정보보안기사2

시스템 관리 및 보안 설정 가이드

1. DNS 설정 named.conf

• DNS named.conf Master-Slave 설정

2. Solaris 실패한 로그인 기록

• Solaris에서 실패한 로그인 기록: /var/adm/loginlog

3. /var/run/utmp

• w 명령어가 가장 상세한 정보를 제공하는 파일: /var/run/utmp

4. 원격 접속이 의심스러울 때 확인해야 할 2가지 로그

• /var/log/messages
• /var/log/secure

5. /var/log/boot.log

• 리눅스 부팅 시 기록되는 파일: /var/log/boot.log

https://bebeya.tistory.com/entry/%EB%A6%AC%EB%88%85%EC%8A%A4-%EC%8B%9C%EC%8A%A4%ED%85%9C-%EB%B6%80%ED%8C%85%EB%A1%9C%EA%B7%B8-%ED%99%95%EC%9D%B8%EB%B0%A9%EB%B2%95-bootlog

6. 리눅스 시스템에서 로그 관리

• 로그는 기본적으로 syslogd 프로세스에 의해 관리됨
• 설정 파일 경로: /etc/syslog.conf
• syslog.conf 설정 파일 관련 자세한 설명

7. Syslog Log Level

• syslog.conf에서 Log Level 설정 관련 자세한 설명

8. Syslog UDP/514

• syslog는 기본적으로 UDP 514 포트를 사용하며, 보안을 위해 TCP 연결 및 BEEP 사용 권고
• Syslog UDP/514 및 보안 관련 자세한 설명

9. Syslog Protocol

• 프로세스 메시지를 중앙 수집기로 보내 로깅과 분석을 수행하는 인터넷 표준 프로토콜

10. Logrotate 설정

Logrotate는 시스템 로그 파일을 관리하는 데 사용됩니다. 로그 파일이 일정 크기 이상 커지거나 특정 기간이 지나면 로그 파일을 자동으로 회전(rotating)하고 압축합니다. 이는 시스템 로그가 무한정 커지지 않도록 하고, 관리와 보안을 용이하게 합니다.

• 전반적인 설정 파일: /etc/logrotate.conf
• 개별 프로세스별 설정 파일 위치: /etc/logrotate.d

참고 자료

• Logrotate 사용법 설명 1
• Logrotate 사용법 설명 2

11. Crontab 설정

Crontab은 주기적으로 특정 작업을 자동으로 실행하기 위한 설정 파일입니다. 시스템 관리자가 반복적인 작업을 자동화하는 데 유용합니다.
crontab -u 사용자이름 -e

• Crontab 설정 및 사용법에 대한 자세한 내용은 이 블로그를 참조하세요.

12. 일반적으로 root 원격 접속 차단

보안을 강화하기 위해 root 사용자의 원격 접속을 차단하는 것이 일반적입니다. 시스템에 따라 설정 파일이 다르며, 주요 설정 파일 위치는 다음과 같습니다:

• SunOS(Solaris): /etc/default/login

  CONSOLE=/dev/console

   콘솔이 해당 장치에서만 실행되도록하여 원격 콘솔을 차단한다
• AIX: /etc/security/user

  rlogin=false

• Linux: /etc/securetty

  # pts/1 (주석처리)

13. EIGRP, IGRP

EIGRP와 IGRP

14. 라우팅 종류

라우팅 프로토콜: RIP, BGP, OSPF

15. 컨버전스 시간

컨버전스 시간(Convergence Time)은 네트워크 라우팅 프로토콜이 변화된 네트워크 상태를 반영하여 모든 라우터가 새로운 최적 경로를 학습하고 일관된 라우팅 테이블을 갖게 되는 데 걸리는 시간을 의미합니다. 즉, 네트워크의 어느 부분에서든 변화가 발생했을 때, 그 변화가 네트워크 전체에 전파되어 모든 라우터가 새로운 정보를 인식하고 적응하는 데 걸리는 시간입니다.

16. Snort의 3가지 모드

1. Sniffer 모드: 네트워크 트래픽을 실시간으로 모니터링하고 화면에 표시합니다.
2. Packet Logging 모드: 네트워크 트래픽을 캡처하여 로그 파일에 저장합니다.
3. NIDS (Network Intrusion Detection System) 모드: 네트워크 트래픽을 분석하여 악의적인 활동이나 보안 위협을 탐지합니다.

17. Unix 시스템 관리 팁

1. 사용자 비밀번호 변경: passwd 유저명
2. 사용자 계정 잠금: passwd -l 유저명
3. 사용자 계정 잠금 해제: passwd -u 유저명
4. .rhosts 파일 찾기:

   find / (-nouser -o -nogroup) -user 유저명 -print -perm -2 (-mtime -7 -a -atime -7 -a -ctime -7) -name .rhosts

5. 비밀번호 최대 사용 기간 설정 (Solaris): /etc/default/passwd : MAXWEEKS=8
6. 비밀번호 최대 사용 기간 설정 (Linux): /etc/login.defs : PASS_MAX_DAYS 90
7. 비밀번호 최소 사용 기간 설정 (AIX): /etc/security/user : minage=12
8. 비밀번호 최대 사용 기간 설정 (HP-UX): /etc/default/security : PASSWORD_MAXDAYS=90
9. 기본 파일 권한 설정: umask 066 혹은 umask 022
10. 세션 타임아웃 설정 (TMOUT):

    nano /etc/profile -> TMOUT = 600 or export TMOUT = 600

11. 기본 프로파일 설정: /etc/profile https://blog.naver.com/ysuniee/222117179375
12. 사용자 크론탭 목록 보기: crontab -u username -l
13. 사용자 크론탭 편집 (없으면 생성): crontab -u username -e
14. 사용자 크론탭 삭제: crontab -u username -r
15. 사용자 크론탭 목록 보기 (Unix): crontab -l username
16. 크론 작업 예시 (파일 삭제):

    0 3 * * 0 /bin/rm -rf /Download/* > /dev/null 2>&1

17. Syslog 설정: /etc/syslog.conf

    service1.*; service2.*; *.* @10.10.10.10

    • 원격 로그 저장 위치: /var/log/secure
18. Syslog 포트: 514 UDP
19. Iptables에서 syslog 포트 허용: iptables -A INPUT -p udp --dport 514 -j ACCEPT
20. TCP Wrapper: 네트워크 접근 제어
    • /etc/hosts.allow 및 /etc/hosts.deny
21. TCP Wrapper 설정 예시:

    in.ftpd : 10.10.10.10, ALL:ALL, ALL EXCEPT in.telnetd : ALL, ALL:10.10.10.10

22. sshd를 허용하는 hosts.allow 설정 예시:

    sshd: 192.168.0.10, 10.10.10.0/255.255.255.0
    sshd : 192.198.0.10, 10.10.10.0/24

23. hosts.deny에서 sshd 에 관해서만 거부 설정: sshd:ALL
24. CIDR 표기법: 네트워크 ID 범위를 비트로 표기함. 10.10.10.0/24 -> 24: 네트워크 범위

25. Tcp wrapper의 서비스 명: tcp

26. Inetd 서비스 중에 telnet 서비스를 inetd 이 아닌 Tcp Wrapper에서 관리하기 위해서는 /etc/inetd.conf 파일에서 in.telnetd 서비스 데몬 부분을 tcpd로 수정합니다.

27. Inetd 서비스 중에 ftp 서비스를 더 이상 하고 싶지 않다면 /etc/inetd.conf 파일에서 ftp 부분을 주석처리 한 후 재실행하면 됩니다.

28. /etc/xinetd.conf 설정 내용: https://dukkoong.tistory.com/m/22

29. Xinetd은 inetd의 업그레이드 버전

30. Pam 모듈 설정:

    • /etc/pam.d/login
    • deny=5: 비밀번호 5회 실패 시 잠금
    • unlock_time=120: 실패 시 120초 동안 계정 잠금
    • no_magic_root: root 계정은 계정을 잠금하지 않음

31. Xinetd에서 telnet 서비스를 비활성화 하고자 할 때:

    service telnet {
        disable = yes
    }

32. 원격 telnet root 계정 접속 차단:

    • /etc/securetty
    • pts 전체 주석 또는 제거 -> # pts/0

33. Ssh root 접근 차단:

    • /etc/ssh/sshd_config
    • PermitRootLogin no

34. 일반 계정 su 명령어 사용 막기:

    • chmod 4750 /bin/su
    • others 부분이 0 이므로 일반 사용자들은 실행할 수 없음

35. Sudo 명령어 제한:

    • /etc/sudoers에 있는 user만 사용 가능

36. john ALL=(ALL) ALL:

    • john 사용자만 sudo 명령어 사용 가능

37. %admin ALL=(ALL) ALL:

    • admin 그룹만 sudo 명령어 사용 가능
    • %는 그룹명 앞에 표기

38. john ALL=(ALL) NOPASSWD: ALL:

    • 비밀번호 없이 sudo 명령어 사용 가능

39. john ALL=(ALL) /bin/ls:
    - john은 sudo 명령어를 사용하여 ls 만 가능
    sudoers