[정보보안 정리] 시스템 - UNIX/Linux 서버 보안

*패스워드 저장 정책

-일반 패스워드 정책 : passwd 파일 내 계정 정보와 함께 저장

-shadow 패스워드 정책 : shadow 파일에 패스워드 별도로 저장

 

*passwd(/etc/passwd) 파일

[user_account]:[user_password]:[user_ID]:[group_ID]:[comment]:[home_directory]:[login_shell]

root:x:0:0:root:/root:/bin/bash

-로그인이 불필요한 계정은 로그인 쉘을 "/sbin/nologin" or "/bin/false"로 설정

 

*shadow(/etc/shadow) 파일

[user_account]:[encrypted_password]:[last_change]:[minlife]:[maxlife]:[warn]:[inactive]:[expires]

root:$1$inieWe43S$wefEWKFwfoewO/:16118:0:99999:7:::

-last_change : 마지막으로 패스워드 변경한 날 (1970년 1월 1일 기준 일수)

-minlife : 패스워드 최소 사용 기간

-maxlife : 패스워드 최대 사용 기간

-warn : 패스워드 만료 이전 경고일수

-inactive : 패스워드 만료 이후 계정이 잠기기 전까지 비활성 일수

-expires : 계정 만료일 설정

 

$ID$Salt$encrypted_password
$1$inieWe43S$wefEWKFwfoewO/

-ID : 암호화에 적용된 일방향 해시 알고리즘 식별 ID

(1) 1:MD5

(2) 2:BlowFish

(3) 5:SHA-256

(4) 6:SHA-512

 

-Salt : 패스워드 암호화 강도를 높이기 위한 임의의 값. 사용자가 지정한 패스워드에 솔트를 추가하여 암호화된 패스워드 생성

(1) 동일한 패스워드를 사용해도 서로 다른 솔트에 의해 실제 암호화된 패스워드(해시값)은 서로 다름

(2)레인보우 테이블 공격에 대응 가능

• 레인보우 테이블 공격을 통해 암호화된 패스워드의 평문 패스워드를 알아내더라도, 이는 솔트와 조합된 패스워드의 해시값에 대한 평문 패스워드로 실제 패스워드가 아니다. 크랙된 평문 패스워드로 로그인시, 패스워드 검증을 하면 입력한 패스워드에 솔트를 추가한 값과 해시값을 비교하므로 로그인에 실패가 됨

 

---

 

*프로세스 실행권한(SUID,SGID)

-RUID : 프로세스 실행시킨 사용자의 UID

-EUID : 프로세스가 실행중인 동안에만 부여되는 UID

-SUID : 프로세스가 실행중인 동안에 일시적으로 해당 실행파일의 소유자 권한으로 자원에 접근할 수 있도록 하는 권한 설정

ex)SUID 설정된 프로세스 실행 시 EUID는 파일 소유자의 UID가 되고, RUID는 실행시킨 사용자의 UID

 

특수권한(3bit)			user(3bit)			group(3bit)			other(3bit)
4	2	1	4	2	1	4	2	1	4	2	1
s(suid)	s(sgid)	t(sticky-bit)	r	w	x	r	w	x	r	w	x

ex)755 접근권한 text.out에 suid 설정

: chmod 4755 text.out (or chmod u+s text.out)

 

*디렉터리 접근권한(Sticky-Bit)

: sticky-bit가 설정된 디렉터리는 시스템에 있는 모든 사용자들이 자유롭게 파일 디렉터리를 생성가능하나,

파일 삭제 및 파일명 변경은 소유자 또는 root만 가능

 

---

 

*보안 쉘[SSH]

: 암호 통신을 이용하여 네트워크 상의 다른 컴퓨터에 접속하여 원격으로 명령을 실행하거나 파일 조작하는 응용 프로그램 또는 프로토콜

-암호화된 원격 터미널 서비스

-암호화된 파일 송수신 서비스

-rsh, rlogin, Telnet, fTP 취약점 대체

-22/tcp

 

---

 

*슈퍼 서버[inetd 데몬]

: 공통적인 부분을 처리하는 데몬

-데몬의 데몬 프로세스라는 의미

-개별 서비스를 등록하게 하여 클라이언트 요청은 슈퍼 데몬이 모두 처리하고, 개별 서비스를 호출해주는 방식

(1) Stand-Alone : 개별 서비스별로 서버 프로세스가 동작하는 방식. 

속도는 빠르나, 서버 리소스를 많이 점유

(2) inetd(xinetd) : 슈퍼 데몬을 이용하여 개별 서비스를 동작시키는 방식.

상대적으로 속도는 느리나, 서버 리소스 절약

-N개의 개별 서버를 하나로 통합하여 클라이언트로부터 서비스 요청이 올 때마다 해당 서비스에 관련된 실행 모듈 실행

-최초 실행 시 /etc/inetd.conf 파일 정보 참조

 

서비스명   소켓타입   프로토콜  플래그   사용할 사용자 계정   실행 경로명          실행 인수
ftp      stream     tcp    nowait      root     /user/sbin/in.ftpd   in.ftpd -l -a

-서비스 명 : inetd 데몬은 /etc/services 파일에 등록된 포트번호를 참조하여 서비스할 프로세스의 포트 결정

-소켓 타입 : tcp 기반 서비스는 stream, udp 기반 서비스는 datagram

-프로토콜 : /etc/protocols 파일의 프로토콜 중 사용가능한 프로토콜 설정.

-플래그 : 서비스 요청을 받은 이후 즉시 다음 서비스 요청을 처리할지 (nowait) 아니면

요청 처리가 완료될 때까지 대기하였다가 다음 요청 처리(wait)

 

*불필요한/취약한 서비스 비활성화

-Dos 공격에 취약한 Simple TCP 서비스 : echo(7/tcp), discard(9/tcp),daytime(13/tcp),chargen(19/tcp)

-r 계열 서비스 : rlogin, rsh, rexec

-불필요한 rpc(remote procedure call) 서비스 : rpc.cmsd, rusersd

-finger, tftp, talk

 

---

 

*접근 통제[TCP Wrapper]

: 외부에서 들어오는 클라이언트에 대해 접근통제 기능 제공

-클라이언트의 IP 주소 확인후 시스템 관리자가 접근을 허용한 호스트들에 대해서만 서비스 허용

-접근 허용 및 차단 판단 : /etc/hosts.allow 와 /etc/hosts.deny 파일에 정의된 호스트 정보 기준

(1)hosts.allow 파일 먼저 참조

 

service_list : client_list [: shell_command]

service_list // 한 개 이상의 네트워크 서비스 명 또는 예약어. 구분자는 "," client_list // 한 개 이상의 호스트명, 도메인명, IP주소, 네트워크ID, 또는 예약어. 구분자는 "," shell_command //일치하는 것이 있을 때 선택적으로 tcpd가 실행하는 쉘 명령

hosts.deny	hosts.allow	설명
ALL : ALL	ALL : 192.168.1.1	192.168.1.1 IP 주소에 대해 모든 서비스 이용 가능
ALL : ALL	ALL EXCEPT in.telnetd : ALL	모든 호스트에 대해  Telnet 서비스를 제외한 모든 서비스 가능

 

---

 

*슈퍼 데몬[xinetd]

:기존 inetd 슈퍼 데몬의 비효율적인 리소스 관리와 보안성 문제 극복을 위해 나온 슈퍼 데몬

-/etc/xinetd.conf : 글로벌 xinetd 설정파일

-/etc/xinetd.d/서비스 설정파일 : 개별 서비스 설정파일

telnet
---------------

service telnet
{
	disable = no
    flags		= REUSE
    socket_type = stream
    wait		= no
    user		= root
    server		= /usr/sbin/in.telnetd
    log_on_failure	+= USERID
    no_access		= 192.168.57.20 10.10.10.0/24
    #only_from		= 10.10.10.0/24
    access_times	= 09:00-12:00 13:00-18:00
    cps			= 50 10
    instances	= 100
    per_source	= 10
}

-cps : 첫번째 인자는 초당 연결 개수, 두 번째 인자는 초당 연결 개수를 초과하면 일시적으로 서비스 중지 대기 시간

-instances : 동시에 서비스 할 수 있는 서버의 최대 개수

-per_source : 출발지 IP 기준으로 최대 서비스 연결 개수

 

---

 

*PAM(Pluggable Authentication Modules, 장착형 인증 모듈)

: 리눅스 시스템 내 사용되는 각종 어플리케이션 인증을 위해 제공되는 인증용 라이브러리

- 일반적으로 /lib/security 또는 /usr/lib/security 디렉터리에 저장

---

-PAM 사용시 인증 절차

(1) 각 프로그램(login, FTP 등)이 인증이 필요한 부분에 PAM 라이브러리 호출

(2) PAM 라이브러리 호출 시 해당 프로그램의 PAM 설정파일 참조하여 등록된 여러 PAM 모듈 수행, 그 결과를 응용 프로그램에 반환

(3) 응용 프로그램은 반환된 결과를 이용하여 인증 여부 결정

 

• /etc/pam.d : PAM 라이브러리 이용하는 각 응용 프로그램의 설정 파일 위치

• /lib/security : PAM 라이브러리가 제공하는 다양한 인증 모듈 위치

• /etc/security : PAM 모듈 실행에 필요한 추가 설정 파일 위치

---

-PAM 설정파일(/etc/pam.d/remote)

remote
----------------------

auth		required	pam_securetty.so
account		required	system-auth
-------------------------------------
type		control		module-path		module-arguments

(1) type : PAM 모듈 종류

• account(계정) : 서비스 사용자 계정의 유효성 검증
• auth(인증) : 서비스 사용자 계정의 사용자 신원확인 수행
• password(패스워드) : 서비스 사용자 계정의 비밀번호 설정 및 변경조건 지정
• session(세션) : 서비스 사용자 계정의 인증처리 전후에 수행할 직업 지정

 

(2) control : 각 모듈 실행 후 성공 또는 실패에 따른 PAM 라이브러리 행동 결정

• requisite : 인증 실패시 즉시 인증 거부
• required : 인증 실패하더라도 다음 라인 모듈 실행, 최종 결과는 인증 실패
• sufficient : 이전 요청 모듈 실패하더라도 여기서 성공시 PAM 인증 성공 ( 단, 이전에 위치한 required 모듈이 모두 성공일시)
• optional : 모듈 설공, 실패 결과 모두 무시

 

(3) module-path : PAM에서 사용할 실제 모듈파일 위치 경로

 

(4) module-arguments : 모듈에게 전달되는 인수

 

---

 

-PAM 활용 1 (root 계정 원격 접속 금지)

(1) /etc/securetty 파일에 등록된 터미널이 아니면 root 접속 허용 X로 PAM 설정

(2) /etc/securetty 파일에 pts/~ 터미널을 모두 주석처리 또는 제거

 

-PAM 활용 2 (계정 잠금 임계값 지정 및 암호입력 실패 횟수 제한)

(1) Brute Force 공격 또는 사전 공격 발생을 대비해 암호입력 실패 횟수를 제한

(2) 계정 잠금 임계값을 지정 (5회 이하) 후 초과 시 패스워드 일정시간 잠금

(3) pam_tally2.so 이용

system-auth
--------------------
auth	required	pam_tally2.so deny=5 unlock_time=120

(4) /etc/pam.d 의 system-auth 서비스 설정파일에 pam_tally2 모듈을 추가

 

-PAM 활용 3 (su 명령어 제한)

(1) su 명령을 권한 없는 사용자가 사용 시 root 권한 획득 가능

(2) pam_wheel.so 모듈 이용

(3) wheel 그룹에 su 명령어 사용할 사용자들만 추가

su
---------
auth	required	pam_wheel.so use_uid debug

(4) /etc/pam.d 디렉터리에 있는 su 서비스 설정 파일 수정

 

---

 

*sudo 명령

: 다른 사용자 계정 권한으로 명령어 실행하고자 할 때 사용하는 명령어

-su 명령 사용시 관리자의 비밀번호를 알려줘야 한다는 부담이 있으므로 sudo 권장

-sudo 명령 설정 파일 : sudoers (/etc/sudoers)

sudo [-u 실행 권한 계정명] 명령어

-u  //명령어 실행할 때 가질 권한 계정명. 생략시 root

$sudo /batch/log_batch.sh

 

계정명		호스트명=(실행 권한 계정명)	[NOPASSWD:]명령어
test		ALL=(ALL)			ALL
test		192.168.56.100=(ALL)		ALL

-NOPASSWD 설정 시 sudo 명령 실행하는 계정 비밀번호 묻지 않음

 

---

 

*utmp(x)

: 현재 로그인한 사용자의 상태정보

-binary 파일

-w, who, finger 명령어 이용

-Linux : /var/run/utmp

-UNIX : /var/adm/utmpx

 

---

 

*wtmp(x)

: 사용자의 성공한 로그인/로그아웃 정보, 시스템 Boot/Shutdown 정보에 대한 히스토리

-binary 파일

-last 명령어 이용

-Linux : /var/log/wtmp

-UNIX : /var/adm/wtmpx

 

---

 

*lastlog

: 가장 최근(마지막) 성공한 로그인 기록

-binary 파일

-lastlog(Linux), finger(Linux, UNIX) 명령어 이용

-Linux : /var/log/lastlog

-UNIX : /var/adm/lastlog

 

---

 

*btmp(Linux), loginlog(UNIX)

: 실패한 로그인 시도

-Linux : /var/log/btmp

(1) binary 파일

(2) lastb 명령어 이용

(3) 실패한 모든 로그

-UNIX : /var/adm/loginlog

(1) 텍스트 파일

(2) vi등 편집기 이용

(3) 5회 이상 실패 시 실패한 로그

 

---

 

*sulog

: su 명령 사용 결과 저장

-UNIX : /var/adm/sulog

(1) 텍스트 파일

(2) vi 등 편집기 이용

-Linux : /var/log/secure

 

---

 

*acct/pacct

: 시스템에 로그인한 모든 사용자가 로그아웃 할 때까지 입력한 명령어, 터미널 종류, 프로세스 시작 시간

-binary 파일

-lastcomm 명령어 이용

-Linux : /var/account/pacct

(1) 기본 생성되는 로그 파일이 아니므로 "accton /var/account/pacct" 실행 필요

-UNIX : /var/adm/pacct

(1) "/usr/lib/acct/accton /var/adm/pacct" 실행 필요

 

---

 

*history

: 각 계정별로 실행한 명령어에 대한 기록

-로그 파일은 ".쉘종류_history" 형식으로 생성

-텍스트 파일

-vi 편집기를 통해 확인 가능

-history 명령 이용

 

---

 

*secure

: 사용자 인증에 대한 정보를 기록

-원격에서 접속한 내역, su명령 수행 내역 저장

-Linux : /var/log/secure

 

---

 

*messages

: 시스템 운영에 대한 전반적인 메시지 저장

-시스템 데몬들의 실행상황, 내역, 사용자들 접속정보, TCP Wrapper 접근 제어 정보 등 저장

-Linux : /var/log/messages

 

---

 

*dmesg

: 리눅스 부팅시 출력되는 모든 메시지 기록

-텍스트 형식

-dmesg 명령 이용

-Linux : /var/log/dmesg

 

---

 

*boot.log

: 리눅스 부팅 시 파일 시스템에 대한 체크, 서비스 데몬들의 실행 상태 기록

-Linux : /var/log/boot.log

 

---

 

*xferlog

: FTP 로그 파일로서 proftpd 또는 vsftpd 데몬들의 서비스 내역 기록

-FTP 로그인 사용자에 대한 로그 기록과 어떤 파일을 업로드/다운로드 하는지 상세히 기록

-Linux : /var/log/xferlog

Fri Mar 10 12:09:44 2023 1 192.168.159.153 1011 /home/test/test.c a _ i r test ftp 0 * c
-----------------------------------------------------------------------------------------
          1              2        3         4           5         6 7 8 9  10  11  12 13 14

 

(1) 전송 날짜 및 시간

(2) 전송 소요 시간 (초)

(3) 원격 호스트 주소

(4) 전송 파일 크기

(5) 전송 파일 명

(6) 전송 파일 종류

• a: ascii
• b : binary

(7) 액션 플래그/ FTP 서비스내 적용 내용

• _ : 아무 액션 없음
• C : 압축 파일
• U : 압축되지 않은 파일
• T : tar로 묶여 있는 파일

(8) 전송 방향

• i : incoming(파일을 서버로 올림)
• o : outgoing(파일을 서버에서 내림)
• d : delete(파일을 서버에서 삭제)

(9) 사용자 접근 방식

• r : real(인증된 사용자)
• a : anonymous

(10) 로그인 사용자명

(11) 서비스명

(12) 사용자 인증 방법

• 0 (없음)

(13) 인증 사용자 ID

• 인증 방법에 의해 되돌려지는 User ID
• *(인증된 사용자 ID 사용할 수 없다)

(14) 파일 전송 상태

• c : complete
• i : incomplete

 

---

 

*cron

: cron 작업에 대하여 기록

-Linux : /var/log/cron

 

---

 

*maillog

: senmail, qmail 등과 같은 메일 송수신 관련 내역들과 ipop, imap 등과 같은 수신내역

-메일 로그 파일

-Linux : /var/log/maillog

 

---

 

*mail

: 사용자들에 대한 메일 보관

-Linux : /var/spool/mail

 

---

https://linuxhandbook.com/syslog-guide/

 

*syslog

-syslog 표준 인터페이스를 통해 커널 및 응용 프로그램에 의해 발생하는 로그를 체계적으로 생성 및 관리

-커널 및 응용 프로그램이 syslog API를 통해 로그 생성시 syslogd 데몬 프로세스가 syslog.conf 설정 파일 참조하여 지정한 로그 파일, 콘솔 또는 외부 서버 등에 로그 기록

-/etc/syslog.conf : 시스템 로그 데몬 (syslogd)이 실행될 때 참조되는 로그 파일

facility.priority; facility.priority; ...                                                                                         action(logfile-location)

A.B                  A.B                                                                                                                         C

authpriv.*             /var/log/secure             //authpriv에 속하는 서비스(xinetd 등)의 모든 로그 수준의 로그를 기록

-A 서비스에 대해서 B 로그 레벨 이상 상황 발생시 C 형식으로 로그 남김

*facility : 로그 생성 서비스

*	모든 서비스
atuh authpriv	인증 및 보안 관련 메시지
cron	cron 데몬과 atd 데몬에 의해 발생되는 메시지
daemon	telnet, ftp 등과 같은 데몬에 의한 메시지
kern	kernel에 의한 메시지
lpr	프린트 데몬인 lpd에 의해 발생되는 메시지
mail	sendmail, pop, qmail 등의 메일 시스템에서 발생
news	USENET 등 뉴스시스템에 의해 발생
uucp	uucp에 의한 시스템 메시지
user	사용자에 의해 생성된 프로세스
syslog	syslogd에 의해 발생되는 메시지
local0~ local7	시스템 부팅 메시지 기록

*UUCP : 뉴스나 전자 메일을 전송하기 위해 사용하는 대규모 국제 네트워크

 

*priority : 로그 수준(Level)

높음 낮음	Emergency (emerg)	system is unusable
	alert (alert)	action must be taken immdiately
	Critical (crit)	critical condition
	Error (err)	error condition
	Warning (warning)	warning condition
	Notice (notice)	normal, but significant condition
	Information (info)	information message
	debug (debug)	debug-level message

 

*action : 로그를 어디에 남길 것인지 결정

로그 파일	파일명 지정 (ex. /var/log/secure)
콘솔	/dev/console 지정 시 콘솔 출력
원격 로그 서버	"@호스트 주소"로 지정한 호스트로 로그 보냄
user	지정된 사용자의 스크린으로 메시지 보냄
*	현재 로그인된 모든 사용자에게 보냄

 

---

 

*logrotate : 시스템 로그파일 관리 도구

-로그 파일 순환 (rotate) 기능, 압축(compress) 기능 가짐

logrotate.conf
-------------------------------------

weekly
rotate 4
create
dateext
#compress
include /etc/logrotate.d

-daily, monthly, weekly : 일, 월, 주 단위 로그파일 순환

-rotate n : 순환 로그파일 개수를 n개로 지정

-create [퍼미션] [소유자] [소유그룹] : 순환 시 새롭게 로그파일 생성하며, 퍼미션, 소유자, 소유그룹 지정 가능

-dateext : 로그파일 확장자로 날짜를 붙여서 보관

-compress, uncompress : 로그파일 압축, 압축안함

-size n : 지정한 크기가 되면 로그파일 순환

-include /etc/logrotate.d : 해당 디렉터리에 있는 개별 데몬, 프로세스 설정 파일 포함