: ${sudo:iscsiadm 목록 대상-S}
    fcinfo 포트에 대한 WWPN(World Wide Port Name)을 가져옵니다.

    /etc/sudoers 라인 예: ${sudo:fcinfo remote-port -sl -p $port}
    prtvtoc 디스크 파티션에 대한 정보를 보고합니다.

    /etc/sudoers 라인 예: Disco ALL = (root)/usr/bin/prtvtoc
    /usr/bin/ps 실행 중인 프로세스를 나열합니다. 루트 액세스로 실행하는 대신 proc_owner role.sola를 추가합니다.

    /etc/sudoers 라인 예: Disco ALL = (root)/usr/bin/ps
    /usr/ucb/ps 실행 중인 프로세스를 나열합니다. 루트 액세스를 실행하는 대신 proc_owner 역할을 추가합니다.

    /usr/ucb/ps 명령의 사용은 11부터 Solaris 더 이상 사용되지 않습니다. 모든 Solaris 버전에 대해 이 명령을 사용해야 하므로 디스커버리 11개의 시스템에 ucb 유틸리티를 수동으로 Solaris 설치해야 합니다. 자세한 내용은 KB0564262를 참조하십시오.

    /etc/sudoers 라인 예: Disco ALL = (root)/usr/ucb/ps
    pgrep 소켓 정보가 포함된 프로세스 ID(PID) 목록을 가져옵니다.

    /etc/sudoers 라인 예: Disco ALL = (root)/usr/bin/pgrep
    pfiles 각 PID에 대해 S_IFSOCK에 대한 출력을 가져오고 처리합니다.

    /etc/sudoers 라인 예: Disco ALL = (root)/usr/bin/pfiles