25일차(3.20) 보안설정 gcc/c++ root만 사용하도록 하기, 주요 명령어와 환경 설정파일, 파티션, 서비스 데몬 등 백업 해두기, SSH 등 원격연결을 사용자와 포트로 제한하기

기본 보안설정  
  다음은 어느 외국계 기업체에서의 서버(룸)에 관한 보안지침을 정리한 것이다.
① 통풍, 환기, 습도 등이 잘 조절되는 서버 룸에 서버를 설치하고 출입을 엄격히 통제한다. 
② 전원 공급기를 안정시키기 위해서 UPS(Uninterrupted Power Supply)(=무정전전원장치)를 사용한다.
③ 데이터가 외부로 유출되지 않도록 이동 매체(USB, SD-card, DVD, 메일, ...) 사용을 금하는 서버 시스템 설정과 BIOS 설정 화면에 암호를 걸어둔다.  
=>Windows Server에서는 GP(Group Policy) 설정으로 제어판이나 USB 삽입을 막을 수 있다.
④ 사용자의 작업 디렉터리는 디스크 쿼터를 걸 수 있도록 별도의 HDD를 추가해서 사용한다.
⑤ 시스템 파일은 변경되지 않도록 읽기만 가능하게 해두고 수시로 백업해둔다. 
⑥ 시스템에 소프트웨어 설치를 최소한으로 해서 쓸데없는 보안상 허점이 없게 한다. 
=>서버에 설정된 MS Word, Adobe Reader, MySQL 서버, DHCP 서버 서비스 등을 이용해서 해킹
⑦ 부트 로더에 암호를 걸어서 시스템의 부팅 설정을 변경하지 못하게 한다. 
=>Linux에서의 /boot, Windows에서의 win.ini, msdos, sys.ini 등을 Virus로 무력화 시킴
⑧ 시스템 서비스와 서버 서비스 데몬을 최소한으로 설치하고 설정한다.
=>각종 서버 서비스에 대한 취약점이나 실행 구조를 무력화 시킬 수 있다. 
⑨ 관리자의 패스워드를 주기적으로 변경한다.
=>on-line이나 off-line으로 해킹 최종 목표 중 하나이다. 
⑩ 사용자 계정 관리를 철저히 한다. 등등...
=>일반 사용자로 로그인해서 관리자로 가는 권한상승(privilege escalation)을 시도한다. 

 

  이런 것들이 서버 시스템 보안에서 필요한 일들이다. 여기서 
▪ 시스템이란 보통 서버 호스트 머신을 말하고, 
▪ 네트워크는 호스트, 프린터, 라우터나 스위치 등과 같은 노드로 구성된 일단을 말한다.  

** workstation : 도메인(네트워크 장비나 노드 등이 들어 있는 가상의 공간)에 가입된 호스트
   node : 네트워크 카드(NIC: Network Inteface Card)로 연결된 모든 장비(equipment)/ 장치(device)
   host : 일반적으로 IT에서 컴퓨터를 지징하는 말 
->multi-homed machine: NIC가 두 개 이상 붙어있는 호스트
   machine, computer, box : 일반적인 도메인에 가입되어 있지 않은 P2P(Peer 2 Peer) 머신들을 일컫는 용어 <--> server-client로 부른다. 

 

Linux 서버에서의 기본 보안상 주의 점으로 
a) 수시로 Hot Piece(patch update)나 Bug Fix가 이뤄지므로 항상 최신의 상태가 유지되도록 정기적인 업데이트가 중요하다. 
b) 시스템/네트워크에 패치를 업데이트할 때에도 미리 서버 시스템과 두어 대의 클라이언트 시스템으로 이뤄진 Pilot System에 먼저 패치를 적용시켜서 문제가 없는지 관찰 한 뒤에 네트워크에 뿌려야 한다. <-형상서버(Configuration Server) (인터넷으로 나가지 않고 로컬 리포지터리에서 필요한 파일 등을 다운받을 수 있도록 구성해둔 서버)
c) 또 시스템과 소프트웨어 설정에 보안을 지정하는데, 파일/디렉터리에도 적절한 권한을 설정하며, 하드웨어적인 저장장치에 소프트웨어적인 BitLocker(TrueCrypt, Luks, Encrypt, 하드웨어적으로는 TPM(Trusted Platform Module) 카드) 등으로 암호화해두어야 한다.
d) root 계정으로 로그인을 자제하고, su 명령어 사용자도 제한하며, 가급적 sudo를 사용하게 한다. 
e) 시스템 모니터링과 분석도 수시로 수행하고, 
f) 로그 파일 관리(Windows에서는 Event Viewer)에도 주의해야 한다. 
g) 방화벽(FW)뿐만 아니라 침입탐지(IDS:Intrusion Detection System)와 침입예방(IPS:Intrusion Prevention System)(<<알아서 막아줌) 시스템도 라우터(게이트웨이)에서 적절히 설정해 두어야 하고, 
h) 침해 사고 시 피해를 최소한으로 만들기 위해서 SELinux로 중요한 파일과 프로세스별로 권한(Context)을 세분화 시켜둔다. 
i) 또 BIOS를 조절해서 외부 USB나 DVD 등으로 시스템이 부팅되는 것을 막도록 CMOS 설정에 패스워드를 걸어두는 것도 좋은 방법이다. 
j) 그리고 다음도 중요한 보안상 설정이다. 몇 가지를 알아보자.
1-1. 기본 컴파일러 gcc/c++를 root만 사용하도록 퍼미션 변경하기
1-2. 주요 명령어와 환경 설정파일, 파티션, 서비스 데몬 등 백업 해두기
▪ 중요한 명령어가 들어있는 /usr/bin 디렉터리
▪ 시스템 설정 명령어가 들어있는 /usr/sbin, 
▪ 각종 설정파일들이 들어있는 /etc/, 
▪ 부팅과 관련된 /boot, 그리고 
▪ Linux 운영체제가 들어있는 하드디스크인 /dev/sda2(이것은 lsblk 해보면 확인할 수 있다)를 다른 디스크에 백업해두는 것이 좋다.  
1-3. chkconfig로 시작 서비스를 런레벨 별로 제한하기
1-4. xinetd 슈퍼 데몬에 관한 보안도 주의한다. 
1-5. SSH 등 원격연결을 사용자와 포트로 제한하기
1-6. 패스워드와 root 로그인 콘솔에 관한 보안도 주의한다.
1-7. su와 sudo 사용자 제한하기
1-8. 사용자 패스워드 관리하기
1-9. 중요 명령어를 root만 실행시키기
1-10. 커널이나 시스템 정보를 알려주는 배너(banner) 파일 관리하기
1-11. 가상 파일시스템인 /proc 파일 조정하기 
=> /proc를 통한 시스템 설정과 외부 공격 막기
① Telnet, FTP나 SSH, HTTP 서비스와 열린 포트 등 조절하기 
② SYN Flooding 공격 막기
③ Smurf / Land 공격 막기  
④ ICMP Redirect 막기  
⑤ Reverse Path Filtering으로 DDoS(IP spoofing) 막기
⑥ Faked(Rogue) IP Filtering 하기
⑦ Source Route 패킷 전송 막기
⑧ ping이나 tracert에 응답하지 않기 

 

  일반적인 외부공격에 대비하기
1. Buffer Overflow 공격 
2 각종 오류를 이용한 공격
서버 프로그램 설정상 오류를 이용한 공격
초기 패스워드 계속 사용을 이용한 공격
API(어플리케이션) 오류를 통한 공격
Server 오염 공격(XSS, CSRF)
Session Hijacking 공격
SQL Injection 공격
OS Injection 공격
Directory Traverse 공격

 

---

실습

1-1기본 컴파일러 gcc/c++를 root만 사용하도록 퍼미션 변경하기

=>외부에서 타겟 시스템에 침투 한 뒤 개별적으로 생성한 침투코드를 수행시키기 위해서 gcc나 g++ 등의 컴파일 도구가 필요하므로 이들의 사용을 제한해둘 필요가 있다.  gcc와 g++은 모두 GNU C/C++ 컴파일러로써 

• gcc는 ~.c와 ~,cpp 파일은 C와 C++로 구별해서 컴파일하고,
• g++은 ~.c와 ~.cpp 파일을 모두 C++ 파일로 취급해서 컴파일 한다는 면에서 조금 다르다.

yum -y install gcc-c++

gcc의 버전을 사용할 수 있다.

권한이 약한 일반사용자에서도 악성코드를 만들어 컴파일 할 수 있다는 뜻이다.

굉장히 위험하다.

 

아더그룹에도 읽고 실행할 수 있는 권한이 있다. 

(-      rwx          r-x           r-x
파일  user 권한  group권한 other 권한, https://heroineyen.tistory.com/85)

chmod 100 /usr/bin/gcc ##일빵빵

user(root)에게만 실행할 수 있는 권한을 줬다.

 

[centos1@localhost ~]$ gcc -v
bash: /usr/bin/gcc: Permission denied

 

짜잔. 일반 사용자는 이제 악성코드를 컴파일할 수 없게 되었다. 

 

!!!!!!!!!!!!!!!!!!!!

=>chattr(체인지 어트리뷰트), lsattr(엘에스 어트리뷰트) 명령어를 사용해서 root라도 실수로 파일의 속성 변경 하는 것을 금할 수 있다.

루트가 권한을 755->777로 바꾸려고 하는데 안바뀐다.

 

[root@localhost centos1]# chattr -i /usr/bin/gcc && lsattr /usr/bin/gcc
---------------- /usr/bin/gcc
[root@localhost centos1]# chmod 777 /usr/bin/gcc
[root@localhost centos1]# ls -l /usr/bin/gcc
-rwxrwxrwx. 2 root root 768608 Sep 30  2020 /usr/bin/gcc
[root@localhost centos1]# 

 

루트가 어떤 파일에 대해 권한을 바꾸려 하는데 안된다. 어떤 것이 숨어 있는가?

chattr의 i가 숨어있다.

 

---

1-2. 주요 명령어와 환경 설정파일, 파티션, 서비스 데몬 등 백업 해두기

▪ 중요한 명령어가 들어있는 /usr/bin 디렉터리
▪ 시스템 설정 명령어가 들어있는 /usr/sbin, 
▪ 각종 설정파일들이 들어있는 /etc/, 
▪ 부팅과 관련된 /boot, 그리고 
▪ Linux 운영체제가 들어있는 하드디스크인 /dev/sda2(이것은 lsblk 해보면 확인할 수 있다)를 다른 디스크에 백업해두는 것이 좋다.  

 

* du -h 사용량(usage)

df -hT 용량

du -h /usr/bin
du -h /usr/sbin
du -h /etc
du -h /boot

참고로 sda2에는 /, SWAP, /home이 있다.

 

tar cvfz /BAK/bin.tgz /usr/bin/*
tar cvfz /BAK/sbin.tar.gz /usr/sbin/* ###tar.gz(=tgz)
tar cvfj /BAK/etc.tar.bz2 /etc/*

[root@localhost Desktop]# ls -l /BAK
total 110904
-rw-r--r--. 1 root root 74065617 Mar 21 15:35 bin.tgz
-rw-r--r--. 1 root root 11132506 Mar 21 15:41 etc.tar.bz2
-rw-r--r--. 1 root root 28361292 Mar 21 15:39 sbin.tar.gz

 

하드디스크 전체를 백업

dd if=/dev/sda2 of=/BAK/sda1_bak bs=1024K count=1 ; sync

sda2를 복사해 /BAK에 sda1_bak이라는 이름으로, 크기는 1024K, 한 번만, 동기화해. 

 

=>tar cvfz /BAK/boot.tgz /boot/*

 

파티션 백업

참고적으로 partition을 백업해둘 때에는 

sfdisk -d /dev/sda > /BAK/sda_part.txt 식으로 해준다.

/dev/sda 아래에 /dev/sda1(boot), /dev/sda2(/, SWAP, /home)가 있다.

sfdisk -d /dev/sda > /BAK/sda_part.txt

하드의 방이 논리적으로 어떻게 나뉘는지 구조를 백업하는 것 같음

 

=>중요한 데몬 서버 httpd, mysqld, vsftpd, ... 등의 설정 파일도 백업해두기

yum으로 설치하고, httpd.conf가 메인 파일

 

tar cvfz /BAK/http-conf.tgz /etc/httpd/conf

인덱스 홈페이지 백업

 

1-3. chkconfig로 시작 서비스를 런레벨 별로 제한하기

chkconfig --level 3,5 auditd on 해서 3,5레벨에서만 실행되게 하고

chkconfig --additd off 해서 꺼버릴 수 있다.

 

1-5. SSH 등 원격연결을 사용자와 포트로 제한하기

yum -y install openssh-server

연결 성공

 

루트로는 로그인 못하고, 센토스 우분투 사용자를 허락한다.

 

로그인이 안된다.

 

firewall-cmd --permanent --add-port=20022/tcp --zone=public

 

돼야 되는데... 왜 안되니.... 이건 모르겠다 pass

 

[root@localhost ~]# ssh root@localhost -p 20022
root@localhost's password: 
Last failed login: Tue Mar 21 17:13:41 KST 2023 from localhost on ssh:notty
There was 1 failed login attempt since the last successful login.
Last login: Tue Mar 21 17:09:41 2023 from localhost

 

root permit은 yes, allowusers는 root 추가했다.

그랬더니 됨

 

실습 끝