스터디그룹 > LINUX 게시판 > [보안] 보안절차서 ( 기초보안 )

▩▩▩▩▩ 보안정책 ▩▩▩▩▩

0. 파티션의 분리 파일손실에 대비한 최상의 방법 ( 리눅스 최초설치시 파티션정책을 세운다.)

1. 보안Tool의 설치
- chkrootkit 의 설치 www.chkrootkit.org
- portsentry 의 설치
- nmap rpm 버젼의 설치
- saint 설치로 보안 취약성 검사

- ***** 모니터링 툴의 설치 *************
- webalizer 의 설치
- mrtg 의 설치

2. 소유권및 퍼미션 설정

리눅스 실행명령어에 대한 사용권한의 제한

( ps c gcc netstat tcpdump )

chmod 600 /etc/exports
chmod 600 /etc/fstab
chmod 700 /usr/bin/chage
chmod 500 /usr/bin/wall
chmod 700 /usr/bin/at
chmod 700 /usr/bin/man
chmod 700 /usr/bin/wall
chmod 700 /usr/bin/chfn
chmod 700 /usr/bin/write
chmod 700 /usr/sbin/usernetctl
chmod 700 /bin/mount
chmod 700 /bin/umount
chmod /sbin/netreport

chmod 750 /bin/ps chgrp wheel /bin/ps
chmod 750 /bin/netstat    chgrp wheel /bin/netstat
chmod 750 /bin/dmesg    chgrp wheel /bin/dmesg
chmod 750 /bin/df chgrp wheel /bin/df
chmod 750 /usr/bin/w    chgrp wheel /usr/bin/w
chmod 750 /usr/bin/who    chgrp wheel /usr/bin/who
chmod 750 /usr/bin/finger chgrp wheel /usr/bin/finger
chmod 750 /usr/bin/last chgrp wheel /usr/bin/last
chmod 750 /usr/bin/top    chgrp wheel /usr/bin/top

3. 보안 업데이트

- wu-ftp 갱신
- bind 갱신
- ftp 및 telnet 에 대한 확실한 정책필요 !
- ftp file 및 디렉토리 접근에 대해서 제한 ( 익명사용자 접근 금지 )
- telnet 접근의 제한 ( port 23 번을 서비스중지 )
- openssh( secure shell ) 의 설치 (port 22 의 사용)
- ipchain 을 이용한 방화벽 설정
- tcp wrapper 의 설정 ( /etc/hosts.allow /etc/hosts.deny ) ip 별로 서버접근 제한

4. 기타

- 가장 기본적으로 필요한 데몬만 뛰운다.
ps -ef -aux 해서 필요한 데몬만 남기고 모두 삭제한다.
inetd.conf 에서 반드시 필요한 데몬만 주석을 삭제한다.
/etc/rc.d/init.d/*.*
/etc/rc.d/rc3.d/ S40crond S99local S50inet S75keytable S10network S85gpm S30syslog S90xfs
/etc/rc.d/rc5.d/ S40crond S99local S50inet S75keytable S10network S85gpm S30syslog S90xfs

- 필요없는 tty(터미널)삭제 --- /etc/inittab 의 수정

- 불필요한 계정의 삭제 ( /etc/passwd /etc/group -- userdel groupdel 로 삭제한다.)
adm, lp, sync, shutdown, halt, news, uucp, operator, games, gopher, ftp ,rpcuser, rpc 등 불필요계정의 삭제

- 불필요한 패키지 삭제
rpm -e --nodeps ypbind-1.xx.xx

- 명령의 사용 서버 모니터링
find / -ctime -10 -ls

-----------------------------------------------------------------
옵션    기능
-----------------------------------------------------------------
-atime N n일 전에 액세스(access)된 파일을 찾습니다.
-mtime N n일 전에 수정(modify)된 파일을 찾습니다.
-newer USR file보다 늦게 수정된 파일을 찾습니다.
-size n    n*512 바이트 길이를 가지는 파일을 찾습니다.
-name WORD 파일 이름으로 검색합니다. 이름에는 메타 문자(*, ?, [])를
사용할 수 있습니다.
-perm MODE 퍼미션으로 검색합니다. (-perm +2000)
-type LETTER 파일형식으로 검색합니다. f는 보통 파일, d는 디렉토리
파일을 의미합니다.
-user USR    사용자 이름이 usr인 파일을 찾습니다.
-nouser    파일 소유자 이름이 등록되어 있지 않은 파일을 찾습니다.
-nogrp 파일 소유 그룹 이름이 등록되어 있지 않은 파일을 찾습니다.
-----------------------------------------------------------------
옵션    기능
-----------------------------------------------------------------
-exec CMD    명령(CMD)을 실행합니다. 명령행의 끝은 반드시 \; 로
닫아 주어야 합니다. 현재 찾은 파일이름의 배열을 {}로
입력으로 사용할 수 있습니다. 아래 명령은 확장자가 bak인
모든 파일을 찾아 삭제합니다.

find ./ -name '*.bak' -exec rm -f {} \;
-ok CMD 명령을 실행하기 전에 사용자 입력을 기다립니다.
-print 표준출력(stdout)으로 출력합니다. 기본설정입니다.
-ptint0    -print와 같이 동작하지만 출력의 끝에 개행문자를 붙이지
않습니다.
-fprint FILE -print와 같이 동작하면서 출력을 지정한 파일로 보냅니다.
-printf FORM c 스타일의 포맷을 사용하여 출력합니다.
man 3 printf
-ls    ls -dils 형식으로 파일 정보를 자세히 출력합니다.
-fls -ls 와 같이 동작하면서 출력을 지정한 파일로 보냅니다.
-----------------------------------------------------------------

$ find . -type l -exec ls -l {} \;
이 명령은 모든 symbolic link를 찾아서 그것이 지시하는 것이 무엇인지 보여준다.
$ find / -name "*.old" -ok rm {} \;
이 명령은 지정된 패턴에 해당되는 파일을 모두 찾아서 당신에게 허락을 요구한 다음 지운다.
$ find . -perm +111
이 명령은 permission이 111인(실행파일) 모든 파일을 찾는다.
$ find . -user root
이 명령은 root에 속하는 모든 파일을 찾는다. 이 경우 여러 가지 가능성이 있다---RMP.
find / -atime 10 -ls // 10 일 전에 access 된 화일 찾기
find / -type f -perm -4000 -ls // suid 찾기
find / -type f -perm -2000 -ls // sgid 찾기
rpm -V fileutils // 결과보기 S: 싸이즈변경 5:md5 값변경 T:파일의 mtime값 변경
nmap 사용법 # nmap -V -sS -O www.my.com
nmap 사용법 # nmap -V -sS -O 192.168.0.0/16
nmap 사용법 # nmap -V -sS -O 192.88-90.0.0/16
***********************************************************
- 보안 체크 확인 프로그램을 확인하자
. prevent   denyip 에 자동으로 5 번 로그인 실패시 /etc/denyip 에 추가됨
. rkhunter ( 파일첨부 ) root kit 찾는 프로그램
. chkrootkit root kit 찾는 프로그램
***********************************************************