[Secure]_System-Linux_#07_[방화벽 시스템,TCP Wrapper,IPtables,원격 접속 프로토콜,Anonymous FTP,r계열 서비스 비활성화,crond 파일 소유자 및 권한 설정,Dos 공격에 취약한 서비스 비활성화,NFS 서비스 비활성..

< 리눅스 내의 방화벽 시스템 >

- 접속 ip 및 포트 제한
   ex) Inbound 192.168.100.100 deny tcp 80 
- 종류 : 
   (1) TCP Wrapper :  
      - 네트워크 서바스(HTTP, SMTP, FTP)에 관련된 트래픽을 제어.
      - cat /etc/hosts.deny
      - cat /etc/hosts.allow
   

   (2) IPFilter(Unix 계열) :
      - 유닉스 계열에서 사용하는 공개형 방화벽.

   (3) IPtables(Linux 계열) :
      - 리눅스 커널 방화벽이 제공하는 테이블들 규칙을 설정하는 프로그램.
      - iptables -L 
      --> iptable 에 어떤 정책이 들어가 있는지 알 수 있음.

cat /etc/ipf/ipf.conf 

--> 실행이 안되면 ipfilter가 없는 것. 대부분의 리눅스는 없음. 유닉스에 보통 존재.

iptable 명령어를 통해 접속할 IP 및 포트 정책 추가.

 

---

< 원격 접속 프로토콜 제한 설정 >

** telnet(평문  전송), SSH(암호화 전송) 

ex) 192.168.1.0/24 네트워크에 속한 pc들 telnet 서비스 허용, 나머지는 제한하는 경우.
# iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 23 -j ACCEPT
# iptables -A INPUT -p tcp --dport 23 -j DROP
# /etc/rc.d/init.d/iptables save  --> 적용 명령어.

 

iptables -A INPUT -p tcp --> 거의 항상 들어감.
-A : 서버에 들어오는 패킷인지 나가는 패킷인지 INPUT/OUTPUT
-p : 프로토콜
-s : 소스(출발지)
-d : 목적지
-j : 허용할 것인지 아닌지 (ACCEPT/DROP)

---

[ Anonymous FTP ]

- Anonymous 계정 : 기록이 남지 않는 계정.
-  공격자가 익명 계정을 이용해 local exploit 시스템 공격할 경우 취약. --> 최근에는 비활성화 해둠.
- 파일 전송을 위해 누구든지 계정 없이도 ananymous 계정으로 FTP 사용 가능.

* 확인 방법 :
# cat /etc/passwd | grep "ftp"

- 존재하면 : 
#User ftp
#Group ftp
#UserAlias anorymous ftp  <-- 익명 ftp 사용자 확인 가능.

라고 확인 가능. 

 

* 조치방법 :
- 지우기 --> userdel UserAlias

 

---

< r계열 서비스 비활성화 >

r-command :  인증 없이 관리자(root)의 원격접속을 가능하게 하는 명령어. [(Ex) rsh , rlogin , rexec ]

 

* 확인 방법 :
# ls -alL /etc/xinetd.d/* | egrep "rsh|rlogin|rexec"

 

* 조치 방법 :
# vi /etc/inetd.conf
--> 확인시 아래 처럼 주석 처리하여 r계열 서비스 비활성화 가능.
#login strean tcp nowait root /usr/sbin/in.rlogind in.rlogind
--> 설명 : 로그인 흐르는 것을 허용.기다리지 않는다.root의 인증을. 해당위치안에 있는것 실행할때.
#exec stream tcp nowait root /usr/sbin/in.rexecd in.rexecd

. . .

---

< crond 파일 소유자 및 권한 설정 >

crontab 서비스 :
- 원래는 root 만 설정가능한데, 공격자가 일반 사용자도 crontab을 사용할 수 있도록 설정하면 취약!!!

- 불법적인 파일 정해진 시간에 실행하여 시스템을 파괴 및 제어하면 취약!!!

* 조치 방법 :
- crontab 명령어 권한 설정으로 일반 사용자 금지 및 cron 관련 파일 640권한 이하 설정.

chown root <cron 관련 파일>
chmod 640 <cron 관련 파일>

---

< Dos 공격에 취약한 서비스 비활성화 >

Dos (Denial of Service attack) : 
- 시스템 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격.
- 특정 서버에 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스를 이용하지 못하게 함.
- Dos 공격시 주요 사용 명령어 :
echo(출력) , discard(폐기) , daytime(날짜변경) , ntp(시간 설정) , snmp(장비 관리)

 

* 확인 방법 :

vi /etc/inetd.conf
--> 확인하면 아래처럼 되어있는데, 아래처럼 문장 맨앞에 주석처리를 하여 사용하지 못하게 하여 조치.(내부명령어라 internal)
#echo stream tcp6 nowait root internal
#discard stream tcp6 nowait root internal

 

---

< NFS 서비스 비활성화 >

- NFS(Network File System) : 원격 컴퓨터의 파일시스템을 로컬 시스템 처럼 사용할 수 있는 프로그램.(공유 폴더)
- 접근 제어 설정이 적절하지 않은 경우, 인증 절차 없이 비인가자의 디렉터리나 파일이 접근이 가능하다.
- 공유 시스템에 원격으로 마운트하여 중요파일을 변조하거나 유출.

* 조치 방법 : 마운트 권한 설정.
/etc/dfs/dfstab 의 rwx 권한에서 other 권한 삭제.

---

< 시스템 로그 기록 설정 >

/var/log/~~~ 위치의 여러 파일들.(syslog.conf는 예시) 
ㅡㅡㅡ
   서비스 종류 . 로그 종류 (원래 .앞뒤 공백x)

mail.debug;cron . crit;auth.info  /var/log/syslog.conf
--> cron으로 만든mail시스템중에 비인가자가 보낸 것중에 중요한것을 해당 위치에 남겨라.

mail.debug;cron . crit;auth.info  dev/console 

--> ~를 모니터 화면과 같은 콘솔로 메시지 출력.

mail.debug;cron . crit;auth.info  testuser 

--> testuser 계정만 로그 확인 가능.

mail.debug;cron . crit;auth.info  * 

--> 현재 로그인이 되어있는 모든 사용자의 화면 메시지 출력.

mail.debug;cron . crit;auth.info  @192.168.0.1 

--> 지정된 호스트(192.168.0.1)로 로그 전송.
ㅡㅡㅡㅡㅡ

* cron , auth 서비스 데몬 종류
* crit : 메시지 우선 순위

---

---

[ 서비스 데몬 종류 ]

auth : 로그인 등의 인증 프로그램에서 발생하는 메시지
cron : crontab에서 발생한 메시지
daemon : telnet, ftpd 등과 같은 데몬이 발생하는 메시지
kern : 커널이 발생시킨 메시지
mail : 메일 시스템에서 발생한 메시지
user : 사용자 프로세스 관련 메시지
lpr : 프린터 유형의 프로그램이 발생시킨 메시지

 

[ 메시지 우선 순위 ]

emerg : Emergency --> 매우 위험한 상황
alert : Alert --> 즉각적으로 조치를 취해야 하는 상황
crit : Critical --> 하드웨어 등의 심각한 오류가 발생한 상황
err : Error --> 단순한 에러 발생             
--- 위 4개는 에러 발생o, 아래 4개는 에러 발생x
warning : Warning --> 단순 경고
notice : Notice --> 에러가 아닌 알림
Information :  --> 단순한 정보 메시지
debug : --> 프로그램 실행 시 발생하는 메시지

---