○시스템 보안의 목표
정보의 비밀성, 무결성, 가용성, 기록성 및 부인 봉쇄
1.기본적인 컴파일러 속성을 root만 사용할 수 있도록 퍼미션 변경하기
=gcc, g++ 컴파일러를 roo만 사용할 수 있도록 chmod 100 으로 퍼미션을 변경하고, chattr +i로 속성도 변경한다.
[root@localhost /]#chmod 100 /usr/bin/gcc /usr/bin/g++
[root@localhost /]#chattr +i /usr/bin/gcc /usr/bin/g++
*그리고 난 후 ls, lsattr 명령어로 gcc, g++의 퍼미션, 속성을 확인해보면 변경 여부를 알 수 있다.
2.주요 환경 설정파일 압축 보관하기
→리눅스에서 가장 중요한 환경설정파일은 /etc 디렉토리에 있다. 이 디렉토리를 주기적으로 tar 압축해서 백업한다.
[root@localhost /]# tar -cvzf /etc,tgz /etc
→네임서버나 qmail 서버를 운영하고 있다면 이와 관련된 디렉토리를 주기적으로 백업한다.
[root@localhost /]# tar -cvzf /var/named
[root@localhost /]# tar -cvzf /var/qmail
3.홈디렉토리 파티션과, 백업 파티션을 분리하여 사용한다.
4.런레벨별 시작스크립트 활성화 상황을 분석하고 재정의 한다.
[root@localhost /]# chkconfig --list 로 서비스 목록을 확인한 후 불필요한 서비스는 제거한다.
시작스크립트에서 제거하는 방법은
[root@localhost /]# chkconfig --del 서비스명
이다.
5.ssh 원격 접속 서비스 보안
root 유저로 바로 원격접속 하지 못하도록 설정을 한다.(위험하니까) root 계정을 원격으로 사용하려면 우선 일반 계정으로 원격 접속한 뒤 su명령어를 사용하여 root 계정으로 들어가도록 하는 것이 더 안전하다.
방법 =
[root@localhost /]#vi /etc/ssh/sshd.conf (sshd.conf 파일을 vi 편집기로 열어서)
PermitRootLogin no (39번 라인을 PermitRootLogin no 라고 편집하고, 저장 후 vi에서 나온 후)
sshd 데몬을 재시작 한다.
[root@localhost /]# /etc/rc.d/init.d/sshd restart
6.proftpd 서버에서 chroot 적용 및 root 접속 제한하기
[root@localhost /]# vi /usr/local/server/proftpd/etc/proftpd.conf
# wheel 그룹사용자 이외의 사용자는 자신의 홈디렉토리보다 상위 디렉토리로 이동하지 못하게 함
DeaultRoot ~ !wheel
# root 계정으로 접속을 차단함
RootLogin off
7.su 명령어는 wheel 그룹 사용자만 실행할 수 있도록 권한을 부여한다.
①단계
[root@localhost /]# chown root.wheel /bin/su
[root@localhost /]# chmod 4750 /bin/su
[root@localhost /]# chattr +i /bin/ su
②단계
/etc/group 파일에서 wheel 그룹에 su명령어 사용을 허용할 유저명을 입력하고 저장한다.
** linux 유저와 lug 유저를 wheel 그룹으로 지정할 경우 →
[root@localhost /]# vi /etc/group
wheel:x10:root,linux,lug
(그리고 저장하고 나온다.)
8.사용자 관련 명령어의 파일 속성을 아무나 변형하지 못하도록 제한한다.
사용자 관련 명령어인 useradd, userdel, 시스템상황을 보여주는 top, 파티션 명령어 fdisk, mkfs.ext3, mkfs, 파일시스템 체크 명령 fsck 등의 명령어는 특정 관리자만 사용할 수 있도록 퍼미션을 750으로 변경하고 파일 속성을 변형하지 못하도록 i옵션을 부여한다.
[root@localhost /]# chmod 750 /usr/sbin/useradd
[root@localhost /]# chmod 750 /usr/sbin/top
[root@localhost /]# chmod 750 /sbin/fdisk
[root@localhost /]# chmod 750 /sbin/mkfs*
[root@localhost /]# chmod 750 /sbin/fsck*
[root@localhost /]# chattr +i /user/sbin/useradd
[root@localhost /]# chattr +i /user/sbin/top
[root@localhost /]# chattr +i /sbin/fdisk
[root@localhost /]# chattr +i /sbin/mkfs*
[root@localhost /]# chattr +i /sbin/fsck*
정보의 비밀성, 무결성, 가용성, 기록성 및 부인 봉쇄
1.기본적인 컴파일러 속성을 root만 사용할 수 있도록 퍼미션 변경하기
=gcc, g++ 컴파일러를 roo만 사용할 수 있도록 chmod 100 으로 퍼미션을 변경하고, chattr +i로 속성도 변경한다.
[root@localhost /]#chmod 100 /usr/bin/gcc /usr/bin/g++
[root@localhost /]#chattr +i /usr/bin/gcc /usr/bin/g++
*그리고 난 후 ls, lsattr 명령어로 gcc, g++의 퍼미션, 속성을 확인해보면 변경 여부를 알 수 있다.
2.주요 환경 설정파일 압축 보관하기
→리눅스에서 가장 중요한 환경설정파일은 /etc 디렉토리에 있다. 이 디렉토리를 주기적으로 tar 압축해서 백업한다.
[root@localhost /]# tar -cvzf /etc,tgz /etc
→네임서버나 qmail 서버를 운영하고 있다면 이와 관련된 디렉토리를 주기적으로 백업한다.
[root@localhost /]# tar -cvzf /var/named
[root@localhost /]# tar -cvzf /var/qmail
3.홈디렉토리 파티션과, 백업 파티션을 분리하여 사용한다.
4.런레벨별 시작스크립트 활성화 상황을 분석하고 재정의 한다.
[root@localhost /]# chkconfig --list 로 서비스 목록을 확인한 후 불필요한 서비스는 제거한다.
시작스크립트에서 제거하는 방법은
[root@localhost /]# chkconfig --del 서비스명
이다.
5.ssh 원격 접속 서비스 보안
root 유저로 바로 원격접속 하지 못하도록 설정을 한다.(위험하니까) root 계정을 원격으로 사용하려면 우선 일반 계정으로 원격 접속한 뒤 su명령어를 사용하여 root 계정으로 들어가도록 하는 것이 더 안전하다.
방법 =
[root@localhost /]#vi /etc/ssh/sshd.conf (sshd.conf 파일을 vi 편집기로 열어서)
PermitRootLogin no (39번 라인을 PermitRootLogin no 라고 편집하고, 저장 후 vi에서 나온 후)
sshd 데몬을 재시작 한다.
[root@localhost /]# /etc/rc.d/init.d/sshd restart
6.proftpd 서버에서 chroot 적용 및 root 접속 제한하기
[root@localhost /]# vi /usr/local/server/proftpd/etc/proftpd.conf
# wheel 그룹사용자 이외의 사용자는 자신의 홈디렉토리보다 상위 디렉토리로 이동하지 못하게 함
DeaultRoot ~ !wheel
# root 계정으로 접속을 차단함
RootLogin off
7.su 명령어는 wheel 그룹 사용자만 실행할 수 있도록 권한을 부여한다.
①단계
[root@localhost /]# chown root.wheel /bin/su
[root@localhost /]# chmod 4750 /bin/su
[root@localhost /]# chattr +i /bin/ su
②단계
/etc/group 파일에서 wheel 그룹에 su명령어 사용을 허용할 유저명을 입력하고 저장한다.
** linux 유저와 lug 유저를 wheel 그룹으로 지정할 경우 →
[root@localhost /]# vi /etc/group
wheel:x10:root,linux,lug
(그리고 저장하고 나온다.)
8.사용자 관련 명령어의 파일 속성을 아무나 변형하지 못하도록 제한한다.
사용자 관련 명령어인 useradd, userdel, 시스템상황을 보여주는 top, 파티션 명령어 fdisk, mkfs.ext3, mkfs, 파일시스템 체크 명령 fsck 등의 명령어는 특정 관리자만 사용할 수 있도록 퍼미션을 750으로 변경하고 파일 속성을 변형하지 못하도록 i옵션을 부여한다.
[root@localhost /]# chmod 750 /usr/sbin/useradd
[root@localhost /]# chmod 750 /usr/sbin/top
[root@localhost /]# chmod 750 /sbin/fdisk
[root@localhost /]# chmod 750 /sbin/mkfs*
[root@localhost /]# chmod 750 /sbin/fsck*
[root@localhost /]# chattr +i /user/sbin/useradd
[root@localhost /]# chattr +i /user/sbin/top
[root@localhost /]# chattr +i /sbin/fdisk
[root@localhost /]# chattr +i /sbin/mkfs*
[root@localhost /]# chattr +i /sbin/fsck*
리눅스 기본보안설정(9)
