전산직의 삶

리눅스 서버 취약점 보안

취약점 점검항목: 11. 원격 로그인 또는 원격 쉘 등 사용 설정 유무

취약점 점검기준

  - 양호기준: r 계열 서비스가 비활성화 되어 있는 경우 양호합니다.
  - 취약기준: r 계열 서비스가 활성화 되어 있는 경우 취약합니다.

취약점 점검방법

  - sudo 권한이 있는 아이디 쉘 접속 후 루트 권한을 얻어서 작업하시길 바랍니다.
    $sudo su - 

  - LINUX: rsh, rlogin, rexec (shell, login, exec) 서비스 활성화 되어 있는 경우 취약합니다.

    #ls -alL /etc/xinetd.d/* | egrep "rsh|rlogin|rexec" | egrep -v "grep|klogin|kshell|kexec"

  - 최신버전 리눅스에서는 systemctl status로 확인 가능합니다.

    #systemctl status rsh.socket

    #systemctl status rlogin.socket

    #systemctl status rexe.socket

  ※ rsh: TCP포트 512를 통해 리모트쉘. 컴퓨터 네트워크의 다른 컴퓨터에서 다른 사용자로 셸 명령을 실행할 수 있는 명령 줄 컴퓨터 프로그램 입니다.

      rlogin: TCP포트 513를 통해 통신 사용자가 네트워크를 통해 다른 호스트에 로그인할 수 있도록 해주는 프로그램 입니다.

      rexec: TCP포트 514를 통해 호스트에 지정된 리모트 시스템에서 지정된 명령을 실행하는 프로그램 입니다.

   - AIX
    #cat /etc/inetd.conf |grep rlogin (# 처리 되어 있으면 비활성화)

    #cat /etc/inetd.conf |grep rsh (# 처리 되어 있으면 비활성화)

  - HP-UX: r로 시작하는 필드 존재 시 취약합니다.
    #vi /etc/inetd.conf 

  - SunOS: r'command 서비스 활성화 되어 있는 경우 취약합니다.
    #svcs -a |grep rlogin

  - SunOS 5.10 이상 버전: r’command 관련 데몬 확인합니다.
    #inetadm | egrep “shell|rlogin|rexec”

취약점 조치방법

  - LINUX (xinetd일 경우)
    1. vi 편집기를 이용하여 /etc/xinetd.d/ 디렉터리 내 rlogin, rsh, rexec 파일을 연 후
    2. 아래와 같이 설정 (Disable = yes 설정)
    #vi /etc/xinetd.d/rlogin
    #vi /etc/xinetd.d/rsh
    #vi /etc/xinetd.d/rexec
service rlogin
{
  socket_type = stream
  wait = no
  user = nobody
  log_on_success += USERID
  log_on_failure += USERID
  server = /usr/sbin/in.fingerd
  disable = yes
}
    3. xinetd 서비스 재시작
     #service xinetd restart

  - LINUX (systemctl stop 및 disable 방법)

    #systemctl stop rsh.socket

    #systemctl disable rsh.socket
    #systemctl stop rlogin.socket

    #systemctl disable rlogin.socket

    #systemctl stop rexec.socket

    #systemctl disable rexec.socket

  - AIX
    1. r 계열 서비스 활성화 여부 확인합니다.
    #cat /etc/inetd.conf |grep rlogin (# 처리 되어 있으면 비활성화)
    #cat /etc/inetd.conf |grep rsh (# 처리 되어 있으면 비활성화)

    2. /etc/hosts.equiv 파일은 TRUSTED 시스템을 등록합니다.
    3. .rhosts 파일은 사용자 별로 'r'command를 통해 접근이 가능하도록 설정할 수 있음($HOME/.rhosts) 

  - HP-UX
    1. r 계열 서비스 활성화 여부 확인 
    # vi /etc/inetdconf
    2. r로 시작하는 필드 주석처리 후 재가동
    # inetd -c

  - SunOS 
    1. r 계열 서비스 활성화 여부 확인 후 비활성화 조치
    #svcs -a |grep rlogin
    #svcadm disable svc:/network/login:rlogin

  - SunOS 5.10 이상 버전 
    1. r’command 관련 데몬 확인
     • svc:/network/login:rlogin
     • svc:/network/rexec:default
     • svc:/network/shell:kshell
    2. inetadm –d "중지하고자 하는 데몬" 명령으로 데몬 중지
    #inetadm -d svc:/network/login:rlogin
    #inetadm -d svc:/network/rexec:default
    #inetadm -d svc:/network/shell:kshell

리눅스(유닉스) 취약점 점검 전체보기

라즈베리파이4 한글 입력 하기

라즈베리파이 OS를 설치하고 처음 부팅하면 한글입력이 안되고 영어 입력만 됩니다.
라즈베리파이를 쉘에 명령어만 사용하는 사용자라면 한글 이용이 거의 없겠지만,
라즈베리파이를 데스크톱으로 사용할 경우나 프로그램 개발 시 주석으로 한글 설명을 넣을 경우에는 한글 입력이 필요할 수 있습니다.

한글 입력을 사용하기위해 쉘에 접속하여 2가지 프로그램을 설치합니다. 1. fcitx  2. fcitx-hangul

$sudo apt-get install fcitx -y

$sudo apt-get install fcitx-hangul -y

다음은 입력기 설정에서(im-config) 디폴트 모드값이 fcitx로 설정되었는지 확인하고 auto로 되어있다면 fcitx로 수정해줍니다.

$sudo vi /etc/default/im-config

IM_CONFIG_DEFAULT_MODE=fcitx

라즈베리파이 아이콘 - 기본 설정 - 입력기 선택합니다.

입력기 설정의 확인을 누릅니다.

업데이트하기위해 입력기 설정의 예를 누릅니다.

디폴트의 라디오를 선택하고 확인을 누릅니다.

마지막으로 확인을 누릅니다.

재부팅을 하고 한글을 입력해 봅니다. 한영 전환키는 컨트롤+스페이스 입니다.

라즈베리파이 전체보기

라즈베리파이4 메뉴 한글로 변경 하기

라즈베리파이 OS를 설치하고 처음 부팅하면 모든 언어가 영어로 나옵니다.
라즈베리파이를 쉘만 사용하는 사용자라면 영어만 나와도 어려움은 없지만,
라즈베리파이를 데스크톱으로 사용할 경우 세팅 부분에서 불편함을 느끼실수 있습니다.

메뉴를 한글로 변경하기 위해서 라즈베리아이콘 - Preferences - Raspberry Pi Configuration 으로 들어갑니다.

Localisation 탭으로 이동하고 Set Locale.. 클릭합니다. 그리고 아래와 같이 설정하고 OK를 클릭합니다.

  - Language: ko (Korean)

  - Character Set: UTF-8

Set Timezone... 클릭합니다. Area: Asia / Location: Seoul 설정하고 OK를 클릭합니다.

Set WLAN Country... 클릭합니다. Country: US United States 설정하고 OK를 클릭합니다.

※  US를 선택하지않고 KR Korea (South) 선택 시 와이파이가 잡히지 않는 버그가 있습니다.

마지막으로 Configuration의 OK를 누르면 재부팅이 필요하다는 창이 뜹니다. Yes를 눌러 재부팅을 합니다.

재부팅 후 라즈베리파이 OS의 메뉴를 보면 한글로 나오는 것을 확인할 수 있습니다.

라즈베리파이 전체보기

라즈베리파이4 한글 깨질때 정상적으로 보이게 하기

라즈베리파이 OS를 설치하고 처음 부팅하면 모든 언어가 영어로 나옵니다.

라즈베리파이를 쉘만 사용하는 사용자라면 한글이 깨져 나와도 크게 어려움은 없지만,

라즈베리파이를 데스크톱으로 사용할 경우 브라우저에서 한글사이트에 접속하면 한글이 모두 깨져 나오게 됩니다.

크로미움을 열어 네이버에 들어가면 한글이 모두 깨져 보일겁니다.

먼저 한글이 정상적으로 표현될 수 있도록 쉘에서 fonts-unfonts-core를 설치해 줍니다.

$sudo apt-get install fonts-unfonts-core

이제 크로미움으로 네이버에 접속을 하면 한글이 정상적으로 표현 됩니다.

다음편에서는 라즈베리파이 OS의 패널과 메뉴들이 한글로 나올 수 있도록 설정하는 방법을 알려드리겠습니다.

또한, 라즈베리파이 OS에 한글을 입력할 수 있게 하는 설정하는 방법에 대해서도 말씀드리겠습니다.

라즈베리파이 전체보기

리눅스 서버 취약점 보안

취약점 점검항목: 10. 패스워드 관리를 위한 시스템 파일을 root만 수정 권한 소유

취약점 점검기준

  - 양호기준: /etc/passwd 파일 권한이 644 이하인 경우, /etc/shadow 또는 /etc/security/passwd 파일 권한이 400 이하인 경우 안전합니다.
  - 취약기준: /etc/passwd 파일 권한이 644 이하인 경우, /etc/shadow 또는 /etc/security/passwd 파일 권한이 400 이하인 경우 취약합니다.

취약점 점검방법

  - sudo 권한이 있는 아이디 쉘 접속 후 루트 권한을 얻어서 작업하시길 바랍니다.
    $sudo su - 

   - LINUX: /etc/passwd, /etc/shadow 파일권한 확인하기

    #ls -l /etc/passwd

    #ls -l /etc/shadow

- SunOS: /etc/passwd, /etc/shadow 파일권한 확인하기

    #ls -l /etc/passwd

    #ls -l /etc/shadow

  - AIX: /etc/passwd, /etc/security/password 파일권한 확인하기

    #ls -l /etc/passwd

    #ls -l /etc/security/passwd

   - HP-UX: /etc/passwd, /etc/shadow, #ls -l /tcb/files/auth 파일권한 확인하기

    #ls -l /etc/passwd

    #ls -l /etc/shadow

    #ls -l /tcb/files/auth

취약점 조치방법

  - chmod 명령어로 소유자를 root로 바꿔줌

    #chmod 644 /etc/password

    #chmod 400 /etc/shadow

리눅스(유닉스) 취약점 점검 전체보기