Transcript 시스템 보안 실습
시스템 보안 - Linux 일반 2004년 8월 10일 김민영 ( [email protected] ) 청주시 정보보호 전문가 양성과정 네트워크 보안 차례 SSH로 리눅스 서버의 보안 확보 ― ― ― ― ― Telnet 구동하기 Ethereal으로 Telnet 스니핑 하기 SSH 란 무엇인가? 최신 SSH설치하기 SSH 클라이언트를 이용한 리눅스 사용하기 FTP 서버 설치하기 ― ProFTP 서버 설치 ― 일반적인 ProFTP ― FTP 서버가동 Crack Tiger 2 청주시 정보보호 전문가 양성과정 네트워크 보안 1. SSH로 리눅스 서버의 보안 확보 준비 사항 리눅스에 텔넷이 설치됨 필요한 파일 ― Sniffit.0.3.5.tar.gz ― openssh-3-6.1.pl.tar.gz ― PuTTy.exe 3 청주시 정보보호 전문가 양성과정 네트워크 보안 1.1 Telnet 구동하기 루트로 로그온 ― #vi /etc/xinetd.d/telnet 설정후 ― # /etc/rc.d/init.d/xinetd restart 4 청주시 정보보호 전문가 양성과정 네트워크 보안 1.2 Sniffit으로 Telnet 스니핑 하기(5/5) 텔넷 사용하지 않기 ― # vi /etc/xinetd.d/telent disable=yes수정 ― # /etc/rc.d/init.d/xinetd restart 5 청주시 정보보호 전문가 양성과정 네트워크 보안 1.3 SSH(Secure Shell)(1/7) 텔넷으로 리눅스 서버를 이용하는것은 보안에 커다란 허점을 가짐 FTP나 텔넷처럼 네트워크를 가로질러 리눅스 서버와 클라이언트 사이에 데이타가 이동할때는 데이터들이 암호화되지 않은 채로 전송 스니핑으로 데이터의 흐름을 분석해서 리눅스 서버의 암호를 취득 후 ... 데이타 자체를 암호화하여 전송 하기때문에 안전한 원 격 관리가 가능 6 청주시 정보보호 전문가 양성과정 네트워크 보안 1.3 SSH(Secure Shell)(2/7) 최신 OpenSSH3.5버전을 설치하자 ― Ssh에 대한 패키지 정보 확인 7 청주시 정보보호 전문가 양성과정 네트워크 보안 1.3 SSH(Secure Shell)(3/7) 설치된 OpenSSH를 삭제 ― # rpm -qa | grep openssh (-e --nodeps :무조건 삭제) 8 청주시 정보보호 전문가 양성과정 네트워크 보안 1.3 SSH(Secure Shell)(4/7) 최신 openssh다운받기(www.openssh.com) 파일 설치 ― ― ― ― ― ― # tar zxvf openssh-3.6p1.tar.gz # cd openssh-3.6p1 # ./configure –prefix=/usr/local/openssh # make # make install # cp /root/openssh-3.6p1/contrib/sshd.pam.generic /et c/pam.d/sshd ― # cd /usr/local/openssh ― # /usr/local/openssh/sbin/sshd ― # vi /etc/rc.d/rc.local에 아래 부분 추가 # sshd 실행 /usr/local/openssh/sbin/sshd & 9 청주시 정보보호 전문가 양성과정 네트워크 보안 1.3 SSH(Secure Shell)(5/7) SSH 클라이언트로 리눅스 서버에 접속하기 ― # /usr/local/openssh/bin/ssh -l 사용자 서버 주소 ― # /usr/local/openssh/bin/ssh 사용자@서버 주소 ― 처음 연결하는 과정에서 사용자 인증을 위한 메시지 물음에 y es라고 입력후 enter 10 청주시 정보보호 전문가 양성과정 네트워크 보안 FTP 서버 설치하기 요구 사항 ― 리눅스에 다른 FTP가 설치 되어있는지 확인 ― 기본으로 설치된 FTP를 삭제후 ProFTP 설치 ― ProFTP 의 standalone 방식 설치 필요 파일 proftpd-1.2.8-1.i386.rpm proftpd-standalone-1.2.8-1.i386.rpm 11 청주시 정보보호 전문가 양성과정 네트워크 보안 2.1 ProFTP 서버 설치(1/2) ProFTP설치 ― 기본 설치되는 ftp 검색 후 삭제 rpm -qa | grep wu-ftp rpm -e –nodeps wu-ftp rpm -qa | grep ftpd 아무것도 안 나타나면 설치 가능한다. ― ProFTP설치 rpm -Uvh proftpd-1.2.8-1.i386.rpm rpm -Uvh proftpd-standalone-1.2.8-1.i386.rpm 12 청주시 정보보호 전문가 양성과정 네트워크 보안 2.1 ProFTP 서버 설치(2/2) 서버 타입의 두 종류 ― Inetd Ftp로 접속을 위한 클라이언트의 요청이 있을때 inetd를 거쳐서 ProFTP를 실행 FTP를 많이 사용하지 않는 경우에 권장 Standalone보다 응답속도가 느리다 ― Standalone Ftp서버 작동을 데몬으로 작동 시킴 Inetd방식보다 빠르다 메모리를 많이 차지하는 단점이 있다. 13 청주시 정보보호 전문가 양성과정 네트워크 보안 2.2 일반적인 ProFTP 설정(1/4) # vi /etc/proftpd.conf 14 청주시 정보보호 전문가 양성과정 네트워크 보안 2.2 일반적인 ProFTP 설정(2/4) ServerName ― 사용자가 ftp서버에 접속했을때 이 FTP의 서버의 이름을 지정 ServerType ― ProFTP를 실행시키는 방법 ― Standalone형태로 설정 DefaultServer ― 목적지를 알 수 없는 접속이 들어 왔을 경우 기본설정으로 접속 시 키게하는 항목 기본값은 on Port ― Port 번호 ― Ftp의 경우 21번 port를 사용한다. 15 청주시 정보보호 전문가 양성과정 네트워크 보안 2.2 일반적인 ProFTP 설정(3/4) Umask ― ftp 접속시 새로 만들어지는 파일과 디렉토리에 기본적으로 주어지 는 퍼미션 ― 022라고 설정 디렉토리 퍼미션(755), 파일 퍼미션(644) MaxInstances ― ProFTP서버가 스탠드얼론 모드일 때 최대 접속 가능한 사용자 수 를 지정 User, Group ― ProFTP를 실행할 때 생성되는 프로세스의 User와 Group을 지정 ― 반드시 nobody로 설정 바람 16 청주시 정보보호 전문가 양성과정 네트워크 보안 2.2 일반적인 ProFTP 설정(4/4) <Directory/> xxxxx xx </Directory> ― ftp 에 접속하여 전송하려는 파일이 기존에 있는 파일과 동일 할 때 어떻게 할 것인가에 대한 설정 AllOverwrite가 on이면 파일을 덥어쓸 수 있게 허락 AllOverwrite가 off 이면 Overwrite를 허락하지 않음 17 청주시 정보보호 전문가 양성과정 네트워크 보안 2.3 FTP 서버가동 FTP 서버시작 ― # /etc/rc.d/init.d/proftpd restart 리눅스가 부팅할때마다 FTP 서버를 가동 ― # ntsysv 18 청주시 정보보호 전문가 양성과정 네트워크 보안 Crack 패스워드파일(/etc/passwd)파일 점검 ― 패스워드 알아내기 ― 쉬운 패스워드 점검하기 ― 취약한 패스워드 점검하기 Crack 다운 받는 곳 ― ftp://ftp.cerias.purdue.edu/pub/tools/unix/pwdutils/crack 19 청주시 정보보호 전문가 양성과정 네트워크 보안 Crack (cont’) 설치하기 ― 프로그램입수 ― 압축해제 tar xvfp crack5.0.tar ― Crack 파일 시스템에 알맞게 수정 ― ./Crack -makeonly ― ./Crack -makedict ― ./Crack /etc/passwd ― ./Reporter ./Reporter -quiet ./Reporter -html 20 청주시 정보보호 전문가 양성과정 네트워크 보안 tiger Tiger 검사 항목 ― 모든 사용자의 홈디렉토리에 있는 .rhosts, .netrc 파일 ― 암호의 적합성 여부, 홈디렉토리의 이상 유무 ― 메일 스풀 디렉토리 검사 ― 시스템 파일들의 권한 조사 ― /etc/services와 /etc/inetd.conf의 설정 조사 ― NFS에서 export 된 파일 시스템 조사 ― SETUID로 실행 가능한 파일들 조사 ― 기타 여러 가지 파일 검사 등 21 청주시 정보보호 전문가 양성과정 네트워크 보안 Tiger 설치 Ftp로 다운 로드 ― ftp:// net.tamu.edu/pub/security/TAMU/tiger2.2.4.p1.tar.gz 설치 디렉토리에 압축해제 ― gunzip tiger-2.2.4.p1.tar.gz ― tar –xvf tiger-2.2.4.p1.tar tigerrc 파일 설정 ― 검사하고자 하는 항목 설정 22 청주시 정보보호 전문가 양성과정 네트워크 보안 Tiger 사용법 Tiger 실행 ― tiger ― scripts 디렉토리에서 개별 모듈 실행 결과 파일 ― Security.report .hostname.yymmdd-hh:mm 기타 ― Tigexp msgid (tiger 결과에 대한 자세한 설명) 23 청주시 정보보호 전문가 양성과정 네트워크 보안 Q/A 24