메뉴 건너뛰기

조회 수 7694 추천 수 0 댓글 0
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
?

단축키

Prev이전 문서

Next다음 문서

크게 작게 위로 아래로 댓글로 가기 인쇄
○시스템 보안의 목표
정보의 비밀성, 무결성, 가용성, 기록성 및 부인 봉쇄

1.기본적인 컴파일러 속성을 root만 사용할 수 있도록 퍼미션 변경하기
=gcc, g++ 컴파일러를 roo만 사용할 수 있도록 chmod 100 으로 퍼미션을 변경하고, chattr +i로 속성도 변경한다.
[root@localhost /]#chmod 100 /usr/bin/gcc /usr/bin/g++
[root@localhost /]#chattr +i /usr/bin/gcc /usr/bin/g++
*그리고 난 후 ls, lsattr 명령어로 gcc, g++의 퍼미션, 속성을 확인해보면 변경 여부를 알 수 있다.


2.주요 환경 설정파일 압축 보관하기
→리눅스에서 가장 중요한 환경설정파일은 /etc 디렉토리에 있다. 이 디렉토리를 주기적으로 tar 압축해서 백업한다.
[root@localhost /]# tar -cvzf /etc,tgz /etc

→네임서버나 qmail 서버를 운영하고 있다면 이와 관련된 디렉토리를 주기적으로 백업한다.
[root@localhost /]# tar -cvzf /var/named
[root@localhost /]# tar -cvzf /var/qmail


3.홈디렉토리 파티션과, 백업 파티션을 분리하여 사용한다.

4.런레벨별 시작스크립트 활성화 상황을 분석하고 재정의 한다.
[root@localhost /]# chkconfig --list 로 서비스 목록을 확인한 후 불필요한 서비스는 제거한다.

시작스크립트에서 제거하는 방법은
[root@localhost /]# chkconfig --del 서비스명
이다.


5.ssh 원격 접속 서비스 보안
root 유저로 바로 원격접속 하지 못하도록 설정을 한다.(위험하니까) root 계정을 원격으로 사용하려면 우선 일반 계정으로 원격 접속한 뒤 su명령어를 사용하여 root 계정으로 들어가도록 하는 것이 더 안전하다.
방법 =
[root@localhost /]#vi /etc/ssh/sshd.conf (sshd.conf 파일을 vi 편집기로 열어서)
PermitRootLogin no (39번 라인을 PermitRootLogin no 라고 편집하고, 저장 후 vi에서 나온 후)
sshd 데몬을 재시작 한다.
[root@localhost /]# /etc/rc.d/init.d/sshd restart


6.proftpd 서버에서 chroot 적용 및 root 접속 제한하기
[root@localhost /]# vi /usr/local/server/proftpd/etc/proftpd.conf
# wheel 그룹사용자 이외의 사용자는 자신의 홈디렉토리보다 상위 디렉토리로 이동하지 못하게 함
DeaultRoot ~ !wheel
# root 계정으로 접속을 차단함
RootLogin          off


7.su 명령어는 wheel 그룹 사용자만 실행할 수 있도록 권한을 부여한다.
①단계
[root@localhost /]# chown root.wheel /bin/su
[root@localhost /]# chmod 4750 /bin/su
[root@localhost /]# chattr +i /bin/ su

②단계
/etc/group 파일에서 wheel 그룹에 su명령어 사용을 허용할 유저명을 입력하고 저장한다.
** linux 유저와 lug 유저를 wheel 그룹으로 지정할 경우 →
[root@localhost /]# vi /etc/group
wheel:x10:root,linux,lug
(그리고 저장하고 나온다.)


8.사용자 관련 명령어의 파일 속성을 아무나 변형하지 못하도록 제한한다.
사용자 관련 명령어인 useradd, userdel, 시스템상황을 보여주는 top, 파티션 명령어 fdisk, mkfs.ext3, mkfs, 파일시스템 체크 명령 fsck 등의 명령어는 특정 관리자만 사용할 수 있도록 퍼미션을 750으로 변경하고 파일 속성을 변형하지 못하도록 i옵션을 부여한다.
[root@localhost /]# chmod 750 /usr/sbin/useradd
[root@localhost /]# chmod 750 /usr/sbin/top
[root@localhost /]# chmod 750 /sbin/fdisk
[root@localhost /]# chmod 750 /sbin/mkfs*
[root@localhost /]# chmod 750 /sbin/fsck*


[root@localhost /]# chattr +i /user/sbin/useradd
[root@localhost /]# chattr +i /user/sbin/top
[root@localhost /]# chattr +i /sbin/fdisk
[root@localhost /]# chattr +i /sbin/mkfs*
[root@localhost /]# chattr +i /sbin/fsck*

List of Articles
번호 제목 날짜 조회 수
117 mariadb | my.cnf 설정. MariaDB(5.5.37) utf8 설정 2015.07.16 7780
116 CentOS 7 에 php 설치하기 2015.07.16 7715
115 CentOS 7 에 아파치(httpd) 설치 2015.07.16 10394
114 아파치 설치 2015.07.16 7970
113 시스템 보안점검 명령어들 file 2015.07.08 9444
112 리눅스 계정 파일 위치 file 2015.07.01 8217
111 hp Smart Array CLI 사용해서 논리드라이브 복구(Linux) 2015.06.16 9184
110 fdisk로 파티션 삭제하기 2015.06.10 26512
109 sulinux2.0 NFS 설정 & 공유 2015.06.10 7994
108 리눅스 마운트 (mount)를 해보자 file 2015.06.09 8629
107 리눅스 파티션(partition)을 나눠보자 file 2015.06.09 8502
106 fdisk로 파티션 삭제하기 2015.06.09 21769
105 리눅스,사용자계정(관련 파일,명령어) file 2014.10.30 7680
104 리눅스 기본보안설정(13) file 2014.05.15 7360
103 리눅스 기본보안설정(12) file 2014.05.15 7958
102 리눅스 기본보안설정(11) file 2014.05.15 8415
101 리눅스 기본보안설정(10) file 2014.05.15 7807
100 리눅스 기본보안설정(9) file 2014.05.15 7582
» 리눅스 기본보안설정(1-8) 2014.05.15 7694
98 문자셋 설정, charset 2014.04.29 7538
Board Pagination Prev 1 2 3 4 5 6 7 8 9 10 11 12 Next
/ 12

하단 정보를 입력할 수 있습니다

© k2s0o1d4e0s2i1g5n. All Rights Reserved