Transcript 시스템 보안 실습
시스템 보안
- Linux 일반 2004년 8월 10일
김민영 ( [email protected] )
청주시 정보보호 전문가 양성과정
네트워크 보안
차례
SSH로 리눅스 서버의 보안 확보
―
―
―
―
―
Telnet 구동하기
Ethereal으로 Telnet 스니핑 하기
SSH 란 무엇인가?
최신 SSH설치하기
SSH 클라이언트를 이용한 리눅스 사용하기
FTP 서버 설치하기
― ProFTP 서버 설치
― 일반적인 ProFTP
― FTP 서버가동
Crack
Tiger
2
청주시 정보보호 전문가 양성과정
네트워크 보안
1. SSH로 리눅스 서버의 보안 확보
준비 사항
리눅스에 텔넷이 설치됨
필요한 파일
― Sniffit.0.3.5.tar.gz
― openssh-3-6.1.pl.tar.gz
― PuTTy.exe
3
청주시 정보보호 전문가 양성과정
네트워크 보안
1.1 Telnet 구동하기
루트로 로그온
― #vi /etc/xinetd.d/telnet
설정후
― # /etc/rc.d/init.d/xinetd restart
4
청주시 정보보호 전문가 양성과정
네트워크 보안
1.2 Sniffit으로 Telnet 스니핑 하기(5/5)
텔넷 사용하지 않기
― # vi /etc/xinetd.d/telent
disable=yes수정
― # /etc/rc.d/init.d/xinetd restart
5
청주시 정보보호 전문가 양성과정
네트워크 보안
1.3 SSH(Secure Shell)(1/7)
텔넷으로 리눅스 서버를 이용하는것은 보안에 커다란
허점을 가짐
FTP나 텔넷처럼 네트워크를 가로질러 리눅스 서버와
클라이언트 사이에 데이타가 이동할때는 데이터들이
암호화되지 않은 채로 전송
스니핑으로 데이터의 흐름을 분석해서 리눅스 서버의
암호를 취득 후 ...
데이타 자체를 암호화하여 전송 하기때문에 안전한 원
격 관리가 가능
6
청주시 정보보호 전문가 양성과정
네트워크 보안
1.3 SSH(Secure Shell)(2/7)
최신 OpenSSH3.5버전을 설치하자
― Ssh에 대한 패키지 정보 확인
7
청주시 정보보호 전문가 양성과정
네트워크 보안
1.3 SSH(Secure Shell)(3/7)
설치된 OpenSSH를 삭제
― # rpm -qa | grep openssh (-e --nodeps :무조건 삭제)
8
청주시 정보보호 전문가 양성과정
네트워크 보안
1.3 SSH(Secure Shell)(4/7)
최신 openssh다운받기(www.openssh.com)
파일 설치
―
―
―
―
―
―
# tar zxvf openssh-3.6p1.tar.gz
# cd openssh-3.6p1
# ./configure –prefix=/usr/local/openssh
# make
# make install
# cp /root/openssh-3.6p1/contrib/sshd.pam.generic /et
c/pam.d/sshd
― # cd /usr/local/openssh
― # /usr/local/openssh/sbin/sshd
― # vi /etc/rc.d/rc.local에 아래 부분 추가
# sshd 실행
/usr/local/openssh/sbin/sshd &
9
청주시 정보보호 전문가 양성과정
네트워크 보안
1.3 SSH(Secure Shell)(5/7)
SSH 클라이언트로 리눅스 서버에 접속하기
― # /usr/local/openssh/bin/ssh -l 사용자 서버 주소
― # /usr/local/openssh/bin/ssh 사용자@서버 주소
― 처음 연결하는 과정에서 사용자 인증을 위한 메시지 물음에 y
es라고 입력후 enter
10
청주시 정보보호 전문가 양성과정
네트워크 보안
FTP 서버 설치하기
요구 사항
― 리눅스에 다른 FTP가 설치 되어있는지 확인
― 기본으로 설치된 FTP를 삭제후 ProFTP 설치
― ProFTP 의 standalone 방식 설치
필요 파일
proftpd-1.2.8-1.i386.rpm
proftpd-standalone-1.2.8-1.i386.rpm
11
청주시 정보보호 전문가 양성과정
네트워크 보안
2.1 ProFTP 서버 설치(1/2)
ProFTP설치
― 기본 설치되는 ftp 검색 후 삭제
rpm -qa | grep wu-ftp
rpm -e –nodeps wu-ftp
rpm -qa | grep ftpd
아무것도 안 나타나면 설치 가능한다.
― ProFTP설치
rpm -Uvh proftpd-1.2.8-1.i386.rpm
rpm -Uvh proftpd-standalone-1.2.8-1.i386.rpm
12
청주시 정보보호 전문가 양성과정
네트워크 보안
2.1 ProFTP 서버 설치(2/2)
서버 타입의 두 종류
― Inetd
Ftp로 접속을 위한 클라이언트의 요청이 있을때 inetd를 거쳐서
ProFTP를 실행
FTP를 많이 사용하지 않는 경우에 권장
Standalone보다 응답속도가 느리다
― Standalone
Ftp서버 작동을 데몬으로 작동 시킴
Inetd방식보다 빠르다
메모리를 많이 차지하는 단점이 있다.
13
청주시 정보보호 전문가 양성과정
네트워크 보안
2.2 일반적인 ProFTP 설정(1/4)
# vi /etc/proftpd.conf
14
청주시 정보보호 전문가 양성과정
네트워크 보안
2.2 일반적인 ProFTP 설정(2/4)
ServerName
― 사용자가 ftp서버에 접속했을때 이 FTP의 서버의 이름을 지정
ServerType
― ProFTP를 실행시키는 방법
― Standalone형태로 설정
DefaultServer
― 목적지를 알 수 없는 접속이 들어 왔을 경우 기본설정으로 접속 시
키게하는 항목 기본값은 on
Port
― Port 번호
― Ftp의 경우 21번 port를 사용한다.
15
청주시 정보보호 전문가 양성과정
네트워크 보안
2.2 일반적인 ProFTP 설정(3/4)
Umask
― ftp 접속시 새로 만들어지는 파일과 디렉토리에 기본적으로 주어지
는 퍼미션
― 022라고 설정
디렉토리 퍼미션(755), 파일 퍼미션(644)
MaxInstances
― ProFTP서버가 스탠드얼론 모드일 때 최대 접속 가능한 사용자 수
를 지정
User, Group
― ProFTP를 실행할 때 생성되는 프로세스의 User와 Group을 지정
― 반드시 nobody로 설정 바람
16
청주시 정보보호 전문가 양성과정
네트워크 보안
2.2 일반적인 ProFTP 설정(4/4)
<Directory/> xxxxx
xx
</Directory>
― ftp 에 접속하여 전송하려는 파일이 기존에 있는 파일과 동일
할 때 어떻게 할 것인가에 대한 설정
AllOverwrite가 on이면 파일을 덥어쓸 수 있게 허락
AllOverwrite가 off 이면 Overwrite를 허락하지 않음
17
청주시 정보보호 전문가 양성과정
네트워크 보안
2.3 FTP 서버가동
FTP 서버시작
― # /etc/rc.d/init.d/proftpd restart
리눅스가 부팅할때마다 FTP 서버를 가동
― # ntsysv
18
청주시 정보보호 전문가 양성과정
네트워크 보안
Crack
패스워드파일(/etc/passwd)파일 점검
― 패스워드 알아내기
― 쉬운 패스워드 점검하기
― 취약한 패스워드 점검하기
Crack 다운 받는 곳
― ftp://ftp.cerias.purdue.edu/pub/tools/unix/pwdutils/crack
19
청주시 정보보호 전문가 양성과정
네트워크 보안
Crack (cont’)
설치하기
― 프로그램입수
― 압축해제 tar xvfp crack5.0.tar
― Crack 파일 시스템에 알맞게 수정
― ./Crack -makeonly
― ./Crack -makedict
― ./Crack /etc/passwd
― ./Reporter
./Reporter -quiet
./Reporter -html
20
청주시 정보보호 전문가 양성과정
네트워크 보안
tiger
Tiger 검사 항목
― 모든 사용자의 홈디렉토리에 있는 .rhosts, .netrc 파일
― 암호의 적합성 여부, 홈디렉토리의 이상 유무
― 메일 스풀 디렉토리 검사
― 시스템 파일들의 권한 조사
― /etc/services와 /etc/inetd.conf의 설정 조사
― NFS에서 export 된 파일 시스템 조사
― SETUID로 실행 가능한 파일들 조사
― 기타 여러 가지 파일 검사 등
21
청주시 정보보호 전문가 양성과정
네트워크 보안
Tiger 설치
Ftp로 다운 로드
― ftp:// net.tamu.edu/pub/security/TAMU/tiger2.2.4.p1.tar.gz
설치 디렉토리에 압축해제
― gunzip tiger-2.2.4.p1.tar.gz
― tar –xvf tiger-2.2.4.p1.tar
tigerrc 파일 설정
― 검사하고자 하는 항목 설정
22
청주시 정보보호 전문가 양성과정
네트워크 보안
Tiger 사용법
Tiger 실행
― tiger
― scripts 디렉토리에서 개별 모듈 실행
결과 파일
― Security.report .hostname.yymmdd-hh:mm
기타
― Tigexp msgid (tiger 결과에 대한 자세한 설명)
23
청주시 정보보호 전문가 양성과정
네트워크 보안
Q/A
24