리눅스 보안설정
1. 보안업체나 벤더사에서 보안관련 패치가 발표되면 바로바로 패치해 주는 것이 가장 좋은 보안이자 예방 방안 입니다.
(보안취약점 정보와 조치방법 등의 정보를 한국어로 신속하게 확인가능)
운영체제와 주요 공격대상이 되는 서비스나 웹 어플리케이션, 커널 등은 최신의 안정버전으로 유지 될 수 있도록 관리 필요 합니다.
[ yum 활용 자동업데이트 ]
- rpm의 헤더정보를 비교하여 업데이트하고 의존성 문제 자동 해결
- 자신의 서버환경에 적합성 여부 확인 필수
2. 해당 시스템에 꼭 필요한 네트워크서비스만 제공
- 시스템 설치 시 필요한 패키지만 선택하여 설치하고, 사용하지 않는 서비스는 찾아 중지시키는 것이 보안상 바람직합니다.
- 부팅 시 자동으로 시작하는 서비스에 대한 제어는 ntsysv를 실행하여 선택 합니다.
- 현재 부팅 시 자동으로 시작되는 서비스 확인방법 : #chkconfig --list | grep 3:on
- xinetd 서비스에 대해서는 /etc/xinetd.conf에서 제한할 서비스에 대해 “disable=yes”로 설정하거나 /etc/xinetd.d에 있는 각 서비스별 파일을 삭제한 뒤 xinetd 데몬을 재시작
<ssh의 경우 원격에서 root로 로그인 금지>
sshd_config 파일의“PermitRootLogin =yes”을 주석을 없애고“no”로 설정 합니다.
3. 사용자 계정관리
- 디폴트 계정에 디폴트 패스워드를 사용하거나 쉬운 패스워드를 가진 계정은 좋은 패스워드를 사용하도록 변경이 필요하며,개인 사용자들에게도 좋은 패스워드를 사용하고 주기적으로 변경 하도록 주지 필요 합니다.
‘John the Ripper’를 활용한 쉬운 암호 사용 계정 검색
- 불필요한 시스템 계정이나 사용하지 않는 계정은 lock을 걸거나 삭제
- lock 설정 : passwd -l username, 삭제 : userdel -r username
rpc (NFS, NIS, Samba 서비스를 제공하지 않을 경우), operator, news, ftp,
games, lp, adm 등의 시스템 계정이나 test, guest 등 임시 계정 등
4. 호스트 단위의 강력한 접근통제 (iptables, tcpwrapper 등의 운영)
Linux 배포판에서 기본적으로 제공되는 iptables나 tcpwrapper를 이용하여 서비스의 특성에 따라 꼭 필요한 IP에서만 접속을 허용하도록 호스트단위에서의 접근통제를 설정하는 보안상 안전합니다.
※ 자체 방화벽 제품을 적용하고 있는 경우 예외
iptables는 모든 서비스에 대한 제어가 가능하고, tcpwrapper는 telnet이나 ftp, ssh 등 inetd 또는 xinetd에 등록된 서비스에 대해서만 접근통제가 가능합니다. 접근통제를 할 때에는 통상적으로 모든 IP에 대해 접근을 차단하고 꼭 필요한 곳만 개별적으로 허가하는 것이 보안상 안전합니다.
< iptables 설정 예 >
192.168.1.0/24 대역만 ssh접속을 허용하고, 그 외 IP에서는 ssh 접근을 차단
허용된 IP에서만 접근을 허용하고 이외의 접속은 거부하도록 설정
# iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 22 -j ACCEPT
# iptables -A INPUT -p tcp --dport 22 -j DROP
< tcpwrapper 설정 예 >
192.168.1.1 호스트는 모든 서비스 허용, ftp서비스는 192.168.1.2 호스트만 허용 그밖에 모든 호스트들은 모든 네트워크 서비스로부터 제한
# vi /etc/hosts.allow
ALL:192.168.1.1
in.ftpd : 192.168.1.2
# vi /etc/hosts.deny
ALL:ALL
5. 최신 보안동향 접하기
성능이 좋은 보안솔루션을 갖추고 정책적으로 잘 정립이 되어 있다고 하더라도 지속적으로 관리와 보완이 이뤄지지 않으면 안전을 보장할 수 없으므로, 수시로 최신 보안동향을 파악 및 적용 필요 합니다.
6. 정기적인 점검 및 분석
서버 시스템에 이상징후나 공격흔적에 대해 관리자가 관심을 가지지 않는다면 침해사고가 발생하는지 여부를 모르고 넘어갈 수도 있기 때문에, 정기적인 점검이 필요합니다.
수시로 모니터링하는 것이 현실적으로 한계가 있으므로 각종 보안도구 를 활용하거나 /etc/cron.daily 파일 등을 활용해 주기적으로 실행하도록 설정 해주는 것도 좋은 방법 입니다.
[취약점 점검 도구]
��Nmap (http://www.insecure.org/nmap/)
대규모 네트워크를 고속 스캔하는 도구로 열린 네트워크 포트나 컨넥션 상태 등을 확인할 때 활용
��Nessus (http://www.nessus.org)
Local과 Remote 컴퓨터의 취약점을 찾아주는 보안취약점 스캐너로 다양한 OS의 시스템 및 네트워크의 보안취약점을 점검하고 편리한 GUI를 제공
��Nikto (http://www.cirt.net/code/nikto.shtml)
CGI 파일에 대한 방대한 취약점 정보를 가지고 있으며, 보안상 안전하지 못한 설정이나 웹 서버 설치시 기본 설치된 파일, 안전하지 못한 스크립트 유무 등 검색
[접근제어 도구]
��iptables (http://www.netfilter.org/)
가장 대중적으로 사용되는 방화벽프로그램으로 상태추적 기능을 이용하여 고급화된 공격도 차단가능하고 포트스캔차단, 국가별차단 등 다양한 기능을 제공하며 NAT나 브리지방식 등 여러 형태의 방화벽 구현이 가능
��Xinetd (http://www.xinetd.org)
inetd와 tcp wrapper의 기능을 효과적으로 확장한 보안 도구로 각 서비스별로 세부적인 설정과 다양한 옵션 설정이 가능하며, 최근 배포판에는 Xinetd가 기본 설치되므로 설정만 해 주면 됨
[무결성 점검도구]
��fcheck
설정이 간단하고 빠르게 동작하여 소규모 서버에서 사용하기에는 fcheck가 유용하며, 설치한 뒤 fcheck.cfg 파일에서 검사하고자하는 디렉토리와 제외시키고자 하는 디렉토리를 지정해 주면 됨
[네트워크∙패킷 모니터링 도구]
��Snort (http://www.snort.org)
Snort는 실시간 트래픽 분석과 IP 네트워크 상에서 패킷 로깅이 가능한 침입탐지 도구로, 프로토콜 분석, 내용 검색/매칭을 수행할수 있으며 오버플로우, Stealth 포트스캔, CGI 공격, SMB 탐색, OS 확인 시도 등의 다양한 공격과 스캔을 탐지
��Tcpdump (http://www.tcpdump.org/)
네트워크로부터 데이터를 수집하고 비트를 해석하기 위해 사용되며, 네트워크 인터페이스로부터 모든 트래픽을 수집하여 콘솔에출력해 줌
참고 : KISA보호나라
'기술자료 > 기술운영자료' 카테고리의 다른 글
| DRBD를 이용한 HA Cluster 구축 (0) | 2016.03.20 |
|---|---|
| 리눅스 OS 성능 개선 Tips (0) | 2016.03.20 |
| yum을 통한 리눅스 패키지 설치 (0) | 2016.03.20 |
| RHEL 계열 Linux 데몬과 프로세스 관리 (0) | 2016.03.20 |
| CentOS 4.x yum 이용하기 (0) | 2016.03.20 |
