전산직의 삶

리눅스 서버 취약점 보안

취약점 점검항목: 2. root 계정 외에 UID와 GID가 0인 계정이 없는지 점검

 
취약점 점검기준
  - 양호기준: root 계정과 동일한 UID를 갖는 계정이 존재하지 않는 경우 양호합니다.
  - 취약기준: root 계정과 동일한 UID를 갖는 계정이 존재하는 경우 취약합니다.

 
취약점 점검방법
  - sudo 권한이 있는 아이디 쉘 접속 후 루트 권한을 얻어서 작업하시길 바랍니다.
    $sudo su -

  - #cat /etc/passwd 명령어로 세번째 필드의 값이 root와 동일한 값을 가진 계정이 존재하는지 확인합니다

    #cat /etc/passwd

취약점 조치방법
  - usermod 명령으로 UID가 루트와 같은 0인 일반 계정의 UID를 다른 숫자로 수정
   ※ SunOS, HP-UX의 경우 100 이상 ,§ LINUX의 경우 500 이상으로 수정하면 됩니다.

예) test계정을 UID, GID를 1001로 변경하는 경우

    #usermod -u 1001 test

   ※ 각 OS별로 사용자 UID 체계가 달라 시스템 계정 및 일반 사용자 계정이 부여받는 값의 범위에 차이가 있습니다.

      공통적으로 관리자는 "UID=0"을 부여받습니다.

PS: IBM서버를 사용하시고 OS가 AIX의 경우는 명령어가 다릅니다.

  - chuser 명령으로 UID를 수정합니다. UID 숫자는 100이상으로 수정하는것을 권합니다.

    #chuser id=(100이상의 숫자) (계정명)

  - chuser 명령으로 UID를 수정합니다. 

    #chgroup id=(100이상의 숫자) (계정명)

예) test계정을 UID, GID를 1001로 변경하는 경우

    #chuser id=1001 test

    #chgroup id=1001 test

리눅스(유닉스) 취약점 점검 전체보기

라즈베리파이4 스마트폰 앱으로 ssh, GUI 원격 접속하기

먼저 라즈베리파이에 쉘에 접속할 수 있는 상태까지 진행합니다.

micro HDMI 케이블이 있으시다면 직접 접속 하여 쉘을 사용하시면 됩니다.

micro HDMI 케이블이 없으신 분들은 라즈베리파이 OS를 구운 micro SD카드의 최상위 폴더에 이름을 'ssh'로 크기가 0인 파일을 생성해 줍니다. (확장자는 없습니다)

파일 생성 후 sd카드를 라즈베리파이에 삽입 후 부팅하면 자동으로 ssh를 사용가능하게 세팅을 만들어 줍니다.

공유기를 사용한다는 가정하에 공유기에서 랜선을 통해 라즈베리파이를 연결하면 자동 인터넷 연결이 됩니다. 

공유기 설정페이지 (iptime의 경우 192.168.0.1 이 기본 주소)에 들어가시면 라즈베리파이에 할당된 IP정보를 얻을 수 있습니다.

위치는 고급설정 - 네트워크 관리 - 내부 네트워크 설정 - 사용중인 IP 주소 정보에서 확인 가능합니다.

스마트폰의 와이파이를 공유기와 연결합니다. 이렇게 하면 라즈베리파이와 스마트폰은 같은 공유기에서 아이피를 할당받아 서로 통신이 가능한 상태가 됩니다.

스마트폰에서 ssh 통신 앱을 하나 깝니다. 저는 ssh와 sftp를 동시에 사용가능한 Admin Hands라는 앱을 설치 했습니다.

https://play.google.com/store/apps/details?id=com.arpaplus.adminhands

ssh 앱으로 host 주소에는 라즈베리파이 IP를 넣어줍니다. 포트는 ssh의 기본포트인 22를 넣어줍니다.

처음 접속시 로그인 ID / PW는  'pi' / 'raspberry' 입니다.

라즈베리파이의 쉘에 접속이 되시면 GUI 원격제어를 위해 xrdp를 설치해줍니다.

$sudo apt-get update

$sudo apt-get install xrdp -y

다음은 스마트폰에 GUI 원격제어를 위한 앱을 설치해줍니다. 저는 Remote Desktop이라는 앱을 설치했습니다.

https://play.google.com/store/apps/details?id=com.microsoft.rdc.android

사용방법은 먼저 +로 호스트를 추가합니다. 

PC name 란에 라즈베리파이 IP주소를 넣고, User name에 라즈베리파이 IP/PW를 넣은 계정을 추가합니다.

(참고로 같은 공유기에 물려있는 windows PC가 있다면 기본으로 깔려 있는 윈도우 원격제어프로그램으로 라즈베리파이 GUI 원격제어가 가능합니다. 윈도우키+R을 눌러 실행 창을 여시고 mstsc 입력 후 확인을 클릭하면 됩니다.)

여기까지가 같은 공유기에 와이파이로 접속된 스마트폰으로 라즈베리파이 원격접속하는 방법이었습니다.

다음편에는 위에 스마트폰 앱을 통해 외부에서 라즈베리파이에 원격접속하는 방법을 설명드리겠습니다.

라즈베리파이 전체보기

리눅스 서버 취약점 보안 

취약점 점검항목: 1. 사용자 계정에 0-99 사이의 UID나 GID 값이 할당된 계정을 확인 합니다.

취약점 점검기준

  - 양호기준: 0-99 사이에 UID, GID를 갖는 일반 계정이 존재하지 않는 경우 양호합니다.

  - 취약기준: 위와는 반대로 0-99 사이에 UID, GID를 갖는 일반 계정이 존재하지 않는 경우 취약합니다.

취약점 점검방법

  - sudo 권한이 있는 아이디 쉘 접속 후 루트 권한을 얻어서 작업하시길 바랍니다.

    $sudo su -

  - /etc/passwd 세번째, 네번째 필드의 값이 0-99 사이의 값을 갖는 일반 계정이 존재하는지 확인합니다. 

    #cat /etc/passwd

취약점 조치방법

  - usermod 명령으로 UID가 0-99인 일반 계정을 중복되지 않는 1000이상의 UID로 수정합니다.

    #usermod -u (1000이상의 숫자) (계정명)

  - groupmod 명령으로 GID가 0-99인 일반 계정을 중복되지 않는 1000이상의 GID로 수정합니다.

    #groupmod -g (1000이상의 숫자) (계정명)

예) test계정을 UID, GID를 1001로 변경하는 경우

    #usermod -u 1001 test

    #groupmod -g 1001 test

※ 각 OS별로 사용자 UID 체계가 달라 시스템 계정 및 일반 사용자 계정이 부여받는 값의 범위에 차이가 있습니다. SunOS와 HP-UX의 경우는 100이상 값을 요구하고, 리눅스는 500이상의 값을 요구합니다. AIX의 경우는 100이상으로 수정하셔야 하는데 마음 편하게 1000이상으로 변경하시길 추천드립니다.

PS: IBM서버를 사용하시고 OS가 AIX의 경우는 명령어가 다릅니다.

  - chuser 명령으로 UID를 수정합니다. 

    #chuser id=(1000이상의 숫자) (계정명)

  - chuser 명령으로 UID를 수정합니다. 

    #chgroup id=(1000이상의 숫자) (계정명)

예) test계정을 UID, GID를 1001로 변경하는 경우

    #chuser id=1001 test

    #chgroup id=1001 test

리눅스(유닉스) 취약점 점검 전체보기

2021-09-12 최신 버전 방법으로 재포스팅하였습니다. 하단 링크 클릭하세요.

https://reddb.tistory.com/188

아래는 1년전에 포스팅한 구식 방법입니다.

라즈베리파이4 OS설치 (Raspberry Pi OS 설치)

먼저 마이크로SD카드를 포맷 합니다.

저용량 sd카드는 FAT32로 포맷을 하고, 고용량인 sd카드는 exFAT으로 포맷을 합니다.

(아래에서 설명할 imager로 64GB 마이크로 sd카드에 라즈베리파이 OS 구워본 결과, 마이크로 SD카드의 모든 용량이 OS 설치와 동시에 마운트되어 사용가능한 용량으로 잡혔습니다.)

https://www.raspberrypi.org/downloads/

라즈베리파이 홈페이지 다운로드로 접속하여 

1. 라즈베리파이 OS 다운 받습니다. (https://www.raspberrypi.org/downloads/raspberry-pi-os/)

  - 저는 데스크탑 및 권장 소프트웨어가 포함된 버전을 받았습니다.

2. 윈도우를 위한 라즈베리파이 Imager 다운 받습니다. (downloads.raspberrypi.org/imager/imager.exe)

다운받은 Imager를 더블클릭하여 설치합니다. 

Install 클릭합니다.

설치가 완료되면 Finish 클릭합니다.

라즈베리 파이 imager를 실행한 후 CHOOSE OS를 클릭합니다.

다음은 최하단에 Use custom을 선택합니다.

라즈베리파이 홈페이지에서 다운 받은 라즈베리파이 OS zip파일의 압축을 풀면 img파일이 생성됩니다.

생성된 img파일을 선택후 Open 클릭합니다.

다음은 CHOOSE SD CARD를 클릭합니다.

다음은 마이크로 SD카드가 연결되어 있는 드라이브를 선택합니다.

다음은 WRITE를 클릭 합니다.

라즈베리파이 OS를 마이크로 SD카드에 굽기를 시작합니다.

굽기 100%를 마치면 확인절차를 진행합니다.

이후 마이크로SD카드에 쓰기가 완료됐다는 글과, 분리해도 된다는 글이 나오며 OS 굽기가 완료됩니다.

라즈베리파이4에 라즈베리파이 OS 마이크로SD 카드를  삽입 후 전원을 인가하면 부팅이 됩니다.

초기 부팅시 ID는 'pi'이고, PW는 'raspberry' 입니다.

라즈베리파이 전체보기

라즈베리파이4 4GB 구입

http://item.gmarket.co.kr/Item?goodscode=1747283423 (라즈베리파이4B Raspberry pi 4 Model B 4GB)

스마일클럽 가입한 사람은 3천원 할인 쿠폰을 사용이 가능해 69,500원에 구입할 수 있습니다.(2020-06-28 기준)

http://item.gmarket.co.kr/Item?goodsCode=1728662562 (라즈베리파이4B 전용 슬라이드 케이스 화이트블랙)

쿨러를 설치하지 않을 생각으로 가볍게 쓸 케이스도 함께 구입했습니다. 라즈베리파이4를 데스크톱으로 사용하실 분들은 쿨러가 있는 케이스로 구입하시길 권합니다. (모니터 연결 시 그래픽 작업 때문인지 발열이 상당합니다) 다만 쿨러의 소음을 생각하시고 구입하시기 바랍니다.

​

위 두제품을 같은 사업자 제품이라 함께 구입하시면 배송비가 무료니 참고바랍니다.

​

​

데스크톱으로 이용하실 분들은 케이블 또한 구입하셔야 합니다. 마이크로 HDMI 단자의 경우 고장이 쉽게 난다고 하니 너무 저렴한 제품은 피해서 구입하기 바라며, 4k 모니터 연결할 예정이신 분들은 HDMI 버전 또한 확인 하시고 구입하시기 바랍니다.

​

​

운영체제와 기타 프로그램을 설치하기 위해 충분한 용량의 micro sd 카드를 구입하시기 바랍니다. 라즈베리파이 홈페이지에서 제공하는 운영체제 설치프로그램을 이용하시면 운영체제를 굽는 작업과 동시에 64G가 모두 사용가능한 상태로 마운트 되는 것을 확인했습니다.

​

​

충전기는 5V 3A를 지원하는 제품중 저렴한 요이치 제품을 구입했습니다.

​

​

케이블의 경우 처음에 싸구려 케이블로 사용하였더니 저온에서도 쓰로틀링이 걸리는 상황이 발생하였습니다. (에어콘앞에서 35도 유지 상태에서 쓰로틀링 발생)

​

쓰로틀링 발생원인은 2가지 입니다.

1. 라즈베리파이4 온도가 85도 이상인 경우

2. 전원이 3A를 공급되지 않아 부족한 경우

저는 케이블이 3A를 지원하지 않는 저가형 케이블로 사용하다 쓰로틀링이 심하게 발생하여, 데이터 전송용으로 구입해서 사용중이던 링케 USB C타입 3.1(GEN1) 제품으로 연결하자 쓰로틀링이 전혀 발생하지 않았습니다. sysbench로 cpu이용률을 100%로 돌려도 봤지만 쿨러가 없는 상태에서도 온도가 75도 까지밖에 상승하지 않았고, 전력도 모자르지 않아 쓰로틀링이 발생하지 않았습니다. (데스크톱으로 이용하시는 분들이라면 HDMI로 연결 한 모니터에서 우측 상단에 번개 모양이 나올 수 있는데 그 상황이 전력이 부족하여 쓰로틀링이 발생하는 상황입니다)

​

어떤 케이블을 사용하시던 3A의 전류를 통과시키는 굵은 케이블을 사용하시길 권해드립니다. 고속충전케이블중에도 2A까지만 지원하는 케이블이 있으니 3A를 지원하는지 꼭 확인하고 구입하세요.

라즈베리파이 전체보기