[KDT:K-digital training 과정] 리눅스 13일차 - RPM, YUM, 형상서버, 리포지터리, 공개키와 CA 인증서, 보안 설정과 실습

RPM(RedHat Package Manager)

RPM 패키지의 설치, 삭제, 그리고 쿼리를 알아보았는데 ~.rpm 패키지는 실행되는 이진(binary) 파일이기 때문에 이진 패키지로도 불린다. 이진 파일은 설치되면 시스템에서 즉시 사용될 수 있다. RPM은 RedHat 계열의 Linux 배포판에서 사용되는 프로그램 설치와 관리 도구이다. 이는 Linux에서 프로그램을 설치할 때 사용하는 파일 형식이다. 프로그램이 컴퓨터에서 실행될 수 있도록 준비된 '이진 파일'로 되어 있다.

간단하게 말하면, 컴퓨터에 새로운 프로그램을 설치하거나 업데이트하거나 삭제할 때, 이 작업을 쉽게 해 주는 도구가 RPM이다.

명칭	형태	사용처	예
SRPM	*.src.rpm	rpm 패키지를 생성해주는 소스코드 파일	bison-2.3-2.1.src.rpm
SPEC	*.spec	rpmbuild 명령어로 rpm 파일을 만드는 파일	rpmbuild -bb bison.spec
RPM	*.rpm	이진코드로써 설치해서 사용할 수 있는 파일	bison-2.3-2.1.i386.rpm

rpmbuild의 옵션으로 bb : 스펙 파일로부터 이진 패키지 rpm을 만들 때, bs : 스펙 파일로부터 소스 패키지 srpm을 만들 때, ba : 스펙 파일로부터 소스와 이진 패키지를 만들 때 사용되는 옵션이다. 이와 유사하게 tb : 타볼 소스(~.tar.gz(=tgz))로부터 이진 패키지를 만들 때, ts : 타볼 소스로부터 소스 패키지를 만들 때, ta : 타볼 소스로부터 소스와 이진 패키지를 만들 때 주로 사용되는 옵션이다.

 

yum과 리포지터리(Repository)

yum은 레드햇 계열의 서버에서 종속성(dependencies)을 해결하면서 패키지를 설치해주는 프로그램이다.

apt(OR apt-get)은 Debian 계열의 서버에서 종속성을 해결하면서 패키지를 설치해주는 프로그램이다.

⇒종속성이란 A 프로그램이 실행되기 위해서 필요로 하는 기타 프로그램들을 말한다.

예를 들어서 printer에서 글꼴 프로그램이 프린터 프로그램의 종속적 프로그램이다.

 

yum 명령어를 통해서 간편하게 종속적인 패키지 문제도 일괄적으로 해결해 가면서 작업할 수 있는 이유는 바로 리포지터리(Repository:저장소)가 있기 때문이다.

YUM을 사용해서 어느 패키지를 설치한다면 설치 전에 해당 패키지뿐만 아니라 그 패키지가 필요로 하는 종속적인 패키지들을 리포지터리가 미리 확인해서 준비시킴으로써 관리자가 일일이 수동으로 이들 패키지를 찾아서 설치해야 하는 수고를 덜어준다. 또한 yum은 해당 패키지의 올바른 공개키를 찾아서 시스템의 키링에 넣어줌으로써 해당 패키지의 전자서명도 스스로 알아서 해준다.

키링: 시스템의 키링은 신뢰할 수 있는 공개키의 모음이다. 패키지를 설치할 때, yum은 이 키링 내의 공개키를 사용해 패키지의 전자서명을 검증합니다.

 

해당 패키지의 종속적인 파일들을 알지 못해도 일련의 패키지들이 제대로 설치되는 이유는 소프트웨어 리포지터리인 CentOS의 /etc/yum.repos.d/나 Ubuntu의 /etc/apt/sources.list/ 디렉터리에 대부분 패키지 사이트에 관한 경로 정보를 가지고 있는 *.repo 확장자의 리포지터리 파일들이 들어있기 때문이다.

=>리포지터리는 1. 로컬 디렉터리 2.네트워크 디렉터리일 수도 있고, 3.외부 HTTP나 FTP 서버일 수 있다.

 

rpm, yum, dpkg, apt 명령어 정리

정리하면

~.rpm =>rpm -ivh(-Uvh) ~.rpm로 설치하거나 yum install ~.rpm 해주고 rpm –qa nmap 해서 설치 여부를 보고 rpm –e nmap 해서 nmap 패키지를 삭제한다.

~.deb =>dpkg -iv ~.deb로 설치하거나 apt(-get) install ~.deb 해주면 설치된다.

 

CentOS7 머신에 [패키지]을 설치하는 방법 4가지

 

yum -y install [패키지]으로 설치한다.

 

그래도 설치가 안된다면 epel-release등의 추가 리포지터리를 다운 받아 확장한 후 다운 받아 준다.

 

epel을 추가 했는데 다운로드가 안된다면 패키지의 웹 사이트에 가서 .repo가 있으면 다운받거나 nano [패키지].repo 파일을 만들어 /etc/yum.repos.d/에 추가 해 준 후 yum -y install 해준다.

 

1,2,3의 방법이 통하지 않는다면 해당 소프트웨어 사이트에서 tarball source를 다운 받아 직접 설치 해 준다. 설치 과정은 configure → make → make install의 컴파일 과정을 통해 설치 한다.

리포지터리(nginx를 예시로)

base 리포지터리에서 받는 패키지들은 모두 integrity하다.

"Integrity"는 데이터 무결성을 의미하며, 데이터가 정확하고 변조되지 않았음을 보증한다.

 

base 리포지터리에 원하는 패키지가 없을 시 epel 리포지터리를 설치해 패키지를 다운받는다.

epel 리포지터리에서 baseurl은 EPEL 리포지터리에 포함된 패키지들을 다운로드하기 위한 주소로, 이 주소를 통해 패키지를 직접 다운로드하고 설치한다.

 

 

 

만약 base repository에 없는 패키지, 예를 들어 nginx를 다운 받고 싶을 때 위에서 설명한대로 epel repository를 설치하고 nginx가 있으면 그곳에서 다운받게 된다.

 

없으면 nginx.repo 파일을 만들거나 다운받아 /etc/yum.repos.d/ 에 넣어두고 설치를 시도한다.

그러면 nginx 리포지터리에서 nginx를 다운받아 온다.

 

모두 안되면 최후의 수단으로 nginx.tar.gz의 타볼 소스를 직접 다운받아 설치한다.

 

리포지터리 enabled와 priority

리포지터리에서

 

enabled=1: 이 설정은 해당 리포지터리가 활성화되어 있으며 패키지 관리 도구(yum, dnf 등)가 패키지를 검색, 설치, 업데이트할 때 이 리포지터리를 사용하게 하라는 의미입니다.

 

enabled=0: 이 설정은 해당 리포지터리를 비활성화하며, 패키지 관리 도구가 이 리포지터리를 자동으로 사용하지 않게 하라는 의미입니다. 필요한 경우에만 명시적으로 이 리포지터리를 사용하도록 지시할 수 있습니다.

 

리포지터리에서 priority 설정은 특정 리포지터리에 우선순위를 부여하는 데 사용됩니다. 이 값은 리포지터리 간의 충돌이나 중복이 발생할 때 어떤 리포지터리를 먼저 고려할지 결정하는 데 사용됩니다.

priority 값은 1부터 99까지의 정수를 가질 수 있으며, 낮은 숫자가 더 높은 우선순위를 가집니다.

 

priority=1: 가장 높은 우선순위를 가진 리포지터리

 

priority=99: 가장 낮은 우선순위를 가진 리포지터리

 

형상 서버와 리포지터리

조직 내부에서 사용되는 프로그램(패키지)을 사용자들이 웹에 가서 다운받거나 하면

 

WAN에서는 다운로드 속도가 느리고,

 

회사의 인터넷 대역폭을 많이 사용하게 되고

 

검증되지 않은 파일을 받을 수도 있고,

 

버전 등 일관되지 않은 소프트웨어를 설치할 수 있게 되므로 위험하다.

=>하지만 조직 내부의 어느 한 서버를 로컬 (네트워크) 리포지터리로 만들어서(형상서버로 구축해서) 조직에서 필요한 모든 소프트웨어(패키지)를 여기서 다운받게 하면

 

LAN에서 다운로드하므로 WAN에서보다 다운로드 속도가 빠르고

 

인터넷 회선과 무관하므로 대역폭 사용이 적어지고

 

관리자에 의해서 검증받은 파일만 사용하게 되므로 보안상 안전하고

 

조직의 일관된 정책과 관리자의 규칙에 따라서 패키지가 관리되게 할 수 있다.

 

서버 리포와 클라이언트 리포 실습

먼저 서버 역할을 할 서버 센토스 머신에 yum -y install vsftpd ftp createrepo로 설치해준다.

그리고 nano /etc/yum.repos.d/server.repo로 리포 파일을 생성해준다.

리포 파일 안에는 baseurl=file://var/ftp/pub/server로 해당 경로에서 패키지를 다운 받는다는 뜻의 코드를 입력해준다.

이제 /dev/sr0를, 즉 RPM 패키지 꾸러미 역할을 할 DVD를 media에 마운트 해준다.

패키지들을 옮길 디렉터리를 mkdir /var/ftp/pub/server로 만들어준다.

이 디렉터리는 서버 repository가 될 것이다.

cp 명령어를 사용해 /media/Packages를 /var/ftp/pub/server 밑으로 옮겨준다.

이제 yum.repos.d에 있는 모든 .repo 파일을 다른 디렉터리로 옮겨주고, server.repo만 현재 디렉터리로 가지고 와서 /etc/yum.repos.d 밑에 server.repo만 위치하게 해준다.

후에 만들 클라이언트 머신이 패키지를 다운받을 때 다른 리포지터리가 아닌 server 리포지터리에서만 다운받을 수 있게 하기 위함이다.

createrepo -v /var/ftp/pub/server로 DVD 속 RPM 패키지들이 들어 있는 server YUM 리포지터리를 생성한다.

이에 따라 해당 디렉토리에 있는 RPM 패키지들의 정보를 읽어서 리포지터리 메타데이터를 생성하게 되고, 이후 yum과 같은 패키지 관리 도구가 이 리포지터리를 사용할 수 있게 된다.

이제 /var/ftp/pub/server가 제 저장소 역할을 할 것이다.

 

여기서

 

/var/ftp/pub/server: 실제 RPM 패키지와 메타데이터가 저장되어 있는 리포지터리의 위치

 

/etc/yum.repos.d/server.repo: 해당 리포지터리를 패키지 관리 도구가 어떻게 사용할지 정의하는 구성 파일

이제 모든 준비가 되었으니 방화벽 명령어로 vsftpd 데몬의 방화벽을 열어준다.

setenforce 0으로 SElinux도 무력화 시켜준다.

 

이제 클라이언트 머신이 될 센토스를 열고 yum -y install ftp로 ftp 클라이언트를 설치해준다.

/etc/yum.repos.d 밑에 client.repo를 만들어주고, baseurl=ftp://[서버머신 ip]/pub/server로 서버 머신의 리포지터리에서 패키지를 다운받게 하는 설정을 넣어준다.

이제 클라이언트 리포지터리가 서버머신의 리포지터리로 연결되어 패키지를 다운받을 수 있게 된다.

역시 /etc/yum.repos.d의 모든 리포 파일을 /tmp 등의 다른 디렉터리로 옮기고, client.repo만 남게 한다.

yum repolist all 하면 Server Repo - Client라는 이름의 리포지터리가 보인다.

이제 이 클라이언트 머신에서 yum -y install nmap을 실행하면 client repository에서 다운받는데, 이건 server의 repository로 연결되어 패키지를 다운받아 설치한다.

 

 

리포지터리 A와 B 중에서 B에서 받고 싶을 때

동일한 패키지를 A와 B 리포 파일에서부터 설치할 수 있다면

 

 

A리포를 사용하지 않게 한다.

베이스리포 말고 다른 리포지터리에서 다운받고 싶다

JavaScript

복사

yum repolist —disablerepo=base(베이스리포 사용하지 않게 하기)

​

 

베이스 리포에서 말고 다른 리포지터리에서 nmap을 설치해라!

JavaScript

복사

yum -y install nmap —disablerepo=base(베이스리포 말고 설치해라)

​

 

 

또는 A.repo 파일에서 priority를 조정해준다. priority는 1부터 99까지로, 낮은 수가 더 우선순위가 높은 것이다. A repo의 우선순위를 2로, B를 1로 지정해두면 B 리포에서 받을 수 있다.

 

A.repo 파일에서 enabled=0으로 만들어서 사용하지 못하게 하는 방법도 있다.

 

mv /etc/yum.repos.d/A /tmp 해서 임시로 A 리포를 다른 곳으로 옮겨서 적용되지 않게 하는 방법도 있다.

 

yum --enablerepo=B install sendmail식으로 B 리포지터리로 지정해서 sendmail 패키지를 설치시킬 수 있다.

 

동일한 패키지를 A와 B 리포 파일에서부터 설치할 수 있다면 A 리포파일에서

priority=1식으로 지정해서 B 리포(priority=0)보다 나중에 적용되게 할 수 있다.

 

 

Ubuntu NetworkManager

우분투에는 NetworkManager가 있어서 어느 위치에서라도 자동으로 인터넷에 연결되게 해주는 기능이 있는데, 오히려 static으로 설정한 설정이 dynamic으로 변경되는 수가 있어서 서버 설정에서 주의해야 한다. 이 네트워크 매니저는 학원에서 커피숍으로 장소를 이동해도 자동으로 대역을 알아내 ip 주소를 잡는데, 문제는 ip를 static으로 192.168.100.129 고정을 해놨는데 어느 날 192.168.100.150 이런 식으로 변동이 생길 수 있다. 또는 재부팅 했을 때 ip가 변할 수도 있다.

 

기본적으로, NetworkManager는 DHCP (Dynamic Host Configuration Protocol)를 사용하여 자동으로 IP 주소를 할당받는다. 이는 네트워크에 연결될 때마다 IP 주소가 변경될 수 있는 상황을 만듭니다.

정적 IP 주소를 설정하려면 NetworkManager의 설정을 변경해야 한다. 이는 그래픽 인터페이스, nmcli와 같은 명령 줄 도구, 또는 설정 파일을 직접 편집하는 방법을 통해 수행할 수 있다. 정적 IP 주소가 설정되면, 해당 네트워크 인터페이스의 IP 주소는 변동되지 않고 고정된다.

 

DDNS

유동 DNS(DDNS): 유동 DNS는 동적 IP 주소를 고정 도메인 이름에 매핑하는 서비스이다. IP 주소가 변경되면 해당 도메인 이름의 DNS 레코드가 자동으로 업데이트된다.

 

웹 브라우저의 공개키와 CA 인증서

터미널에서 firefox http://www.daum.net으로 접속했을 때 url 창 왼쪽의 빨간 자물쇠가 정상 자물쇠로 변경되며 http로 요청했지만 https로 접속이 될 수 있는 이유는?

 

Daum은 기본적으로 보안 접속(SSL)을 요구하는 사이트(https)인데, firefox 브라우저는 daum 사이트의 키(CA(Certificate Authority)의 공개키)를 가지고 있기 때문에 보안접속을 할 수 있다. Naver나 Daum은 유명하고 검증된 브라우저에 미리 인증키를 뿌려둔다. 이 인증키 덕분에 https 보안 인증을 할 수 있다. 즉, 웹 사이트(Naver, Daum)가 있으면 웹 서버는 클라이언트에게 서버의 공개키를 담은 인증서를 제공한다. 이 때 접속하는 대형 웹 브라우저(예: firefox, chrome)에는 대체로 해당 서버가 미리 제공한 CA(Certificate Authority)의 공개 키가 저장되어 있다. 브라우저는 이 CA의 공개 키를 사용하여 서버가 제공한 인증서의 서명을 검증한다. 성공적으로 인증되면 신뢰할 수 있다고 판단하여 SSL 연결을 체결한다.

 

플러그인

어느 프로그램이 작동되기 위해서 필요로 하는 작은 코드블록(일단의 코드 집합체)

/usr/lib/yum-plugins에 플러그인이 들어 있고, /etc/yum/pluginconf.d에 설정 파일이 들어 있다.

yum은 파이썬으로 된 플러그인을 사용하는 것이 좋다.

 

리포지터리 오류 해결하기

yum이 대부분의 패키지 종속성과 패키지 관리상 문제를 해결해 주지만 간혹 리포지터리가 엉키거나 불완전한 소스를 사용하게 되면 yum이 제대로 작동되지 않는 수가 있다. 문제가 있는 패키지를 무시하고 업데이트 시킬 수 있는데

① yum update —skip-broken 해주면 된다. ② 어느 패키지에 대한 인증키에 문제가 있을 때에는 yum -y install nmap --nogpgcheck 해서 인증키를 무시하고 설치할 수도 있다.

 

SYSTEM Security

- System Security --

Linux 서버를 한동안 운영하면 여러 사용자나 시스템 설정, 그리고 서버 서비스에 관한 정보들이 쌓이게 된다. 서버 서비스들이 정상으로 운영되기 위해서 그리고 사용자들의 정보가 외부로 노출되지 않게 하려면 서버 머신에 보안을 설정해 두는 것이 필요하다.

서버 시스템에 보안을 설정할 때에는 다음과 같은 기본적인 원칙이 있으므로 이에 따라서 설정해주는 것이 좋다.

 

기본적인 원칙

∎ 꼭 필요한 프로그램만 설치하고 사용자 접근을 최대한 제한한다. ∎ 관련 프로그램(응용프로그램, 안티바이러스 프로그램, 패치 등)들을 자주 업데이트한다. ∎ 사용자에 대한 정확한 정보(계정관리, 패스워드, 권한 등)를 늘 최신으로 유지한다. ∎ 시스템 보안의 목표를 기밀성(confidentiality), 무결성(integrity), 가용성(availability), 기록성(recording), 부인봉쇄(non-repudiation)라는 측면을 염두에 두고 설정한다.

 

⇒ 보안은 예측 가능한 위험을 줄이는 것이 목적이다. 따라서 인증된 해킹을 통한 취약점 분석이 중요하다. 물이 새는 통인지 확인하기 위해서는 물을 부어봐야 알 수 있는 것과 같다.

손실의 우려가 있는 정보와 정보자산(인적, 기술적, 물리적)을 타겟으로 하는 위험(risks)과 위협(threats), 그리고 보안상 문제가 있을 수 있는 취약점(vulnerability)이 겹쳐지는 곳에서 시스템/네트워크가 위험(endangered)해진다.

정보 보호를 위한 대응기준은 여러 가지가 있지만 보통 영국에서 마련한 BSI(British Standard Institution) 지침을 따른다. 대응절차를 제외한 보안에 대한 기본방향과 침해사고 시 대응기준을 합해서 정보보호 정책이라고 부르는데 보안을 준수할수록 그만큼 사용상 편리함을 포기한다는 의미가 들어있다.

 

기본 보안설정

다음은 어느 외국계 기업체에서의 서버(룸)에 관한 보안지침을 정리한 것이다. ① 통풍, 환기, 습도 등이 잘 조절되는 서버 룸에 서버를 설치하고 출입을 엄격히 통제한다. ② 전원 공급기를 안정시키기 위해서 UPS(Uninterrupted Power Supply)를 사용한다. ③ 데이터가 외부로 유출되지 않도록 이동 매체(USB, SD-card, DVD, 메일, ...) 사용을 금하는 서버 시스템 설정과 BIOS 설정 화면에 암호를 걸어둔다.

=>Windows Server에서는 GP(Group Policy) 설정으로 제어판이나 USB 삽입을 막을 수 있다. ④ 사용자의 작업 디렉터리는 디스크 쿼터를 걸 수 있도록 별도의 HDD를 추가해서 사용한다. ⑤ 시스템 파일은 변경되지 않도록 읽기만 가능하게 해두고 수시로 백업해둔다. ⑥ 시스템에 소프트웨어 설치를 최소한으로 해서 쓸데없는 보안상 허점이 없게 한다. =>서버에 설정된 MS Word, Adobe Reader, MySQL 서버, DHCP 서버 서비스 등을 이용해서 해킹 ⑦ 부트 로더에 암호를 걸어서 시스템의 부팅 설정을 변경하지 못하게 한다. =>Linux에서의 /boot, Windows에서의 win.ini, msdos, sys.ini 등을 Virus로 무력화 시킴 ⑧ 시스템 서비스와 서버 서비스 데몬을 최소한으로 설치하고 설정한다. =>각종 서버 서비스에 대한 취약점이나 실행 구조를 무력화 시킬 수 있다. ⑨ 관리자의 패스워드를 주기적으로 변경한다. =>on-line이나 off-line으로 해킹 최종 목표 중 하나이다. ⑩ 사용자 계정 관리를 철저히 한다. 등등... =>일반 사용자로 로그인해서 관리자로 가는 권한상승(privilege escalation)을 시도한다.

 

이런 것들이 서버 시스템 보안에서 필요한 일들이다. 여기서

시스템이란 보통 서버 호스트 머신을 말하고,

네트워크는 호스트, 프린터, 라우터나 스위치 등과 같은 노드로 구성된 일단을 말한다.

 

Linux 서버에서의 기본 보안상 주의점

a) 수시로 Hot Piece(patch update)나 Bug Fix가 이뤄지므로 항상 최신의 상태가 유지되도록 정기적인 업데이트가 중요하다. b) 시스템/네트워크에 패치를 업데이트할 때에도 미리 서버 시스템과 두어 대의 클라이언트 시스템으로 이뤄진 Pilot System에 먼저 패치를 적용시켜서 문제가 없는지 관찰 한 뒤에 네트워크에 뿌려야 한다. <-형상서버(Configuration Server) c) 또 시스템과 소프트웨어 설정에 보안을 지정하는데, 파일/디렉터리에도 적절한 권한을 설정하며, 하드웨어적인 저장장치에 소프트웨어적인 BitLocker(TrueCrypt, Luks, Encrypt, 하드웨어적으로는 TPM(Trusted Platform Module) 카드) 등으로 암호화해두어야 한다. d) root 계정으로 로그인을 자제하고, su 명령어 사용자도 제한하며, 가급적 sudo를 사용하게 한다. e) 시스템 모니터링과 분석도 수시로 수행하고, f) 로그 파일 관리(Windows에서는 Event Viewer)에도 주의해야 한다. g) 방화벽(FW)뿐만 아니라 침입탐지(IDS: Intrusion Detection System)와 침입예방(IPS:Intrusion Prevention System) 시스템도 라우터(게이트웨이)에서 적절히 설정해 두어야 하고, h) 침해 사고 시 피해를 최소한으로 만들기 위해서 SELinux로 중요한 파일과 프로세스별로 권한(Context)을 세분화 시켜둔다. i) 또 BIOS를 조절해서 외부 USB나 DVD 등으로 시스템이 부팅되는 것을 막도록 CMOS 설정에 패스워드를 걸어두는 것도 좋은 방법이다.

 

 

1. 기본 설정으로 보안 조절하기

-1. 기본 컴파일러 gcc/c++를 root만 사용하도록 퍼미션 변경하기 <=chattr, lsattr -2. 주요 명령어와 환경 설정파일, 파티션, 서비스 데몬 등 백업 해두기 <=

중요한 명령어가 들어있는 /usr/bin 디렉터리

시스템 설정 명령어가 들어있는 /usr/sbin

각종 설정파일들이 들어있는 /etc/

부팅과 관련된 /boot, 그리고

Linux 운영체제가 들어있는 하드디스크인 /dev/sda2(이것은 lsblk 해보면 확인할 수 있다)를 다른 디스크에 백업해두는 것이 좋다. 서버에 mysqld, httpd, vsftpd, ... 등 서버 서비스 데몬이 실행되고 있다면 그것들의 설정파일들과 홈피 등을 백업해둔다. -3. chkconfig로 시작 서비스를 런레벨 별로 제한하기 =>CentOS7부터는 runlevel이 별로 의미가 없다. -4. xinetd 슈퍼 데몬에 관한 보안도 주의한다. -5. SSH 등 원격연결을 사용자와 포트로 제한하기 -6. 패스워드와 root 로그인 콘솔에 관한 보안도 주의한다. -7. su와 sudo 사용자 제한하기 -8. 사용자 패스워드 관리하기 -9. 중요 명령어를 root만 실행시키기 -10. 커널이나 시스템 정보를 알려주는 배너(banner) 파일 관리하기 -11. 가상 파일시스템인 /proc 파일 조정하기 -12. /proc를 통한 시스템 설정과 외부 공격 막기 ① Telnet, FTP나 SSH, HTTP 서비스와 열린 포트 등 조절하기 ② SYN Flooding 공격 막기 ③ Smurf / Land 공격 막기

④ ICMP Redirect 막기

⑤ Reverse Path Filtering으로 DDoS(IP spoofing) 막기 ⑥ Faked(Rogue) IP Filtering 하기 ⑦ Source Route 패킷 전송 막기 ⑧ ping이나 tracert에 응답하지 않기

 

2. 일반적인 외부 공격

-1. Buffer Overflow 공격 -2. 각종 오류를 이용한 공격 -3. 로그로 침입여부를 판단해주는 - Logcheck와 Logwatch -4. 서버 프로그램 설정상 오류를 이용한 공격 -5. 초기 패스워드 계속 사용을 이용한 공격 -6. API(어플리케이션) 오류를 통한 공격 -7. Server 오염 공격 a)XSS(Cross Site Script) b)CSRF(Cross Site Request Forgery) -8. Session Hijacking 공격 -9. SQL Injection 공격 -10. OS Injection 공격 -11. Directory Traverse 공격 -12. 세션 탈취와 암호화 문 탈취 -13. MySQL의 root 패스워드 크랙하기 -14. 오가는 패킷 엿보기와 위조하기

 

3.악성코드를 이용한 공격에 대비하기

-1. Virus -2. Worm과 Trojan Horse -3. Bot와 BotNet

-4. Rootkit

 

4.기타 중요한 보안설정 파일과 공격 대비 방법

-1. /etc/rc.local 파일 -2. 프로세스 모니터링 하기 -3. find 명령어 응용하기 -4. Kernel에서 실행될 수 있는 최대 파일 수와 프로세스 수를 지정해두기 -5. 누구나 들어와서 작업할 수 있는 /tmp 디렉터리 내의 파일 수를 점검하기 -6. ClamAV를 설치해서 바이러스 막기

 

5.기본적인 보안 도구 사용하기

-1. 타겟에 관한 광범위한 정보를 알려주는 - Nmap -2. 만능 보안도구인 - NetCat -3. 패킷 분석에 쓰이는 - TCPdump -4. 파일의 변조 유무를 알아내는 - TripWire -5. 파일시스템 변경을 모니터링 하는 - RPM과 AIDE -6. 외부에서 시스템 포트를 스캔하는지 실시간으로 검사하는 - PortSentry -7. Rootkit 탐지하기 ① 루트킷을 찾아내는 – chkrootkit과 chkproc, chkwtmp ② 루트킷 사냥꾼 - rkhunter -8. 동일머신으로부터의 SSH 접속 수를 제한하는 - connlimit -9. 로그로 침입여부를 판단해주는 - Logcheck와 Logwatch

 

기본 설정으로 보안 조절하기 실습

1. 기본 컴파일러 gcc/c++를 root만 사용하도록 퍼미션 변경하기

yum -y install gcc-c+

gcc -v로 일반 사용자도 컴파일러를 사용할 수 있다. → 해커도 악성 코드를 넣어 컴파일러를 사용할 수 있다.

/usr/bin/gcc는 other가 읽고 실행 가능하기 때문에 일반 사용자도 컴파일러를 사용할 수 있는 것이다.

chmod 100 /usr/bin/gcc로 파일의 소유자인 root만 실행할 수 있게 권한을 바꿔준다.

그러면 centos 사용자가 gcc -v 해도 permission denied가 뜬다.

 

이 때 변경된 권한을 변경하지 못하게 짱박아두려면 chattr를 써서 i를 집어넣어준다.

chattr +i /usr/bin/gcc 하면 i가 생기고, lsattr로 확인할 수 있으며, -i를 하면 다시 권한설정을 할 수 있게 된다.

 

2. 주요 명령어와 환경 설정파일, 파티션, 서비스 데몬 등 백업 해두기

ls > /etc/passwd 하면 명령어가 쉽게 변경되어 버리므로 주요 명령어나 환경 설정파일, 파티션, 서비스 데몬 등을 백업해둘 필요가 있다.

 

/usr/bin 밑의 명령어들을 /BAK/bin.tar.bz2로 압축해서 백업한다.

JavaScript

복사

tar cvfj /BAK/bin.tar.bz2 /usr/bin/*

​

 

root와 swap 등 중요한 것들이 들어 있는 sda2 장치를 아예 백업한다.

JavaScript

복사

dd if=/dev/sda2 of=/BAK/sda2_bak.txt bs=1024K ; sync

​

 

boot 밑의 모든 것들을 백업한다.

boot 디렉터리는 리눅스 시스템에서 부팅과 관련된 파일들을 저장하는 곳으로, 여기에는 주로 커널, 초기 RAM 디스크 (initramfs/initrd), 부트 로더 설정 등이 들어있다.

JavaScript

복사

tar cvfz /BAK/boot.tgz /boot/*

​

 

파티션을 복사해서 백업해둔다.

JavaScript

복사

sfdisk --force -d /dev/sda > /BAK/sda_part1.txt

​

 

복구는 이렇게 한다.

JavaScript

복사

sfdisk -f /dev/sda < /BAK/sda_part1.txt

​

 

데몬을 백업한다.

JavaScript

복사

tar cvfz BAK/httpd.tgz /usr/sbin/httpd

​

 

3. chkconfig로 시작 서비스를 런레벨 별로 제한하기

chkconfig --list | grep cupsd

chkconfig는 centos7부터는 잘 쓰지 않는다.

 

4.xinetd 슈퍼데몬에 대한 보안도 주의한다

외부에서 슈퍼데몬에 악성코드를 만들어 두면(오염) 차일드데몬 텔넷도 오염이 된다.

포트별로 요청이 들어오면 차일드 데몬을 연결해준다.

주로 XSS 공격과 CSRF 공격 형태로 들어온다.

 

XSS는 공격대상이 Client고, CSRF는 Server이다.

XSS는 사용자가 특정 웹사이트를 신용하는 점을 노린 것이라면,

CSRF는 특정 웹사이트가 사용자의 웹 브라우저를 신용하는 상태를 노린 것이다.

 

따라서, XSS는 사이트변조나 백도어를 통해 클라이언트에 대한 악성 공격을 한다.

CSRF는 요청을 위조하여 사용자의 권한을 이용해 서버에 대한 악성 공격을 한다.

 

XSS(사이트 간 스크립팅 : Cross-site Scripting)

 

 

 

웹 애플리케이션이 사용자로부터 입력 받은 값을 제대로 검사하지 않고 사용할 경우 나타난다.

 

주로 여러 사용자가 보게 되는 전자 게시판에 악성 스크립트가 담긴 글을 올리는 형태로 이루어진다.

 

이 취약점으로 해커가 사용자의 정보(쿠키, 세션 등)를 탈취하거나, 자동으로 비정상적인 기능을 수행하게 하거나 할 수 있다.

 

주로 다른 웹사이트와 정보를 교환하는 식으로 작동한다.

 

필터 제작

 

XSS 공격은 입력값에 대한 검증이 제대로 이루어지지 않아 발생하는 취약점이다. 따라서 모든 입력값에 대해 필터링해야 한다.

 

script문장에 존재하는 특수문자를 메타캐릭터로 변환시킨다. < ---- &lt > ---- &gt ( ---- &#40 ) ---- &#41 # ---- &#35 & ---- &#38

 

BBCode 사용

 

따로 필터를 만들기 어려운 경우 사용할 수 있다. 만들기 편하고, 안정성도 높은 편이다.

 

쿠키의 보안 옵션 사용

 

쿠키 생성시 '보안 쿠키'라는 파라미터를 지정하면 TLS 상에서만 사용하게 할 수 있다.

 

콘텐츠 보안 정책(CSP) 사용

 

스크립트 실행에 대한 정책(조건)을 설정해 예방하는 방법

 

출처가 자기 서버인 스크립트만 실행될 수 있도록 한다.

 

CSRF(Cross-site Request Forgery)

사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격을 말한다.

 

 

 

 

일단 사용자가 웹사이트에 로그인한 상태에서 사이트간 요청 위조 공격 코드가 삽입된 페이지를 열면,공격 대상이 되는 웹사이트는 위조된 공격 명령이 믿을 수 있는 사용자로부터 발송된 것으로 판단하게 되어 공격에 노출된다.

대응 방안

 

CSRF 토큰 사용

 

재인증 요구

 

출처: https://dar0m.tistory.com/246