메뉴 건너뛰기

조회 수 7630 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
○시스템 보안의 목표
정보의 비밀성, 무결성, 가용성, 기록성 및 부인 봉쇄

1.기본적인 컴파일러 속성을 root만 사용할 수 있도록 퍼미션 변경하기
=gcc, g++ 컴파일러를 roo만 사용할 수 있도록 chmod 100 으로 퍼미션을 변경하고, chattr +i로 속성도 변경한다.
[root@localhost /]#chmod 100 /usr/bin/gcc /usr/bin/g++
[root@localhost /]#chattr +i /usr/bin/gcc /usr/bin/g++
*그리고 난 후 ls, lsattr 명령어로 gcc, g++의 퍼미션, 속성을 확인해보면 변경 여부를 알 수 있다.


2.주요 환경 설정파일 압축 보관하기
→리눅스에서 가장 중요한 환경설정파일은 /etc 디렉토리에 있다. 이 디렉토리를 주기적으로 tar 압축해서 백업한다.
[root@localhost /]# tar -cvzf /etc,tgz /etc

→네임서버나 qmail 서버를 운영하고 있다면 이와 관련된 디렉토리를 주기적으로 백업한다.
[root@localhost /]# tar -cvzf /var/named
[root@localhost /]# tar -cvzf /var/qmail


3.홈디렉토리 파티션과, 백업 파티션을 분리하여 사용한다.

4.런레벨별 시작스크립트 활성화 상황을 분석하고 재정의 한다.
[root@localhost /]# chkconfig --list 로 서비스 목록을 확인한 후 불필요한 서비스는 제거한다.

시작스크립트에서 제거하는 방법은
[root@localhost /]# chkconfig --del 서비스명
이다.


5.ssh 원격 접속 서비스 보안
root 유저로 바로 원격접속 하지 못하도록 설정을 한다.(위험하니까) root 계정을 원격으로 사용하려면 우선 일반 계정으로 원격 접속한 뒤 su명령어를 사용하여 root 계정으로 들어가도록 하는 것이 더 안전하다.
방법 =
[root@localhost /]#vi /etc/ssh/sshd.conf (sshd.conf 파일을 vi 편집기로 열어서)
PermitRootLogin no (39번 라인을 PermitRootLogin no 라고 편집하고, 저장 후 vi에서 나온 후)
sshd 데몬을 재시작 한다.
[root@localhost /]# /etc/rc.d/init.d/sshd restart


6.proftpd 서버에서 chroot 적용 및 root 접속 제한하기
[root@localhost /]# vi /usr/local/server/proftpd/etc/proftpd.conf
# wheel 그룹사용자 이외의 사용자는 자신의 홈디렉토리보다 상위 디렉토리로 이동하지 못하게 함
DeaultRoot ~ !wheel
# root 계정으로 접속을 차단함
RootLogin          off


7.su 명령어는 wheel 그룹 사용자만 실행할 수 있도록 권한을 부여한다.
①단계
[root@localhost /]# chown root.wheel /bin/su
[root@localhost /]# chmod 4750 /bin/su
[root@localhost /]# chattr +i /bin/ su

②단계
/etc/group 파일에서 wheel 그룹에 su명령어 사용을 허용할 유저명을 입력하고 저장한다.
** linux 유저와 lug 유저를 wheel 그룹으로 지정할 경우 →
[root@localhost /]# vi /etc/group
wheel:x10:root,linux,lug
(그리고 저장하고 나온다.)


8.사용자 관련 명령어의 파일 속성을 아무나 변형하지 못하도록 제한한다.
사용자 관련 명령어인 useradd, userdel, 시스템상황을 보여주는 top, 파티션 명령어 fdisk, mkfs.ext3, mkfs, 파일시스템 체크 명령 fsck 등의 명령어는 특정 관리자만 사용할 수 있도록 퍼미션을 750으로 변경하고 파일 속성을 변형하지 못하도록 i옵션을 부여한다.
[root@localhost /]# chmod 750 /usr/sbin/useradd
[root@localhost /]# chmod 750 /usr/sbin/top
[root@localhost /]# chmod 750 /sbin/fdisk
[root@localhost /]# chmod 750 /sbin/mkfs*
[root@localhost /]# chmod 750 /sbin/fsck*


[root@localhost /]# chattr +i /user/sbin/useradd
[root@localhost /]# chattr +i /user/sbin/top
[root@localhost /]# chattr +i /sbin/fdisk
[root@localhost /]# chattr +i /sbin/mkfs*
[root@localhost /]# chattr +i /sbin/fsck*

List of Articles
번호 제목 날짜 조회 수
156 웹서버 모니터링 툴 awststs 2014.03.26 10144
155 apache 컴파일시 동시 접속자 제한 변경하기 2014.03.26 8155
154 yum으로 phpmyadmin 설치 2014.03.26 7536
153 싱글모드 부팅 후, fstab read only 발생시 2014.03.26 8511
152 긴급 스왑 메모리 추가 하기 2014.03.26 7622
151 리눅스 한글 설정 2014.03.26 8239
150 iconv 추가 설치 2014.03.26 8602
149 apache vhost deny 설정 2014.03.26 7583
148 리눅스 서버 백업 - Crontab 2014.03.26 7619
147 Linux 시스템 백업과 복원 2014.03.26 7862
146 리눅스서버 시간 한국 시간(한국표준시;KST)으로 변경 2014.03.26 8017
145 netstat [option] 2014.04.12 7238
144 리눅스 Iptables 보안정책 2014.04.23 7776
143 리눅스 보안 - 시작 프로그램 수동 등록 및 서버 표준시간 설정 2014.04.23 7814
142 iptables 접속 차단 스크립트 2014.04.23 7665
141 리눅스 방화벽 iptables 설정 2014.04.23 8220
140 find - 파일 검색 2014.04.29 7200
139 문자셋 설정, charset 2014.04.29 7480
» 리눅스 기본보안설정(1-8) 2014.05.15 7630
137 리눅스 기본보안설정(9) file 2014.05.15 7507
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 ... 12 Next
/ 12

하단 정보를 입력할 수 있습니다

© k2s0o1d4e0s2i1g5n. All Rights Reserved