유닉스/리눅스 보안 서버 접근통제 1/2

유닉스리눅스 보안 서버 접근통제

그룹 영역을 설정하여 사용자별 그룹 관리 방법

groupadd/groupdel 명령어를 이용하여 그룹 계정을 관리하고 chown을 이용하여 모든 파일이나 디렉터리에 액세스 할 수 있는 소유자와 그룹 소유권을 설정할 수 있음

파일이나 디렉터리에 대한 퍼미션 적용 방법

• 모든 파일과 디렉터리에 엑세스할 수 있는 허가권을 설정할 수 있으며 허가권은 파일이나 디렉터리별로 소유자, 그룹, 타인에 대해 각각 읽기, 쓰기, 실행 권한을 설정할 수 있으며 chmod 명령어를 활용함
• sticky bit는 모든 사용자가 쓰고 삭제할 수 있는 디렉터리에 적용하는데 리눅스에서는 /tmp 폴더가 설정되어 있으며 이 비트를 적용한 디렉터리에서는 누구든지 파일을 쓰고 삭제할 수 있지만 파일 삭제는 오직 소유자만이 삭제할 수 있음
• SetUID나 SetGID는 파일을 실행할 때 그 파일의 소유자 또는 그룹의 권한으로 실행되도록 하는 것으로 사용자가 시스템 작업을 할 때 루트 권한이 필요한 경우나 어떠한 시스템 자원을 이용하기 위한 경우에 필요함

접근통제 관련 로깅 도구 활용

syslogd : syslog.conf 설정파일 설정에 따라서 동작하는 로그 데몬으로써 커널로그 메시지(Messages) 로그, secure 로그, 크론 로그, 부팅 로그, 메일 로그, 네임 서버 로그, ftp로그 등의 로그를 관리할 수 있음

네트워크 서비스

DNS(Domain Name System) 서비스

• TCP/IP 네트워크에서 사용되는 이름 서비스의 구조로, 도메인 이름과 IP 주소의 정보를 자동으로 해석하는 시스템
• 인터넷에서 www.~~.~~와 같은 특정 도메인을 IP 주소로 변환해 주는 프로토콜
• OSI 7계층의 응용계층 프로토콜, 기본적으로 TCP/UDP 53번 포트를 이용하여 통신하며 클라이언트가 운영체제 내에 내장되어 자동으로 동작

HTTP(Hyper Text Transfer Protocol)

웹에서 하이퍼텍스트 문서를 송수신하는 데 사용되는 통신규약 : 웹에서 HTTP 프로토콜을 사용하여 멀티미디어 데이터 전송

FTP(File Transfer Protocol)

Telnet이나 rlogin, rsh와 같은 원격 접속 프로토콜은 파일 전송이 불가능하므로 클라이언트와 서버 간 파일 전송을 위해 사용하는 프로토콜

SMTP(Simple Mail Transfer Protocol)

• 네트워크에서 메일 전송을 위한 프로토콜
• 메일 서버 간 송수신뿐만 아니라 메일 클라이언트에서 메일 서버로 메일을 전송할 경우에도 사용
• OSI 7계층의 응용계층 프로토콜, 기본적으로 TCP 25번 포트 사용

Telnet

• TCP/IP 기반의 프로토콜로 원격지 시스템을 자신의 시스템처럼 사용할 수 있게 하는 원격 터미널 접속 서비스
• OSI 7계층의 응용계층 프로토콜, 기본적으로 TCP 23번 포트 사용

SSH(Secure Shell)

• 원격 호스트에 로그온 하거나 원격 호스트에서 명령을 실행하고 다른 호스트로 파일을 복사할 수 있게 해주는 응용프로그램 또는 프로토콜
• 기존의 rsh(Remote Shell), rlogin(Remote Login), Telnet 등은 암호화하지 않은 상태의 평문으로 데이터가 전송되어 보안에 취약할 수 있으므로 이를 보완하기 위한 서비스로써 전송되는 데이터를 개인 열쇠 암호화 기법으로 암호화함
• OSI 7계층의 응용계층 프로토콜, 기본적으로 TCP 22번 포트 사용

Rlogin(Remote Login)

원격 시스템에 접속할 때 사용하는 서비스로 미리 서버 /etc/hosts.equiv 파일에 호스트를 등록한 후에 클라이언트는 패스워드를 입력할 필요 없이 로그인이 가능한 서비스

SCP(Secure Copy Protocol)

네트워크상에서 안전하게 파일을 복사할 수 있도록 해주는 유틸리티로 데이터 전송과 사용자 인증을 위하여 SSH를 사용함

Samba

운영체제 간에 서로 자료 및 하드웨어 공유를 위한 프로토콜로써 주로 윈도우와 리눅스 간에 자료 및 프린터 공유를 위해서 사용됨. 주된 기능은 IBM OS/2, MS Window 98/NT에서 LanManager 또는 NetBIOS와 호환되는 SMB 프로토콜을 사용하여 파일 및 프린터를 공유할 수 있도록 함

DHCP(Dynamic Host Configuration Protocol)

• 클라이언트에게 IP 주소와 각종 TCP/IP 프로토콜의 기본 설정을 자동(동적 주소 할당)으로 제공해 주는 프로토콜. 호스트로 네임 서버 주고, IP 주소, 게이트웨이 주소를 할당해 줌
• 클라이언트에서 사용되는 IP 주소를 DHCP 서버가 중앙집중식으로 관리하는 클라이언트/서버 모델
• OSI 7계층의 응용계층 프로토콜, 기본적으로 UDP 67, 68번 포트 사용

NAT(Network Address Translation)

• 외부 네트워크에서 알려진 공인 IP 주소와 내부 네트워크에서 사용하는 사설 IP 주소를 변환하는 기술
• 공인 IP 주소와 사설 IP 주소의 변환 방식에 따라 크게 정적 NAT와 동적 NAT로 나눔

SNMP(Simple Network Management Protocol)

• TCP/IP 기반 네트워크상의 각 호스트로부터 정기적으로 여러 관리 정보를 자동으로 수집하거나 실시간으로 상태를 모니터링 및 설정할 수 있는 서비스
• 네트워크 관리를 위한 목적으로 주로 서버나 네트워크 장비에서 SNMP를 설정한 MRTG(Multiple Router Traffic Grapher) 프로그램을 이용하여 트랙픽을 관리하는 데 사용
• 관리 편의성은 주지만 여러 취약점이 존재하여 서비스 거부 공격(DoS), 버퍼 오버플로, 비인가 접속 등 여러 가지 문제점들이 발생할 수 있음
• SNMP를 지원하는 대표적인 장치에는 라우터, 스위치, 서버, 워크스테이션, 프린터 등이 있음
• OSI 7계층의 응용계층 프로토콜, 기본적으로 UDP 161, 162번 포트 사용

TFTP(Trivial File Transfer Protocol)

• FTP와 마찬가지로 파일을 전송하기 위한 프로토콜이지만 FTP보다 더 단순한 방식으로 파일을 전송. 따라서 데이터 전송 과정에서 데이터가 손실될 수 있는 등 불안정하다는 단점을 가지고 있음. 하지만 FTP처럼 복잡한 프로토콜을 사용하지 않기 때문에 구현이 간단
• 주로 클라이언트/서버 간에 FTP처럼 복잡한 상호 동작이 필요하지 않은 응용에 많이 사용
• 플래시 메모리(Flash Memory)에 적합하도록 설계
• 디스크가 없는 가동 프로세서에 이용
• OSI 7계층의 응용계층 프로토콜, UDP 69번 포트 사용

NTP(Network Time Protocol)

• 네트워크상에 분산된 NTP 서버들로부터 클라이언트(서버, 라우터)의 시간을 동기화하는 프로토콜
• UDP 123번 포트를 사용하며 현재 NTP Version 4까지 나와 있음
• NTP를 통해 시간을 동기화하기 위해서는 기준시간이 필요한데 기준시간을 만들어내는 NTP 서버가 별도로 있음
• NTP 클라이언트와 NTP 서버 간의 시간을 동기화할 때 Request 패킷과 Replay 패킷 한 쌍을 교환