전산직의 삶

리눅스 서버 취약점 보안

취약점 점검항목: 9. 패스워드 관리 시스템 파일은 슈퍼관리자만 수정 권한 소유

취약점 점검기준

  - 양호기준: 소유자 설정이 root일 경우 안전합니다.
  - 취약기준: 소유자 설정이 root가 아닐 경우 취약합니다.

취약점 점검방법

  - sudo 권한이 있는 아이디 쉘 접속 후 루트 권한을 얻어서 작업하시길 바랍니다.
    $sudo su - 

   - LINUX: /etc/passwd, /etc/shadow 소유자 확인

    #ls -l /etc/passwd

    #ls -l /etc/shadow

   - SunOS: /etc/passwd, /etc/shadow 소유자 확인

    #ls -l /etc/passwd

    #ls -l /etc/shadow

  - AIX: /etc/passwd, /etc/security/password 소유자 확인

    #ls -l /etc/passwd

    #ls -l /etc/security/passwd

   - HP-UX: /etc/passwd, /etc/shadow, /tcb/files/auth 소유자 확인

    #ls -l /etc/passwd

    #ls -l /etc/shadow
    #ls -l /tcb/files/auth

취약점 조치방법

  - chown 명령어로 소유자를 root로 바꿔줌

    #chown root /etc/password

    #chown root /etc/shadow

  - 데미안, 우분투 계열은shadow파일 그룹이 shadow임

    #chown root:shadow /etc/shadow

리눅스(유닉스) 취약점 점검 전체보기

리눅스 서버 취약점 보안

취약점 점검항목: 8. 안전한 비밀번호 설정(9자리이상 숫자 영문자 특수문자 혼용 , 정기적 변경)

취약점 점검기준

  - 양호기준: 영문∙숫자∙특수문자가 혼합된 9자리 이상의 패스워드가 설정된 경우 양호합니다.
  - 취약기준: 영문∙숫자∙특수문자 혼합되지 않은 9자 미만의 패스워드가 설정된 경우 취약합니다.

취약점 점검방법

  - sudo 권한이 있는 아이디 쉘 접속 후 루트 권한을 얻어서 작업하시길 바랍니다.
    $sudo su - 

  - LINUX: /etc/login.defs 파일 안에 PASS_MAX_DAYS 90 이상, PASS_MIN_DAYS 1 미만, PASS_MIN_LEN 9 미만 설정일 경우 취약하게 됩니다.

    #cat /etc/login.defs | grep PASS

  - LINUX(레드햇, centos): /etc/pam.d/system-auth 파일 안에 

  - LINUX(데미안, 우분투): /etc/pam.d/common-auth 파일 안에  dcredit=-1 ocredit=-1 udredit=-1 lcredit=-1 라인이 없으면 취약하게 됩니다.

    #cat /etc/pam.d/common-auth

  - SunOS: /etc/default/passwd 파일 안에 NAMECHECK=no, MINALPHA=1 미만, MINSPECIAL=1 미만, MINDIGIT=1 미만 설정일 경우 취약하게 됩니다.
    #vi /etc/default/passwd

  - HP-UX: /etc/default/security 파일 안에  PASSWORD_MIN_UPPER_CASE_CHARS=1 미만, PASSWORD_MIN_LOWER_CASE_CHARS=1 미만, PASSWORD_MIN_DIGIT_CHARS=1 미만, PASSWORD_MIN_SPECIAL_CHARS=1 미만 설정일 경우 취약하게 됩니다.
    #vi /etc/default/security

  - AIX: /etc/security/user 파일 안에 minalpha=1 미만, minother=1 미만 설정일 경우 취약하게 됩니다.

    #vi /etc/security/user

취약점 조치방법

  - LINUX: /etc/login.defs 파일 안에 PASS_MAX_DAYS 90 이상, PASS_MIN_DAYS 1 미만, PASS_MIN_LEN 9 미만으로 수정 또는 신규입력 합니다.

    #vi /etc/login.defs 

  - LINUX: libpam-pwquality 필수 설치 (패스워드 설정 강화를 위한 pam 모듈)

    #apt-get -y install libpam-pwquality  

  - LINUX: pam-pwquality.so 파일이 존재하는지 find로 찾아보기

    #find / -name pam-pwquality.so

  - /etc/security/pwquality.conf 파일안에 dcredit=-1 ocredit=-1 udredit=-1 lcredit=-1 수정 또는 신규입력

    #vi /etc/security/pwquality.conf

  - LINUX(레드햇, centos): /etc/pam.d/system-auth, /etc/pam.d/password-auth,파일 안에 

  - LINUX(데미안, 우분투): /etc/pam.d/common-auth, /etc/pam.d/common-password 파일 안에 

  - password required pam-pwquality.so enforce_for_root 삽입

  - password required pam-pwquality.so retry=3 삽입

    #vi /etc/pam.d/common-auth

    #vi /etc/pam.d/common-password

- SunOS: /etc/default/passwd 파일 설정 

    #vi /etc/default/passwd

    NAMECHECK=yes

    MINALPHA=1 이상

    MINSPECIAL=1 이상

    MINDIGIT=1 이상 

  - HP-UX: /etc/default/security 파일 설정

    #vi /etc/default/security
    PASSWORD_MIN_UPPER_CASE_CHARS=1 이상
    PASSWORD_MIN_LOWER_CASE_CHARS=1 이상
    PASSWORD_MIN_DIGIT_CHARS=1 이상
    PASSWORD_MIN_SPECIAL_CHARS=1 이상

  - AIX: /etc/security/user] 파일 설정

    #vi /etc/security/user
    minalpha=1 이상
    minother=1 이상

리눅스(유닉스) 취약점 점검 전체보기

라즈베리파이4 공유기 DDNS 설정하고 DNS로 접속 하기

iptime 공유기는 기본적으로 DDNS 서비스를 지원합니다.

DDNS는 실시간으로 DNS를 갱신하는 방식입니다. 집의 공유기가 재부팅 등으로 IP가 유동적으로 변경 되는 경우 사용합니다. IP가 바뀌어도 DDNS로 설정한 도메인값은 변하지 않기 때문에 공유기로 용이하게 접속 할 수 있습니다.

iptime의 DDNS 설정 방법은 우선 공유기 설정 페이지로 이동합니다.

고급 설정 - 특수기능 - DDNS 설정으로 들어갑니다.

호스트 이름은 다른사람과 중복되지 않을 만한 특수한 이름을 설정하시기 바랍니다.

사용자ID에는 이메일 주소를 넣어 줍니다. 그리고 DDNS 등록 버튼을 누릅니다.

 정상등록되었다면 아래 그림과 같이 정보값이 나오게 됩니다.

이제 앞서 배웠던 외부에서 라즈베리파이로 원격 접속하는 방법으로 접속을 시도해 봅니다.

다만, 공유기의 외부 IP를 넣었던 부분에는 위에서 설정한 xxxx.iptime.org 주소를 입력 하면 됩니다.

라즈베리파이 전체보기

라즈베리파이4 공유기에서 고정아이피 할당 받기

iptime 공유기를 예로 말씀드리겠습니다.

공유기에 접속하는 PC, 스마트폰, 라즈베리파이 등은 보통 공유기 내부아이피의 뒷번호 부터 순서대로 할당 됩니다.

공유기의 내부아이피가 192.168.0.1라면 공유기 부팅후 붙는 장치들의 IP 끝자리가(D클래스) 2, 3, 4, 5 순서대로 할당됩니다.

그래서, 고정아이피를 할당 받을 PC, 스마트폰, 라즈베리파이의 IP는 다른장치와 중복되는 아이피를 피할수 있도록 IP 끝자리를(D클래스) 100번 이상의 숫자로 쓰시는게 좋습니다.

예) 192.168.0.251 할당

라즈베리파이4의 고정아이피 할당 방법은 2가지가 있습니다.

1번째로 GUI 환경에서 설정하는 방법입니다. GUI 원격접속 프로그램으로 라즈베리파이에 접속하시면 O/S 패널에 네트워크 아이콘이 있습니다. 마우스 우측 클릭 후 "Wireless & Wired Network Settings"를 선택 합니다.

Network Preferences 창이 뜨면 Configure에서 interface와 eth0을 선택합니다. (유선랜 기준)

1. IPv4 Address에는 본인이 공유기에서 할당받고 싶은 아이피를 넣어줍니다. (iptime 기준 192.168.0.xxx)

2. Router에는 공유기의 내부 아이피를 넣어줍니다. (iptime 기준 초기값 192.168.0.1)

3. DNS Servers에 본인이 원하는 DNS 아이피를 넣어줍니다. (8.8.8.8은 구글 DNS 입니다)

2번째 방법은 CLI 환경에서 설정하는 방법입니다.

쉘에서 sudo 권한으로 vi 편집기를 이용하여 /etc/dhcpcd.conf 파일을 열고 아래와 같이 수정 또는 새로 입력합니다.

$sudo vi /etc/dhcpcd.conf 

이후 라즈베리파이를 재부팅 하고 ifconfig 명령어로 내가 입력한 아이피가 할당 되는지 확인 합니다.

$ifconfig

이전편에서 말씀드린 공유기 포트포워딩 내부주소를 할당한 고정아이피로 변경하시기 바랍니다

다음편에서는 iptime의 DDNS에 대해서 포스팅 하겠습니다.

DDNS 설정시 장점은 외부아이피인 숫자를 외우는게 아니라 문자로 된 주소를 설정하여(DNS)를 접속하면 된다는 장점이 있습니다.

또한, 공유기 재부팅등으로 공유기의 외부아이피가 다른 아이피로 변경 할당 받게 되더라도 DNS를 입력하면 자동으로 변경된 공유기의 외부아이피로 자동 접속시켜주는 장점이 있습니다.

라즈베리파이 전체보기

리눅스 서버 취약점 보안

취약점 점검항목: 7. 네트워크 서비스 데몬 권한 755 초과 여부 설정 확인

취약점 점검기준

  - 양호기준: (inetd) xinetd 파일에 Group, Others의 쓰기권한이 없는 경우 양호합니다.
  - 취약기준: (inetd) xinetd 파일에 Group, Others의 쓰기권한이 있는 경우 취약합니다.

취약점 점검방법

  - sudo 권한이 있는 아이디 쉘 접속 후 루트 권한을 얻어서 작업하시길 바랍니다.
    $sudo su -

  - LINUX: ls -alL /usr/sbin/xinetd 조회하여 Group, Others의 쓰기권한이 있는지 확인합니다.

    # ls -alL /usr/sbin/xinetd

  - HP-UX, SunOS, AIX: ls -alL /usr/sbin/inetd 조회하여 Group, Others의 쓰기권한이 있는지 확인합니다.

    # ls -alL /usr/sbin/inetd

취약점 조치방법

  - LINUX: ls -alL /usr/sbin/xinetd 조회하여 Group, Others의 쓰기권한이 있다면 권한 변경하여 쓰기 권한 제거

     #chmod 755 /usr/sbin/xinetd

  - HP-UX, SunOS, AIX: ls -alL /usr/sbin/inetd 조회하여 Group, Others의 쓰기권한이 있다면 권한 변경하여 쓰기 권한 제거

     #chmod 755 /usr/sbin/inetd

리눅스(유닉스) 취약점 점검 전체보기