[KDT:K-digital training 과정] 리눅스 14일차 - 슈퍼데몬에 대한 보안, 백도어란, conlimit으로 원격에서 SSH 연결 수를 제한, /etc/ssh/sshd_config 설정에서 SSH 연결을 제한, PAM, 사용자 관련 파일, /etc/login.defs..

슈퍼데몬에 대한 보안

만약 쉘을 탈취하는 데몬이 /etc/services에 추가되고, 해당 데몬의 설정이 /etc/xinetd.d에 존재한다면, xinetd는 해당 포트로 들어오는 요청을 그 데몬에게 전달하게 됩니다.

 

그러면 telnet 서비스를 사용한다고 가정할 때 xinetd의 포트가 이미 쉘을 탈취하는 데몬의 포트로 지정되어 있으므로, 이 포트를 사용해 연결하면 xinetd 데몬이 텔넷의 요청을 받아 연결해줄 때 사용자의 쉘을 탈취할 수 있다.

 

만약 쉘을 탈취하는 데몬이 특정 포트에 연결되어 있고, xinetd가 해당 포트로 들어오는 요청을 그 데몬에게 전달하도록 설정되어 있다면, 사용자가 그 포트로 telnet과 같은 서비스를 사용해 연결하려고 시도하면, 해당 데몬은 사용자의 쉘에 접근하거나 탈취할 수 있게 됩니다.

 

만약 쉘을 탈취하는 데몬이 특정 포트에 연결되어 있고, xinetd가 해당 포트로 들어오는 요청을 그 데몬에게 전달하도록 설정되어 있다면, 사용자가 그 포트로 telnet과 같은 서비스를 사용해 연결하려고 시도하면, 해당 데몬은 사용자의 쉘에 접근하거나 탈취할 수 있게 됩니다.

 

백도어란

백도어는 시스템의 정상적인 인증 절차를 우회하여 비밀리에 접근할 수 있는 비밀 경로를 의미합니다. 이는 보안 시스템을 우회하거나 제어할 수 있는 능력을 제공하므로, 악의적인 목적으로 사용될 수 있습니다.

 

conlimit으로 원격에서 SSH 연결 수를 제한할 수도 있다.

conlimit은 원격에서 SSH 연결 수를 제한할 수 있는 명령어입니다. conlimit 명령어를 사용하면 특정 IP 주소에서 SSH 연결을 허용할 수 있는 최대 수와 SSH 연결을 시도한 후 잠시 동안 연결을 차단하는 시간을 설정할 수 있습니다.

 

/etc/ssh/sshd_config 설정에서 SSH 연결을 제한할 수도 있다.

port 20022 식으로 포트도 지정하고,

PermitRootLogin no AllowUsers centos ubuntu

식으로 root 로그인을 막고 접속 가능한 user들을 설정해줄 수도 있다.

 

PAM

/etc/pam.d 디렉터리에 모듈 설정을 해두면 sshd 등에 있는 개별적인 설정보다 우선한다.

일관성 있는 설정을 할 수 있다.

 

PAM은 사용자 인증, 계정 제한, 패스워드 관리 등 다양한 인증 작업을 처리하기 위한 표준화된 API를 제공하는 시스템인데,

PAM에 설정해두면 각각의 설정이 하위 시스템에 일괄 적용된다.

 

PAM의 장점은 유연성에 있다. 개발자들은 PAM 모듈을 작성하고, 이를 조합하여 원하는 인증 방식을 구현할 수 있다.

시스템 관리자는 이러한 모듈들을 이용하여 각 서비스별로 서로 다른 인증 매커니즘이 필요한 경우에도 유연하게 대응할 수 있다.

 

사용자 관련 파일

 

/etc/passwd : 사용자 계정 정보가 포함되어 있는 파일

 

/etc/shadow : 사용자의 암호화된 비밀번호가 저장되어 있는 파일

 

/etc/group : 그룹 정보가 저장되는 파일

 

/etc/login.defs : 사용자 계정 생성과 관련된 기본 설정을 정의 하는 파일

 

/etc/default/useradd : useradd 명령어의 기본 옵션을 설정하는 파일

 

/etc/skel : 새로운 사용자의 홈 디렉터리에 복사될 초기 파일 및 디렉터리를 포함하는 디렉터리

 

/etc/login.defs에서 할 수 있는 설정

 

 

 

암호 생성 알고리즘 변경(더 간단하게)

 

 

사용자를 만들면서 패스워드도 한꺼번에 만들기

JavaScript

복사

adduser tester1 ; echo "tester1:tester1" | chpasswd

​

 

 

 

터미널에 대한 것들

 

 

 

터미널	설명
console	사용자와 컴퓨터가 주고받는 일반적인 인터페이스를 말한다.
tty (Tele-TYpewriter)	tty1~tty11까지 있는데 root가 이 가상 터미널을 통해서 접속할 수 있다. 보통 tty0는 모니터/키보드에게 할당되고, tty1 이상부터 가상콘솔이 된다. 따라서 tty1만 놔두는 것이 보안에 좋을 수 있다. 보통 런레벨3 CLI에서 실행되는 콘솔이다. terminal이라고도 한다.
ttys	(TTYserial) IoT의 Arduio 등에서 외부와 Serial(COM 포트) 접속 시 열리는 CLI 콘솔이다.
vc	(virtual console) pts(Pseudo Terminal Slave)로써 X manager에 의해서 X.org 접속 시 열리는 GUI 콘솔 로 telnet, ssh 등 terminal 접속 시 사용된다. pts/1~pts/11로 표시되는데 원격지에서 root 접속을 막으 려면 이 화면을 비워두거나 필요한 console, vc1, tty1만 주석#을 제거해두면 된다. 런레벨5 GUI에서 실 행하는 콘솔이다. vc는 /dev/pts이다.
pty(Pseudo Terminal device)	GUI 환경의 xterm, screen 등에서 사용되는 터미널로써 보통 게임기 등에서 열리는 그래픽/텍스트의 가상콘솔이다.
hvc (HyperVisor Console)	HyperVisor Serial 연결을 위한 콘솔이다.

JavaScript

복사

cat /etc/securetty

​

 

 

 

su와 sudo

su

일반 사용자가 root 관리자로 완전히 전환되는 것으로 다시 일반 사용자로 돌아가려면 exit 해야 한다.

sudo

일반 사용자가 /etc/sudoers 파일에 들어 있거나 %wheel 그룹의 일원일 때 root 관리자 권한의 명령어를 일시적(5분)으로 root의 패스워드를 넣지 않아도 root 권한을 사용할 수 있는 여전히 일반 사용자 상태이다. 따라서 일반 사용자로 돌아갈 때 exit 할 필요가 없다.

 

root 사용자에게 시스템의 어떤 컴퓨터에서든 모든 사용자로 모든 명령을 실행할 수 있는 권한을 부여합니다.

 

root: 이 규칙이 적용되는 사용자 (여기서는 root 사용자).

 

첫 번째 ALL: 이 규칙이 적용되는 호스트 (여기서는 모든 호스트).

 

(ALL): root 사용자가 다른 사용자로 명령을 실행할 수 있는 권한 (여기서는 모든 사용자).

 

두 번째 ALL: root 사용자가 실행할 수 있는 명령 (여기서는 모든 명령).

 

vim /etc/pam.d/su에 설정해주면

wheel 그룹에 속한 애들만 su를 사용할 수 있다.

 

중요 명령어는 root만 사용하게 한다.

root조차 속성을 변경하지 못하는 명령어

chattr +i /etc/bin

lsattr

chmod 750 /usr/bin/top

 

$PATH

PATH는 컴퓨터가 명령어를 실행할 파일을 찾을 위치의 목록이다. echo $PATH를 입력하면, 그 위치의 목록을 볼 수 있다.

예를 들어, PATH가 /usr/bin:/bin:/usr/local/bin라면, ls와 같은 명령어를 실행할 때 컴퓨터는 차례로 /usr/bin, /bin, /usr/local/bin 디렉토리에서 해당 명령어를 찾습니다.

따라서 echo $PATH 명령어는 현재 시스템에서 명령어를 찾을 수 있는 위치를 확인하는 데 유용하다.

 

명령어를 실행할 때 앞에서부터 차례로 디렉터리에서 해당 명령어를 찾아 실행해준다.

 

FTP 배너 설정

 

 

 

가상파일 시스템 /proc

Linux 시스템은 시스템이 부팅할 때 하드디스크에 저장된 /etc/sysctl.conf 파일에 설정된 커널 값을 사용해서 시스템을 운영한다. 하지만 시스템은 하드디스크에서 정보를 읽는 것보다 메모리에서 정보를 읽는 것이 1,000배는 빠르므로 하드디스크 /etc/sysctl.conf 파일에 설정된 커널 값을 메모리의 /proc 디렉터리에 올려두고 사용하면 효율이 훨씬 좋게 된다. 메모리에 있는 /proc 파일시스템은 하드디스크에 있는 /etc/sysctl.conf 파일의 복사본이라고 볼 수 있다. 커널에 대한 디폴트 modular 방식(HDD에서 정보를 읽어 옴, 큰 용량의 프로그램)과 monolithic 방식(HDD의 정보를 RAM으로 옮긴 뒤 RAM에서 정보를 읽어 옴, 작은 용량의 프로그램)의 차이와 유사한 개념으로 볼 수 있다.

 

/etc/sysctl.conf는 Windows에서의 레지스트리와 유사한 개념으로 여기서 설정한 대로 머신이 실행된다. HDD의 /etc/sysctl.conf 파일에서 어느 커널의 설정 값을 변경하면 RAM의 /proc 파일시스템에 해당 값이 바로 변경되어 반영된다. 따라서 시스템 설정파일 /etc/sysctl.conf에서의 각 설정값과 가상 파일시스템 /proc 디렉터리의 각 파일에서의 설정 값은 같다. 하지만 머신이 꺼지면 메모리의 정보가 휘발성(volatile)이어서 모두 없어지므로 /proc의 내용이 모두 없어지고 하드디스크에 있는 /etc/sysctl.conf 파일의 설정만 존재하게 된다.

 

/proc 파일시스템은 메모리상에서 실행되고 있는 모든 Linux 커널 자원들에 대한 정보를 PID로 구별해서 보관하고 있다. 하지만 이 /proc 파일의 값은 물리적으로 존재하는 것이 아니라 머신이 실행되는 동안만 메모리에 일시적으로 존재하기 때문에 /proc를 '가상 파일 시스템'으로 부른다. 따라서 /proc 파일시스템에서 중요한 설정을 변경하고 재부팅 후에도 계속 그 설정이 적용되게 하려면 하드디스크에 있는 /etc/sysctl.conf 파일에 설정을 저장해 두어야 한다. 예를 들어서 시스템 사용 중에 보안에 대한 SELinux를 setenforce 0 해서 일시적으로 Permissive로 해두는데, 이는 메모리의 /proc에서의 설정이기 때문에 현재 실행되는 시스템에서 일시적으로 적용되는 설정이고 머신이 리부팅되면 메모리에서 이 정보는 사라지고 원래 HDD의 /etc/selinux/config 에서의 설정이 적용되어 다시 Enforcing이 되는 것을 생각해보면 이해가 될 것이다.

 

① nano /etc/sysctl.conf 해서 파일을 열고 원하는 파라미터_변수의 값을 변경 ⇒ 영구 ② echo “값” >> /proc/파라미터_변수 해서 /proc에서의 파라미터_변수의 값을 변경 ⇒일시적 ③ sysctl –w 파라미터_변수=값 해서 원하는 파라미터_변수의 값을 변경해서 물리적으로 변경 ⇒ 일시적

 

가상 파일 시스템을 쓰는 이유?

1. 하드보다 천 배 속도가 빠르다는 장점이 있고,

 

급히 작업을 할 때 매우 좋다. 포트 80번을 막을 때 하드 설정으로 막는 것보다 일시적으로 메모리에서 값을 막아주는 것이 굉장히 적용이 빠르다. 어느 세월에 하드를 열고 설정을 바꾸고 설정 적용을 해주고… 메모리는 명령어 하나로 쉽게 변경할 수 있다. 현재 우리가 사용하는 RAM은 DRAM 전기가 없으면 날아간다. SRAM은 캐시 메모리에 쓴다. 껐다 켜도 살아있다. 전기가 없어도 정보를 저장하니까 Non-volitile 용량은 작지만 비싸다. CPU, Motherboard, graphic card에 있는 것은?????ㅣl3 cache memory

 

/proc 가상 파일 시스템과 가상 메모리 Swap memory의 차이점

/proc 가상 파일 시스템

 

/proc는 컴퓨터의 뇌와 같은 운영체제의 '정보 센터'라고 볼 수 있습니다.

 

여기에는 현재 시스템이 어떻게 돌아가고 있는지에 대한 모든 정보가 들어 있습니다.

 

하드디스크에 저장된 것이 아니라 메모리에 직접 올려둡니다. 그래서 빠르게 접근할 수 있어요.

 

/proc 디렉터리를 통해 설정을 일시적으로 변경하거나 커널의 동작을 확인할 수 있습니다.

Swap 메모리

 

swap 메모리는 컴퓨터의 '추가 저장 공간'이라고 생각하면 됩니다.

 

컴퓨터의 주 메모리(RAM)가 다 차면, 사용하지 않는 일부를 swap 공간에 잠시 놓아둡니다.

 

swap은 하드디스크에 있기 때문에 주 메모리보다는 느립니다.

 

필요할 때 다시 가져와 사용합니다.

스왑 메모리란, 실제 메모리 Ram이 가득 찼지만 더 많은 메모리가 필요할때 디스크 공간을 이용하여 부족한 메모리를 대체할 수 있는 공간을 의미합니다.

실제 디스크 공간을 메모리처럼 사용하는 개념이기 때문에 가상 메모리라고 할 수 있습니다.

속도면에서는 실제 메모리가 아닌 하드디스크를 이용하는 것이기 때문에 메모리 속도면에서는 현저히 떨어진다고 할 수 있습니다.

 

차이점

 

/proc는 시스템의 상태와 정보를 나타내는 가상의 '정보 센터'입니다. 실제 저장 공간을 차지하지 않고, 정보를 빠르게 확인하거나 변경할 수 있습니다.

 

swap은 주 메모리가 부족할 때 임시로 사용하는 '추가 저장 공간'입니다. 하드디스크에 있어서 실제 저장 공간을 차지하고 느릴 수 있습니다.

간단히 말하면, /proc은 커널과 시스템의 현재 상태를 빠르게 확인하고 조작할 수 있는 '정보 센터'이고, swap은 메모리가 부족할 때 사용하는 '추가 저장 공간'입니다.

 

Swap, buffer, cache 메모리 설명과 차이점

 

Swap 메모리:

 

설명: RAM이 가득 찼을 때 사용되는 디스크 공간으로, 비활성 프로세스를 임시로 저장합니다.

 

특징: 하드 드라이브나 SSD에 위치하므로 RAM보다 느립니다.

 

Buffer 메모리:

 

설명: 데이터를 한 장치에서 다른 장치로 전송하는 동안 일시적으로 그 데이터를 보관하는 메모리 영역입니다. 예를 들어, 키보드 입력을 CPU가 처리할 수 있을 때까지 저장하는 역할을 합니다.

 

특징: 데이터 전송의 일시적인 지연을 줄여주며, 일반적으로 빠른 액세스가 필요한 경우에 사용됩니다.

 

Cache 메모리:

 

설명: CPU와 RAM 사이의 고속 메모리로, 자주 사용되는 데이터나 명령을 빠르게 접근하기 위해 사용됩니다.

 

특징: RAM보다 빠르고 비싸며, 효율적인 데이터 액세스를 위해 사용됩니다.

차이점:

 

용도:

 

Swap은 물리 메모리가 부족할 때 사용됩니다.

 

Buffer는 데이터 전송 중 잠시 보관할 때 사용됩니다.

 

Cache는 자주 사용되는 데이터를 빠르게 액세스하기 위해 사용됩니다.

 

속도:

 

Swap은 비교적 느립니다.

 

Buffer와 Cache는 더 빠른 액세스를 제공합니다. 특히 Cache는 고가의 고속 메모리를 사용할 수 있습니다.

이러한 차이점들은 각 메모리 유형의 목적과 그에 따른 설계 방향을 반영합니다.

 

스머프 공격

출발지 ip를 자신의 ip가 아닌 타겟 머신의 ip로 속인다(IP Spoofing). 그리고 특정 네트워크의 브로드캐스트 영역에 ICMP echo request 패킷를 보낸다. 그러면 그 네트워크 내의 호스트들이 ICMP echo reply 패킷으로 응답하는데, 출발지 ip가 타겟 머신의 ip로 위조되어 있으므로 타겟 머신은 DoS 공격을 받게 되는 것이다.

 

예를 들어 내가 친구인 것처럼 속여 내 발신번호를 바꿔서 여러 전화번호부에 있는 모든 사람에게 “연락 주세요”라고 무작위로 뿌린다. 그러면 수많은 연락처에서 연락이 다 오게 되고, 그 친구는 할 일을 못하게 되거나 받느라 지쳐 뻗어버리게 된다.

 

대응 방법

ICMP 필터링:

 

라우터나 방화벽에서 불필요한 ICMP 트래픽을 차단하거나 제한합니다.

 

스머프 공격의 일부로 오는 ICMP 요청을 거부하도록 설정할 수 있습니다.

echo_ignore_all(또는 broadcast) 설정 1로 바꾸기

proc/sys/net/ipv4/icmp_echo_ignore_all=1로 바꾸기

Shell

복사

sysctl -w net.ipv4.icmp_echo_ignore_all=1

​

이러한 설정은 시스템이 ICMP Echo Request (ping) 메시지에 응답하지 않게 하게 한다.

출발지 IP 검증:

 

라우터에서 출발지 주소가 유효한지 확인하여 위조된 출발지 주소로부터 오는 트래픽을 차단합니다.

안티-DDoS 서비스 이용:

 

DDoS 공격 방어 전문 서비스를 사용하여 트래픽의 양과 유형을 모니터링하고 의심스러운 트래픽을 차단합니다.

+내 네트워크의 브로드캐스트 주소로 오는 ICMP 요청 차단(내 전화번호부에 연락 못하게 막기)

 

내 서버가 증폭기로 사용되는 것을 막기 위해 사용

 

라우터나 방화벽에서 브로드캐스트 주소로 들어오는 ICMP 요청을 차단하도록 설정합니다.

 

Land 공격

랜드 공격은 해커가 출발지 주소와 포트를 임의로 변경해서 출발지와 목적지 주소를 동일하게 하는 패킷을 보낸다. 이렇게 하면 서버는 자기 자신과 연결을 맺음으로써 실행 속도가 느려지고 동작이 마비된다.

=>패킷 헤더를 검사하는 알고리즘을 넣어서 출발지와 목적지가 동일한 주소를 가진 패킷을 막게 해야 한다.

 

SYN FLOODING 공격

=>SYN Flooding 공격은 두 노드 간 TCP 연결인 3-way handshakes를 이용한 일종의 DoS(Deny of Service) 공격이다. 일반적으로 TCP에서의 3-way handshakes 연결은 a. 클라이언트가 먼저 서버에게 SYN를 보내서 서버에게 연결을 요청하면 b. 서버는 SYN+ACK를 클라이언트에게 보내서 연결을 기다리고 c. 이제 클라이언트가 ACK를 서버로 보내서 서로 연결되는 과정을 가진다.

하지만 클라이언트(해커)는 이런 연결을 교묘하게 속여서 침투하는데 a. 클라이언트가 서버에게 SYN1를 보내고, b. 서버가 SYN1+ACK1을 보내오면, c. 원래대로라면 클라이언트가 ACK1을 응답으로 보내서 연결해야 하는데 ACK1을 보내지 않고, 또 다른 SYN2를 보낸다. c. 이제 서버가 이에 대한 SYN2+ACK2를 보내면, d. ACK2를 응답으로 보내지 않고, 또 SYN3를 보내고,...하는 식으로 계속 SYN만 보내고 실제 연결을 맺지 않는 공격이다. e. 그러면 서버는 각각의 연결요청 SYN1, SYN2, SYN3, ...를 로그에 파일로 저장해 두고 포트를 열어두고(이를 half-open 상태로 부름) 각각의 ACK를 클라이언트로부터 기다린다. 계속된 SYN 요청으로 인해 연결 설정 정보를 저장해두는 로그파일(Backlog Queue라고 함)의 용량이 다 차면 서버가 서비스 불능이 되게 된다.

 

대응1: backlog queue 용량 늘리기

=>이런 syn_flooding 공격을 막으려면 서버의 로그가 저장되는 이 backlog queue 용량을 늘려서 syn_flooding 공격을 견뎌낼 동안 관리자가 선제적(proactive)조치를 취해서 막으면 된다.

 

대응2: tcp_syncookies 사용

서버가 공격으로 인해 과부하되는 것을 방지하기 위해, 메모리를 절약하면서도 진짜 연결 요청을 처리할 수 있는 방법을 제공

 

tcp_syncookies 설정은 SYN 쿠키 기능을 활성화하는 것으로, 이는 SYN 플러드 공격과 같은 DDoS 공격을 방어하는 데 사용됩니다.

SYN 플러드 공격에서는 공격자가 대량의 SYN 패킷을 서버로 보내어 연결 큐를 포화시키고, 합법적인 연결 요청이 서버에 도달하지 못하게 합니다.

tcp_syncookies 기능을 활성화하면, 서버는 전체 TCP 연결 상태를 추적하기 보다는 SYN 쿠키라는 특별한 기법을 사용하여 연결 정보를 보관하고 기록합니다. 이 방식은 연결 큐에 사용되는 자원을 크게 줄이므로, 서버가 SYN 플러드 공격에 대한 내성을 향상시킬 수 있게 합니다.

 

Shell

복사

sudo sysctl -w net.ipv4.tcp_syncookies=1

​

 

 

 

연결 요청이 너무 많아 서버의 SYN 큐가 가득 차면, 서버는 SYN 쿠키를 사용하여 연결 정보를 기록합니다. (SYN 쿠키를 사용하여 더 적은 용량으로 연결 정보를 기록한다.)

 

SYN 쿠키는 연결 요청의 특정 정보를 암호화하여 만든 작은 데이터 조각입니다.

 

서버는 연결 요청에 대한 정보를 별도의 메모리에 저장하지 않고, SYN 쿠키만 보관합니다.

 

클라이언트가 올바른 응답(ACK 패킷)을 보내면, 서버는 SYN 쿠키를 확인하여 연결을 완료합니다.

 

tcp_syncookies 기능을 더 간단하게 설명해 드리겠습니다.

 

공격 상황: 공격자가 서버에게 수많은 연결 요청을 보내 서버를 고갈시키려고 합니다.

 

SYN 쿠키 사용: 서버의 연결 대기열이 가득 차면, tcp_syncookies가 켜져있다면 서버는 특별한 "SYN 쿠키"를 만들어 이 정보를 보관합니다. 이것은 일종의 비밀 메모 같은 것입니다.

 

메모리 절약: 서버는 이 SYN 쿠키만 간단히 기록하고, 다른 연결 정보는 버립니다. 이로 인해 많은 메모리를 절약합니다.

 

진짜 연결 확인: 클라이언트가 진짜로 연결하려고 할 때, 서버는 SYN 쿠키를 확인하고 연결을 완료합니다.

간단히 말하면, tcp_syncookies는 서버가 공격으로 인해 과부하되는 것을 방지하기 위해, 메모리를 절약하면서도 진짜 연결 요청을 처리할 수 있는 방법을 제공합니다.