IT창고

리눅스와 윈도우의 접근제한에 대해 알아보겠습니다.접근제한은 해당 시스템에 계정을 만들어두고 시스템에서 자신의 계정이 권한이 할당된 폴더에 접근이나 파일생성을 정할수있습니다. 윈도우와 리눅스의 폴더 접근 및 권한을 부여하는 방법에 대해 알아보도록 합니다. 위의 사진 기준으로 폴더를 만들어 계정에 권한을 부여할 것이며 조건은 아래와 같습니다. 1. Administrator, ceo 계정은 모든 폴더에 접근이 가능하며 읽고 쓰기 권한이있습니다.2. a, c는 해당 폴더의 관리자 계정입니다.3. 관리자 계정은 모든 폴더의 읽기가 가능합니다. 단 해당 폴더에 존재하는 일반계정은 본인 소속팀 폴더의 읽기, 쓰기 권한만 가집니다.4. a계정은 sales, main폴더에 쓰기권한도 같이 부여합니다.5. codegsk ..

리눅스에서 일반계정에게 특정 디렉토리의 접근 권한을 주는 방법을 알아보겠습니다.테스트를 위하여 최상위 디렉토리에 testgsk 디렉토리를 만들어두고 테스트 계정인 일반계정 a , b 계정을 만들어두었습니다. 지금 권한을 보면 other권한은 r x 읽기와 실행이 가능합니다. chmod 750 /testgsk 로 other권한을 없애줍니다. putty로 일반계정으로 접속했습니다. testgsk 디렉토리에 접근했지만 권한이 없어 접근할수 없습니다. 리눅스에는 setfacl 명령어가 있습니다. 이 명령어로 일반계정에게 권한을 부여해줄수있습니다.확인해볼 옵션으로 -m옵션으로 권한을 부여하며 -b옵션으로 권한을 모두 지울수있습니다. getfacl 명령어로 권한상태를 살펴보면 a계정에게 부여된 권한을 확인해볼수있습..

2018/07/02 - [보안/Security] - 리눅스 SELinux 1에 이어서 진행합니다. File Security Contexts에 대해 알아보겠습니다.File Security Contexts는 파일의 레이블 지정은 각 파일에 대해 올바른 접근 제어를 위한 필수요소입니다. 테스트를 해보겠습니다.ls -Z 명령어로 SELinux 사용자를 확인할수있습니다. 해당 파일의 보안컨텍스트 레이블을 chcon -u 옵션으로 system_u 로 레이블을 변경할 수 있습니다. SELinux 보안컨텍스트 중 guest_u, user_u, sysadm_u가 있는데 이 3개를 다른 계정 3개에 매핑하도록 하겠습니다. useradd -Z 명령어로 계정을 만듬과 동시에 SELinux사용자와 매핑할수있습니다. yum -y..

SELinux에 대해 알아보겠습니다.SELinux(Security-Enhanced Linux)는 미국 국가 안전 보장국(National Security Agency, NSA)을 중심으로 2000년에 개발된 오픈소스 리눅스 보안모듈입니다. Red Hat배포판에 채택되며 알려지기 시작했으며 현재는 다양한 배포판 및 조직에서 사용되고 있습니다. 현재 우리나라에서는 SELinux를 사용하는 기업이 거의 없습니다. SELinux는 시스템 데몬의 버그를 통해 루트권한을 획득하더라도 해당 데몬에서만 루트 권한을 행할수있고 다른 시스템의 루트권한에는 제약을 두어 시스템 보안을 높여줍니다. SELinux가 활성화가 되어있을 경우 /selinux 디렉토리안에 디렉토리와 파일들이 존재합니다. 만약 비활성화 시킬 경우에는 /..

예전에 2018/06/13 - [보안/Security] - 리눅스 서버 보안 1 에서 취약점 분석, 평가를 해보면서 PAM과 관련된 보안 점검항목은 넘기고 진행을 했었는데 이번에는 넘기고 진행했던 PAM 관련 점검항목을 해보도록 하겠습니다. 1.1 root 계정 원격 접속 제한 root 계정으로 직접 로그인하도록 허용하면 불법적인 침입자의 목표가 될 수 있으므로 root 계정 접속에 대한 관리가 필요하며 root 계정의 원격 접속 허용은 공격자에게 더 좋은 기회를 제공할 수 있으므로 root의 원격 접속은 금지하여야 합니다. 보안양호는 원격 서비스를 사용하지 않거나 사용 시 root 계정을 직접 접속을 차단한 경우입니다.cat 명령어로 /etc/pam.d/login 과 /etc/securetty 를 살펴..

PAM의 모듈들에 대해 알아보겠습니다. 로그인 모듈을 알아보겠습니다./etc/pam.d/login 파일이 로그인 프로세스입니다. 가장 처음 auth된 PAM 모듈을 보면 pam_securetty.so파일이 있는데 이 모듈은 /etc/securetty 파일의 내용과 Login프로세스가 전달한 내용을 비교하는 모듈입니다.man명령어로 pam_securetty를 입력하면 자세한 설명이 나와있습니다. 자신이 모르는 모듈이 나올경우 man으로 찾아보도록 합니다.securetty파일에 tty가 콘솔의 터미널입니다. 만약 tty1(콘솔 1번 터미널)이 주석이나 아예없다면 콘솔의 1번 터미널로 접속이 불가능해집니다.올바른 패스워드를 입력해도 접속이 불가능합니다. 테스트환경은 VMware이므로 ctal+alt+f2를 누..

리눅스의 PAM(Pluggable Authentication Modules)은 리눅스 시스템 및 어플리케이션에 제공되는 중앙 집중형 인증 프레임 워크로 PAM은 월래 솔라리스 운영체제용으로 구현되었는데 현재는 대부분의 리눅스 배포판에서 PAM을 사용하고 PAM프로젝트의 목적은 안전한 소프트웨어 개발을 자유롭게 할수있도록 인증체제를 제공합니다. PAM이 없던 이전에는 시스템에 설치된 각 프로그램(ex) telnet,ftp,login)이 개별적으로 인증을 진행했었는데 PAM을 사용하고부터는 중앙 집중형 인증을 통해 접근제어관리를 간소화하고 어플리케이션 개발 시 인증루틴을 작성하지 않아도 되기 때문에 개발의 시간을 단축할수있게 되었습니다. PAM-aware에 대해 알아보겠습니다PAM-aware는 PAM을 이용..

iptables는 리눅스의 방화벽 역활을 하는데 iptables를 사용한 응용을 해보겠습니다.테스트 환경은 테스트PC 2개로 R리눅스는 외부(192.168.1.0/24)와 내부네트워크(10.10.10.0/24)로 연결되며 A리눅스가 내부네트워크로 연결된 상태입니다. R리눅스는 네트워크 랜카드가 2개 외부, 내부네트워크로 연결되어있습니다. R리눅스가 라우터역활을 해서 A리눅스도 외부와 네트워크통신이 가능한데 R리눅스의 iptables를 설정하겠습니다.nat테이블은 라우팅을 위한 테이블로 여기서 들어오는 패킷을 바꿔다른곳으로 바꿔줍니다. A리눅스의 내부에서 외부로 요청하는 경우를 예로 알아보겠습니다. OUTPUT -> POSTROUTING -> PREROUTING -> FORWARD(eth1{10.10.10..

2017/10/15 - [서버운영/Linux] - 리눅스 iptables에서 iptables에 대해 간단히 알아봤습니다. 이번에는 iptables에 대해 좀 더 자세히 알아보도록 하겠습니다.리눅스에서 방화벽 규칙 확인은 iptables -nL --line-numbers 명령어로 확인이 가능합니다. iptables에서 기본적인 filter테이블입니다. -t 옵션으로 테이블을 지정하지 않는다면 filter테이블로 설정됩니다.iptables의 테이블은 filter , nat, mangle, raw 테이블이 있습니다.filter는 패킷 필터링에 사용되는 기본값인 테이블이고 nat는 출발지, 목적지 IP 주소와 포트번호를 변환하는 NAT에서 사용되는 테이블입니다. 그외에 mangle는 패킷 헤더의 특별한 갱신에 ..

2018/06/14 - [보안/Security] - 리눅스 서버 보안2에 이어서 진행합니다. 3.9 RPC 서비스 확인 RPC(Remote Procedure Call)는 분산 환경에서 서버 응용프로그램에 접근하여 특정 작업을 요구하는 Call을 말하는데 불필요한 RPC 서비스 중 아래의 서비스는 버퍼 오버플로우 취약점이 다수 존재하는 서비스입니다. /etc/xinetd.d/ 디렉토리로 가서 위에 해당 하는 서비스별 파일명을 확인합니다. 만약있을 경우 vi 편집기로 해당 파일을 열어 Disable = yes 설정으로 바꿔줍니다. 3.10 NIS, NIS+ 점검 NIS(Network Information Service)는 주 서버는 정보표를 소유하여 NIS 대응 파일들로 변환하고, 이 대응 파일들이 네트워크..