리눅스마스터_1급_2과목_시스템 보안 및 관리

book.naver.com/bookdb/book_detail.nhn?bid=16317946

리눅스마스터 1급 기본서(2020)

*해당 글은 학습을 목적으로 위의 도서 내용 중 일부 내용만을 요약하여 작성한 포스팅입니다.

 상세한 내용 및 전체 내용 확인을 원하신다면 도서 구매를 추천드립니다.

 

 

시스템 보안

• BIOS 보안 : BIOS 설정을 변경해 CD-ROM, USB 등으로 복구모드로 진입하지 못하게 BIOS에 비밀번호 설정.
• 패스워드 보안
• 관리자 계정 보안 : root 사용자의 로그인은 제한한다.

 

 

서비스 및 운영 보안

• 필수 서비스만 사용
• 시스템 정보 숨김 : /etc/issue, /etc/issue.net 의 내용을 수정
• 부트로더 패스워드 설정 : grub-crypt
• 보안 서비스 사용 : telnet은 암호화되어 있지 않은 평문을 주고받으니, ssh를 사용하자.

 

 

파일 시스템 보안

• 소유권과 허가권 : 다른 사용자에 rwx 하지 말자.
• lsattr : 파일의 속성을 출력하는 명령어
• chattr : 파일의 속성을 수정하는 명령어
• getfacl : 파일의 ACL을 확인하는 명령어 (ACL을 지원하지 않는 파일 시스템은 허가권 출력)
• setfacl : 파일이나 디렉터리에 ACL을 설정하는 명령어 (세밀한 권한 부여 가능)

 

네트워크 보안

• sysctl을 통한 보안 강화 : /proc/sys 디렉터리 이하의 세부 커널 설정을 통해 리눅스 보안 강화

보안 위협	조치
서버 날짜 정보 유출	/prco/sys/net/ipv4/tcp_timestamps 값을 0으로 설정
SYN_FLOODING	/proc/sys/net/ipv4/tcp_syncookies 값을 1로 설정 또는 /proc/sys/net/ipv4/tcp_max_syn_backlog의 크기를 늘려줘 백로그 큐가 가득차지 않게 한다.
ping 차단	/proc/sys/net/ipv4/icmp_echo_ignore_all 값을 0으로 변경
스머프 공격	/proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 값을 0으로
과다 세션 공격	/proc/sys/net/ipv4/tcp_fin_timeout 에 만료시간 설정
tcp keepalive time 설정	/proc/sys/net/ipv4/tcp_keepalive_time 변경
로컬 포트 사용범위 설정	/proc/sys/net/ipv4/ip_local_port_range 변경
IP 포워딩 기능 제한	/proc/sys/net/ipv4/ip_forward 값을 0으로 변경

 

 

---

SELinux (Security-Enhanced Linux)

• 리눅스는 root 권한을 획득하면 시스템의 모든 제어가 가능한데, 이는 심각한 보안 위협이 된다.
• SELinux는 강제 접근 제어 (MAC)과 같은 접근 제어 정책을 제공한다.
• MAC은 모든 주체와 객체에 대해 국부적으로 허가하는 접근 제어 정책으로, 모든 접근은 불가능하고 정책에 따라 필요한 기능에 대해서만 사용 권한을 부여하는 것.
• SELinux는 제로데이 공격으로 시스템이 공격받아도 피해를 최소화할 수 있다.

 

 

SELinux의 설정 및 해제

• SELinux의 동작 모드는 enforce, permissive, disable 세 가지가 있다.
• enforce : SELinux의 정책을 적용하고, 위반하는 동작은 차단
• permissive : 정책 위반 행위가 차단되지 않지만 로그에 기록된다.
• disable : SELinux의 정책 비허용.

 

 

---

시스템 보안 유틸리티 

 

SSH (Secure Shell)

• 원격의 서버나 시스템에 안전하게 연결하기 위한 프로토콜
• 호스트와 클라이언트가 패킷을 암호화하여 주고받아 보안에 강하다.
• 포트번호 22번을 사용한다.
• 설치 : openssh -server 패키지 설치 => sshd 서비스 시작 => 환경설정에 추가 (부팅할때 자동실행)
• 비밀번호를 통해 접속이 가능하며, 인증키를 통해 자동 접속이 가능하다.

 

 

PAM (Pluggable Authentication Module)

• 리눅스 시스템에서 사용자가 어플리케이션이나 서비스를 이용할 때 동적으로 인증할 수 있는 공유 라이브러리 스위트
• 저수준의 인증 모듈을 고수준의 API로 통합해 어플리케이션에 대한 동적 인증 지원을 제공한다.
• 이를 통해 개발자는 인증 시스템에 대한 세부적인 이해가 없어도 개발이 가능하다.

 

 

sudo (Super User DO)

• 사용자가 잠시 루트 권한을 요구하는 프로그램을 실행할 때 사용한다.
• 윈도우의 관리자 권한으로 실행과 유사하다.
• /etc/sudoers 파일에 등록된 사용자만 사용이 가능하다.

 

 

---

주요 보안 도구

 

nmap (Network Mapper)

• 네트워크 탐지 및 보안 감사를 위한 오픈 소스 도구.
• 단일 호스트 뿐 아니라 거대한 네트워크도 스캔이 가능하다.
• 호스트가 네트워크상에서 검색 가능한 포트가 무엇인지 스캔하는 데 사용한다.

 

tcpdump

• 네트워크 인터페이스의 송수신 패킷 캡처를 수행하는 명령행에서 실행하는 네트워크 트래픽 모니터링 도구
• tcpdump를 통해 네트워크 응용 프로그램이나 데몬의 오류나 네트워크의 상태를 분석하고 원인을 찾을 수 있다.

 

tripwire

• 호스트 기반 침입 탐지 시스템으로 외부 침입으로 인한 파일 시스템 상의 주요 시스템 파일의 변경을 탐지하는 무결성 도구
• 정상 운영 상태일 때의 전체 파일들의 스냅샷을 보관하고, 변경시 스냅샷과 비교하여 침입이 이루어졌는지 확인한다.

 

Nessus

• 상용 취약점 스캐너로, 세계에서 가장 많이 사용된다.

 

GnuPG

• PGP를 대체하기 위한 자유 소프트웨어로, 이메일 보안의 표준.
• 공개키 기반 암호화와 디지털 서명 관련 기능을 제공한다.

 

John The Ripper

• 무료 패스워드 크래킷 도구
• 미리 준비한 단어 사전을 기반으로 무작위 대입 공격을 수행하여 패스워드를 알아낸다.
• 크래킹 목적으로 사용될 수도 있지만, 서버의 패스워드 보안성을 파악하기 위한 진단 목적으로 활용한다.

 

 

 

 

 

---

---

---

 

1. 패스워드 보안과 암호화에 대한 설명으로 옳지 못한 것은?

1) 쉐도우 패스워드 : 특별한 권한이 있는 사용자만 읽을 수 있도록 /etc/shadow 파일에 저장
2) GnuPG : PGP 완성본의 일종으로 무료로 얻을 수 있지만 미국 외 사용이 금지되었다.
3) 커버로스 : 사용자가 접속하면 커버로스가 패스워드를 대신하여 사용자를 인증한다.
4) SSL : 클라이언트-서버 인증용으로 사용된다.

2

2. 다음 중 sudo 관련 설명이 아닌 것은?

1) 특정 사용자 또는 그룹이 root 사용자 권한을 가질 수 있게 도와준다.
2) visudo는 환경설정파일을 편집할 때 사용하는 명령이다.
3) 적용된 사용자는 sudo 명령어 형태로 실행하여 root 권한을 대행한다.
4) 환경설정 파일은 /etc/sudo 이다.

4