레이블이 RedHat인 게시물을 표시합니다. 모든 게시물 표시

2012-09-15

Mail] procmail 설치하기

원문 :

http://procmail.episode.co.kr/bbs/view.php?id=doc&page=2&sn1=&divpage=1&sn=off&ss=on&sc=on&select_arrange=headnum&desc=asc&no=20

2. procmail 설치하기

여기서는 sendmail/qmail 에 대한 설치법 및 기본적인 설정법과 procmail 설치법에 대해
설명합니다.
여기에 작성되는 모든 내용은 리눅스(RedHat 7.3) 기반의 rpm 으로 설명됩니다.
보 다 상위버전에서는 보다 쉽게 설치가 가능하리라 생각합니다.

2.1 sendmail procmail hcode

rpm 기반의 설치법은 상당히 간단한 편입니다.
일단 아래내용을 보면

$ su -
Password:
# rpm -Uvh sendmail-8.13.1-2.src.rpm
1:sendmail ########################################### [100%]
# cd /usr/src/redhat/SPECS/
# rpm -ba --target i686 sendmail.spec
# cd /usr/src/redhat/RPMS/i686/
# rpm -Uvh sendmail-*.rpm
# cp -p /usr/sbin/sendmail.sendmail /usr/sbin/sendmail
# cp -p /etc/pam.d/smtp.sendmail /etc/pam.d/smtp
# cd /etc/mail
# make
# /etc/rc.d/init.d/sendmail restart

위 내용만으로 기본적인 설정은 종료됩니다.
위에서 사용된 sendmail-8.13.1-2.src.rpm 은
http://procmail.episode.co.kr 에서 구할수 있습니다.

다 음은 procmail 에 대한 설치법입니다.
리눅스에는 기본으로 설치되는 추세이기에 기본적으로 설치가 되어 있을 것입니다.
그 러나 여기에 있는 최신 버전을 i686 으로 설치해 주는것이 더 빠르고 안전하게 작동하리라 생각합니다.

$ su -
Password:
# rpm -Uvh procmail-3.22-5.src.rpm
1:procmail ########################################### [100%]
# cd /usr/src/redhat/SPECS/
# rpm -ba --target i686 procmail.spec
# cd /usr/src/redhat/RPMS/i686/
# rpm -Uvh procmail-3.22-5.i686.rpm
# cd /etc/mail
# make
# /etc/rc.d/init.d/sendmail restart

역시 위에서 사용된 procmail-3.22-5.src.rpm 은
http://procmail.episode.co.kr 에서 구할수 있습니다.

마 지막으로 한글디코딩을 위한 hcode 의 설치입니다.

$ su -
Password:
# rpm -Uvh hcode-2.1m3-4.src.rpm
1:hcode ########################################### [100%]
# cd /usr/src/redhat/SPECS/
# rpm -ba --target i686 hcode.spec
# cd /usr/src/redhat/RPMS/i686/
# rpm -Uvh hcode-2.1m3-4.i686.rpm

역 시 소스는 http://procmail.episode.co.kr 에서 구할수 있습니다.

2.2 sendmail procmail hcode 연동 확인

정상적으로 설치되었을 경우 연동확인은 하지 않아도 되지만
만 약에 정상적으로 설치가 되지 않았다면 수동으로 설치해 줍니다.

$ cat /etc/mail/sendmail.mc | grep procmail
define(`PROCMAIL_MAILER_PATH',`/usr/bin/procmail')dnl
FEATURE(local_procmail,`',`procmail -t -Y -a $h -d $u')dnl
MAILER(procmail)dnl

위 내용이 출력되지 않거나 다르게 출력된다면 적절히 수정하고
다음을 실행합니다.

$ su -
Password:
# cd /etc/mail
# vi /etc/mail/sendmail.mc
# make
# /etc/rc.d/init.d/sendmail restart

이것으로 연동은 확인은 끝입니다.

2.3 sendmail 기반의 필터링 적용

procmail 의 설정화일은 단 한개입니다.
http://procmail.episode.co.kr 에서 procmailrc 를 다운받아 /etc/procmailrc 에 저장한 후
샌드메일을 재가동 하는것으로 모든 필터링 적용이 끝납니다.
단, 주의할것은 단순히 메모장으로 작성하여 업로드 할 경우 procmail 이 인식을 하지 못할 경우가 있습니다.
vi 를 열어서 입력하거나, unix 포멧의 화일로 저장하는것이 안전합니다.

2.4 qmail 과 procmail 의 연동 => qmail 사용자 추가 사항...

2.4.1 기초사항

기본적으로 procmail 은 sendmail procmail 상황에 맞춰져 작성되어 있습니다.
따라서 MAILDIR, DEFAULT 등의 변수를 사용자가 직접 설정해 주어야 합니다.

또한, 실제계정을 이용한 qmail 과 qmail vpopmail 을 이용한 가상계정에서의
procmail 연동방식이 달라집니다.

또하나 주의할것은 qmail 은 기본적으로 각각의 이메일 사용자계정의 권한으로 설정됩니다.
따라서, /etc/procmailrc 와 /var/log/qmail/procmail 등의 화일권한을 수정해주어야 합니다.

아래에 세부적인 설정 방법을 알려드립니다.

2.4.2 qmail procmail(공통부분)

procmail, hcode 의 설치방법은 sendmail 방식과 같습니다.
세 부적인 설치법은 sendmail 방식을 참고합니다.

위 두개의 화일을 설치후 다음의 명령을 실행합니다.

$ su -
# vi /etc/procmailrc
# chmod 644 /etc/procmailrc
# touch /var/log/procmail
# chmod 644 /var/log/procmail

2.4.3 실제계정을 사용할 경우

/etc/procmailrc 의 상단에 다음을 추가합니다.

MAILDIR=$HOME/Maildir/
DEFAULT=$MAILDIR

그 다음에 rc 화일을 수정합니다.

# vi /var/qmail/rc
| /path/to/preline /path/to/procmail -p -m /etc/procmailrc

qmail 을 재가동합니다.

2.4.4 가상계정을 사용할 경우 (vpopmail mysql사용시)

/etc/procmailrc 의 마지막 부분과, $DEFAULT 를 사용한 부분 모두에 다음으로 변경한다.

:0 w
| /path/to/vdelivermail '' bounce-no-mailbox

2012-09-14

Linux]Red Hat RHEL4에 Oralcle 10g R2 설치, Intsall HOWTO

Red Hat RHEL4에 Oralcle 10g R2 설치, Intsall HOWTO

출처 : http://tykim.wordpress.com/2007/04/11/red-hat-rhel4%ec%97%90-oralcle-10g-r2-%ec%84%a4%ec%b9%98-intsall-howto/

FreeBSD] 암호없이 ssh/scp사용방법

이 글은 암호없이 scp를 사용하는 방법을 설명한다.

리눅스 시스템 관리자는 자주 컴퓨터간에 파일을 복사하거나 파일을 여러 컴퓨터로 전송한다.
ftp를 사용해도 되지만, scp를 사용하면 많은 이점이 있다.
ftp는 LAN/WAN에 내용(심지어 암호도)을 그대로 전송하지만, scp는 암호화하여 전송하기때문에 ftp보다 안전하다.

scp 의 장점은 쉽게 스크립트에서 사용할 수 있는 점이다. 파일을 리눅스 컴퓨터 100대로 복사한다고 가정한다. 직접 100번 복사 명령어를 실행하는 것보다 스크립트를 작성하고 싶을 것이다.
스크립트에서 ftp를 사용하면 로그인할때마다 암호를 물어보기때문에 힘들다.
(역주; netrc 파일을 사용하여 암호를 자동으로 입력하게 만들 수 있지만 보안상 위험하다).

대 신 scp를 사용하는 경우 원격 리눅스 컴퓨터가 암호를 물어보지 않도록 설정할 수 있다. 믿거나 말거나 이 방법은 ftp보다 훨씬 더 안전하다!

scp의 기본 문법은 다음과 같다.
현재 컴퓨터에 있는 'abc.tgz' 파일을 'bozo'라는 원격컴퓨터의 /tmp 디렉토리로 복사하려면:

scp abc.tgz root@bozo:/tmp

그러나 이 경우 bozo의 root 암호를 물어본다.
암호를 물어본다면 스크립트에서 쉽게 사용할 수 없다.
해결책은 다음과 같다 (한번만 해주면 "암호없이" 무제한 scp로 복사할 수 있다):

1. 나중에 scp를 사용하여 파일을 복사할 사용자를 결정한다.
물론 root가 가장 강력하고, 난 개인적으로 root를 사용한다.
여기서 root를 사용할때 발생할 수 있는 보안상 문제점을 강의할 생각은 없다.
내가 지금 무슨 말을 하는지 모르겠다면 root가 아닌 일반 사용자를 사용하라.
결정했다면 이제 그 사용자로 로그인하여 다음 단계를 진행한다.

2. 컴퓨터에 공개키(public key)와 비밀키(private key)를 만든다.
이 게 뭔가? 공개키 암호화 방식을 모른다면 15초간 설명하겠다.
공개키 암호화 방식은 수학적으로 연관된 공개키와 비밀키를 만든다.
그런 다음 공개키는 누구에게라도 줄 수 있지만, 비밀키는 아무에게도 알려주면 안된다.
키들의 수학적 구성상 신기하게도 누구나 공개키를 가지고 내용을 암호화할 수 있지만,
비밀키를 가진 당신만이 암호화한 결과를 해독할 수 있다. 어쨋든 두 키를 만드는 명령은:

ssh-keygen -t rsa

3. 다음과 같이 출력한다:
"Generating public/private rsa key pair"
"Enter file in which to save the key ... "
그냥 enter를 누른다.

4. 그러면 다음과 같이 출력한다:
"Enter passphrase (empty for no passphrase):"
passphrase 를 사용하지 않기때문에 enter를 두번 누른다.

5. 그러면 마지막으로:
"Your identification has been saved in ... "
"Your public key has been saved in ... "
방금 만든 공개키 파일명과 위치를 기억하라 (항상 파일명이 .pub로 끝난다).

6. 공개키를 파일을 복사할 모든 원격 리눅스 컴퓨터에 복사한다.
scp나 ftp를 사용하여 복사한다. root를 선택했다면 (다시 단계 1의 경고를 주의하라),
키는 /root/.ssh/authorized_keys (철자 조심!)에 있어야 한다. root가 아니고 예를 들어 clyde로 로그인한다면,
/home/clyde/.ssh/authorized_keys 에 있어야 한다. authorized_keys 파일이 다른 컴퓨터의 키를 저장하고 있을 수 있기때문에, 파일에 이미 내용이 있다면 (새파일을 덮어쓰지않고) 공개키 파일 내용을 뒤에 추가해야 한다.

이제 끝이다. 별다른 문제가 없다면 파일을 암호없이 원격컴퓨터로 scp할 수 있다. 다시 한번 테스트해보자.
컴퓨터에 있는 'xyz.tgz' 파일을 'bozo'라는 원격컴퓨터의 /tmp 디렉토리로 복사한다

scp xyz.tgz root@bozo:/tmp

와 !!! 암호를 물어보지 않고 복사가 된다!!

일단 암호 하나로 컴퓨터에 로그인하면 모든 원격컴퓨터에 접근할 수 있기때문에 보안에 대해서 주의하라.
그래서 암호를 더 잘 보호해야 한다.

이제 즐길 차례다.
컴퓨터에 있는 'houdini'란 파일을 10개 도시에 흩어져있는 원격컴퓨터의 /tmp 디렉토리로 복사하는 짧은 스크립트를 (5분 안에)
작성해보자. 물론 원격컴퓨터가 100대거나 1000대라도 마찬가지다.
원격컴퓨터들의 이름은: brooklyn, oshkosh, paris, bejing, winslow, rio, gnome, miami, minsk, tokyo.
스크립트는 다음과 같다:

#!/bin/sh
for CITY in brooklyn oshkosh paris bejing winslow rio gnome miami minsk tokyo
do
scp houdini root@$CITY:/tmp
echo $CITY " is copied"
done

신기한 마술같다.
스크립트에서 echo 줄은 현재 진행상황을 알려준다.

혹 시 쉘스크립트가 생소하다면 좋은 투토리얼이 있다:
http://www.freeos.com/guides/lsst/.

알 다시피 scp는 더 강력한 ssh의 일부이다.
위의 6 단계를 마쳤다면 원격컴퓨터에서 명령어를 실행할 수 있다
(물 론 암호없이!). 예를 들어, brooklyn 이라는 원격컴퓨터의 시간을 보려면:

ssh brooklyn "date"

이제 두 개념을 합쳐서 진짜로 멋진 스크립트를 만들어보자. 모든 원격 리눅스 컴퓨터를 백업하기란 쉬운 일이 아니다. 아래 스크립트는 각 컴퓨터의 /home 디렉토리를 백업한다. 상용 백업 소프트웨어와 비교하면 기능은 매우 기본적이지만, 가격면에서는 따라올 수 없다. 대부분의 상용 백업 소프트웨어는 백업할 컴퓨터 대수대로 가격을 매긴다. 이런 패키지를 사용한다면 원격컴퓨터 100대에 대한 비용을 지불하는 대신 원격컴퓨터를 한 컴퓨터로 백업하는 스크립트를 사용한라. 그리고 그 컴퓨터에서만 상용 패키지를 사용하면 99대분 가격을 절약할 수 있다 ! 어쨌던 스크립트를 참고하여 자신의 상황에 알맞는 스크립트를 작성할 수 있다. 이 스크립트를 cron 작업에 걸어둔다 (원격컴퓨터에는 필요없다). 주석을 보면 자세한 내용을 알 수 있다:

#!/bin/sh

# 변 수는 구별하기위해 대문자로 지었다

# 스크립트를 실행하기 전에 원격컴퓨터마다 '/tmp/backups'라는 디렉토리 를
# 만들고, 컴퓨터에는 '/usr/backups'라는 디렉토리를 만들어야 한다


# 컴퓨터에서,
# date 명 령어 결과를 보기 좋게 만들어서 "DATE" 변수를 설정한다
#
DATE=$(date +%b%d)

# 'for 반 복문'은 세가지 작업을 한다

for CITY in brooklyn oshkosh paris bejing winslow rio gnome miami minsk tokyo
do

# 1) 원격컴퓨터의 하드디스크가 꽉차지 않도록 저번에 실행한 스크립트가 만든 tarball을 삭제하 고 
# 확인을 위해 echo한다
#
ssh -1 $CITY "rm -f /tmp/backups/*.tgz"
echo $CITY " old tarball removed"

# 2) 원격컴퓨터마다 /home 디렉토리 를 tarball로 만들어서 /tmp/backups에 저장한다
# tarball 파일명은 구별하기위해 도시명과 시간으로 짓 는다
#
ssh $CITY "tar -zcvpf /tmp/backups/$CITY.$DATE.tgz /home/"
echo $CITY " is tarred"

# 3) 원격컴퓨터에 있는 tarball을 /usr/backups 디렉토리로 복사해온다
#
scp root@$CITY:/tmp/backups/$CITY.$DATE.tgz /usr/backups
echo $CITY " is copied"

done


# 나머지 부분은 오류검사용으 로 없어도 된다:

# 파일명에 날짜를 포함한 오류파일을 만든다. 
# 백업이 안된 컴퓨터가 있다면 이 파일 에 기록한다
#
touch /u01/backup/scp_error_$DATE

for CITY in brooklyn oshkosh paris bejing winslow rio gnome miami minsk tokyo

do

# tarball이 복사되었는지 검사한다. 없다면 오류파일에 기록한다
# '||'은 앞 에 있는 부분이 참이 아닐때만 뒤에 있는 부분을 실행한다는 뜻이다
#
ls /u01/backup/$CITY.$DATE.tgz || echo " $CITY did not copy" >> scp_error_$DATE


# tarball을 정상적으로 열 수 있는지 검사한다. 문제가 있다면 오류파일에 기록한다.
tar ztvf /u01/backup/$CITY.$DATE.tgz || echo "tarball of $CITY is No Good" >> scp_error_$DATE

done

출처 : linux gazette

FreeBSD] 아파치 서버과부하 해결책 - lingerd 설치법

작성 : 구자열 by webhost (danda@nate.com)

1. lingerd란 무엇일까?

아파치에서 갑작스런 libhttpd.ep 혹은 httpd가 상승하여 cpu혹은 메모리를 과도하게 점유할 경우, 일정 튜닝으로 이를 막을 순 있지만, Dos상당의공격에서는 데먼은 저절로 죽어버린다.

이때, lingerd라는 엑셀레이트를 설치하면, 아파치는 해당 과부하 프로쎄서를 죽이면서 서버가 죽는 것을 방지할 수 있다.

2. lingerd 구하기

http://www.iagora.com/about/software/lingerd/

3. 설치하기

mkdir -p /var/run/lingerd/
chown nobody.nobody /var/run/lingerd/
chmod 700 /var/run/lingerd/

tar xvzf lingerd-xxx.gz
cd lingerd-xxx
make
이렇게 하면 lingerd란 바이너리가 생긴다.

cp lingerd /usr/local/sbin
cp extra/lingerd.rc /etc/rc.d/init.d/lingerd
chkconfig --level 3 lingerd on
이렇게 해서 부트로더에 올린다.

/etc/rc.d/init.d/lingerd start

cp apache-1.3/ap_lingerd.c li_config.h $APACHE/src/main/
patch -p0 -d $APACHE/src/ < apache-1.3/aplinger.diff

이 과정은 아파치를 위한 과정이다.
아파치소스가 있는 폴더가 $APACHE라고 가정해서 입력하라.
즉 $APACHE는 님의 환경에 맞는 절대경로를 입력하면 된다.

이제 패치가 완료되면, APM설치과정과 같이

apache> ./configure --prefix=/usr/local/apache
apache> cd ../php-4.0.24
php> ...설치과정진행
php> cd ../apache
apache> 설치과정진행 ./configure....-> make -> make install

이렇게 하여 설치를 완료한다.

apache 재구동한다.

설치완료
- 이제부터 /var/log/messages 에 로그가 생성된다.
- /var/run/lingerd/에는 프로쎄서가 동작한다.
- /usr/local/apache/logs/error_log에는 문제발생시, 에러로그가 기록된다.

이렇게함으로써 아파치에 대한 안전한 운영이 가능해진다.

FreeBSD]rotatelog를 사용하여 아파치 로그 줄이기.

rotatelogs - 아파치 로그를 순환하기위해 파이프로 연결할 로그 프로그램

가능한 언어: en | ko

rotatelogs는 아파치의 파이프 로그파일 기능을 위한 간단한 프로그램이다. 예를 들어:

CustomLog "|bin/rotatelogs /var/logs/logfile 86400" common

그러면 /var/logs/logfile.nnnn 파일을 만든다. nnnn은 로그를 시작한 시스템시간이다 (이 시간은 항상 순환기간의 배수이다. 그래서 cron 스크립트로 처리하기 쉽다). 순환기간 (여기서는 24 시간) 마다 새로운 로그를 시작한다.

CustomLog "|bin/rotatelogs /var/logs/logfile 5M" common

이 설정은 로그파일 크기가 5 메가바이트가 될때마다 순환한다.

ErrorLog "|bin/rotatelogs /var/logs/errorlog.%Y-%m-%d-%H_%M_%S 5M"

이 설정은 오류로그 파일 크기가 5 메가바이트가 될때마다 errorlog.YYYY-mm-dd-HH_MM_SS와 같은 파일을 만들어서 오류로그 파일을 순환한다.

개요
옵션
포팅가능성

개요

rotatelogs logfile [ rotationtime [ offset ]] | [ filesizeM ]

옵션

logfile

로그파일의 경로와 이름. logfile에 '%' 문자가 있다면 strftime(3)의 형식문자열과 같이 처리한다. '%' 문자가 없다면 뒤에 초단위 시간 .nnnnnnnnnn을 자동으로 붙인다. 두 형식 모두 현재 기간부터 시작시간을 계산한다.

rotationtime

로그파일을 순환할 초단위 시간.

offset

UTC에서 분단위 시간차이. 생략하면 0으로 가정하여 UTC를 사용한다. 예를 들어, UTC -5 시간대의 지역시간을 사용한다면 아규먼트로 -300을 지정한다.

filesizeM

시간이 아닌 크기를 지정할때 메가바이트단위 최대 파일크기 뒤에 M을 붙인다. rotationtime과 offset 대신 이 파라미터를 사용한다.

포팅가능성

다음 로그파일 형식문자열 표현은 모든 strftime(3) 구현이 지원해야 한다. 라이브러리 특유의 확장은 strftime(3) manpage를 참고하라.

%A (지역화된) 완전한 요일 이름
%a (지역화된) 3-문자 요일 이름
%B (지역화된) 완전한 달 이름
%b (지역화된) 3-문자 달 이름
%c (지역화된) 날짜와 시간
%d 2-자리 일
%H 2-자리 시간 (24 시간 시계)
%I 2-자리 시간 (12 시간 시계)
%j 3-자리 날짜수
%M 2-자리 분
%m 2-자리 달
%p (지역화된) 12 시간 시계의 am/pm
%S 2-자리 초
%U 2-자리 주일수 (주의 첫번재 날은 일요일)
%W 2-자리 주일수 (주의 첫번재 날은 월요일)
%w 1-자리 요일수 (주의 첫번째 날은 일요일)
%X (지역화된) 시간
%x (지역화된) 날짜
%Y 4-자리 연도
%y 2-자리 연도
%Z 시간대 이름
%% 문자그대로 `%'

from: http://httpd.apache.org/docs-2.0/programs/rotatelogs.html

2012-09-07

Linux]리눅스보안의 기초

리눅스 보안의 기초

보안

리눅스 운영체제가 인기가 좋은 이유 중 하나는 다른 서버 운영체제에 비해 저렴하다는 것과, 기능과 성능에 있어서 강력하다는 것일 것입니다. 그러나 강력한 시스템인 동시에 관리하기 어렵고, 그에 따른 보안 위험도 크다는데 문제가 있습니다. 본 기사는 리눅스 시스템에 있어 기본적이면서 일반적인 보안에 대해 설명하고자 합니다. 본문은 또한 와우리눅스 7.0 까치를 기준으로 설명하고 있지만 다른 레드햇 계열 리눅스 시스템에도 적용이 가능합니다.

물리적 보안

보통 서버가 연구실이나 외부 사람이 많이 오가는 곳에 설치되어 있다면 그 사람들 중 물리적인 크래킹을 하려는 사람이 있는데 이에 대한 방어를 할 수 있는 것은 주로 BIOS와 LILO(리눅스 부트 로더)에 대한 패스워드를 설정하는 작업과 콘솔에서 root로 로그인을 못하게 설정하는 것으로 구성됩니다.

■ BIOS

콘솔로의 접근을 막기 위해서는 BIOS 에 암호를 설정해두고, 플로피와 CD-ROM으로의 부팅은 하지 못하도록 설정합니다. 일단 물리적으로 시스템에 접속하게 되면 시스템을 보호할 방법은 없다는 것을 명심해야 합니다.

■ LILO

다음과 같이 lilo 설정 파일 (/etc/lilo.conf)을 수정하여 부팅시 암호를 걸 수 있습니다.

password=xxx

와 같이 패스워드를 설정함으로써 부팅 프로세스가 진행되는 동안 시스템을 보호할 수 있습니다. restricted 옵션을 사용하여 싱글 유저모드로 부팅할 때와 같이 특별한 옵션을 사용할 때에 대비하여 패스워드를 물어보도록 설정합니다.

boot=/dev/sda
map=/boot/map
install=/boot/boot.b
prompt
message=/boot/message
default=linux
timeout=00 # 대기 시간을 00초로 설정합니다.
restricted # 특수한 옵션을 사용할 경우 암호를 묻습니다.
password=openlinux # 이 라인을 추가하고 암호를 설정합니다.
image=/boot/vmlinuz-2.2.17-8wl2smp
label=linux
initrd=/boot/initrd-2.2.17-8wl2smp.img
read-only
root=/dev/sda6

리로(LILO) 설정파일의 암호가 암호화되지 않은 일반 텍스트이므로, 루트만이 억세스 할 수 있도록 다음과 같이 합니다.

# chmod 600 /etc/lilo.conf

리로(LILO) 설정 파일을 수정한 다음 리로를 실행하여 갱신합니다.

# /sbin/lilo -v

마지막으로 리로 설정 파일의 변경을 막기 위해 lilo.conf 파일을 chattr 명령으로 변경 불가로 만듭니다. (이 명령은 ext2 파일 시스템에서만 사용 가능합니다.)

# chattr +i /etc/lilo.conf

■ Control-Alt-Delete

리눅스에서는 Ctrl + Alt + Del 키 조합을 사용하여 시스템을 리부팅 시킬 수 있습니다. 문제는 이러한 기능을 로그인 대기 상태에서도 사용할 수 있고 내부의 다른 사람이 이러한 기능을 이용하여 콘솔에서 서비스중인 시스템을 리부팅 시킬 수 있다는 점입니다. 따라서 Control-Alt-Delete 키 조합을 사용하지 못하도록 합니다.
/etc/inittab 파일에서 다음과 같은 라인을 찾아 주석처리 합니다.

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

수정한 것을 리부팅하지 않고 바로 적용하려면,

# /sbin/telinit q

와 같이 합니다.

패치 설치

설치 후 시스템이 재시동되고 나면 반드시 패치를 설치합니다. 패치는 OS별로 제공되어지는데 레드햇 리눅스는 다음 사이트를 참조하기를 바랍니다.

레드햇 리눅스 패치 사이트 : http://www.redhat.com/support/errata/

여기에 있는 보안, 버그 패치들을 적용하지 않으면 시스템은 쉽게 침해 당할 것입니다. 또한 리눅스 시스템은 고립된 네트워크에 연결된 채 중계 서버를 통해 패치되어야 함을 잊지 말도록 합니다. 레드햇의 경우 rpm 파일을 다운받으면 다음의 명령어를 통해 쉽게 설치할 수 있습니다.

# rpm -Uvh wu-ftpd-2.6.0-l.i386.rpm : wu-ftpd 패치하는 명령어

사용하지 않는 서비스 제거

리눅스 시스템을 보안 위험으로부터 보호하는데 있어, 제일 처음으로 하는 작업이 바로 불필요한 서비스를 제거하는 것입니다. 리눅스 시스템은 디폴트로 여러 유용한 서비스를 설정하고 실행하도록 되어 있습니다.
그러나, 이 서비스들의 대부분은 일반적인 환경에서는 필요하지 않으며, 보안측면에서 볼 때, 잠재적인 위험을 지니고 있습니다. 이러한 서비스를 제거함으로써 보안 영역을 크게 넓힐 수 있습니다.

■ xinetd 서버를 사용하는 경우

리눅스 6.2까지는 네트워크 연결을 처리하기 위해서 inetd를 사용하였습니다. 그러나 레드햇 리눅스 7.0부터는 inetd를 사용하지 않고 보다 확장된 xinetd를 사용합니다. xinetd 서버를 사용하는 경우에는 /etc/xinetd.d/ 디렉토리 아래에 서비스 이름으로 구분되어 있으므로 서비스 파일을 열어서 수정합니다.
텔넷 서비스의 경우 telnet 파일을 수정합니다. 다른 서비스도 동일한 방법으로 설정합니다.

service telnet
{
disable = yes # 이 항목을 추가하면 서비스를 하지 않습니다.
flags = REUSE
socket_type = stream
wait = no
user = root
server = /usr/sbin/in.telnetd
log_on_failure += USERID
}

이렇게 수정한 후 아래와 같이 xinetd 서버를 재시작하면 시스템에 적용 됩니다.

# killall -USR2 xinetd

■ inetd 서버를 사용하는 경우 (레드햇 6.2)

먼저, /etc/inetd.conf 파일을 보도록 합시다. 이 파일에는 디폴트로 여러 다양한 서비스들이 설정되어 있으나, 대부분 ftp와 telnet만이 필요합니다. 다른 불필요한 서비스들은 주석(#)으로 처리하여 제거하도록 합니다.

예)

# ....

ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -L -i -o

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd

#gopher stream tcp nowait root /usr/sbin/tcpd gn

#smtp stream tcp nowait root /usr/bin/smtpd smtpd

#nntp stream tcp nowait root /usr/sbin/tcpd in.nntpd

pop, imapd, rsh과 같이 inetd에 의해 실행되는 많은 서비스들이 보안 취약점에 노출되어 있습니다. 다음 명령어를 이용하면 가능한 서비스들을 확인할 수 있습니다. 이 명령어는 코멘트 처리되지 않은 서비스들을 보여 줍니다.

# grep -v "^#" /etc/inetd.conf

※ 불필요한 서비스 제거를 위한 단계별 명령어 순서

1. 소유자(root)만이 읽기/쓰기가 가능하도록 퍼미션을 바꾸어 줍니다.
또한, 반드시 /etc/inetd.conf 파일의 소유자는 root 이어야 합니다.

# chmod 600 /etc/inetd.conf

# chown root.root /etc/inetd.conf

2. 편집한 후에는 다음처럼 시그널을 보내 inetd 서버를 재구동합니다.

# killall -HUP inetd

3. super-user만이 이 파일에 대해 접근할 수 있도록 'inetd.conf'파일을 셋팅하는
것으로 일단 셋팅되면 수정, 삭제 또는 rename할 수 없습니다. 나중에
inetd.conf 파일을 수정하고자하면 플래그를 -i로
바꿔주면 됩니다.

# chattr +i /etc/inetd.conf

■ rc 스크립트

보안이 약한 데몬이 떠 있지 않다면 그 만큼 안전하다는 것이므로 부팅시 필요없는 데몬을 죽이는 것만으로도 80% 이상의 방어를 할 수 있습니다.
다음은 init 프로세스에 의해 어떤 서비스가 시작될 지 결정하는 .rc 스크립트들입니다. 레드햇의 경우 이 스크립트들은 /etc/rc.d/rc3.d에 있습니다. 자동으로 Gnome이나 KDE등의 GUI 환경으로 부팅되도록 설정되어 있다면 /etc/rc.d/rc5.d에 있습니다.
시동되도록 되어 있는 것을 멈추게 하려면 대문자 S를 소문자 s로 바꿉니다. 또 원한다면 레드햇의 유틸리티를 사용할 수 있습니다. '/usr/sbin/ntsysv' 명령을 실행하면 부트 프로세스중에 구동시킬 스크립트를 선택할 수 있습니다.
다른 방법은 대부분의 배포판에서 볼 수 있는 'chkconfig' 를 사용하는 것입니다.

다음의 스크립트들은 디폴트로 설치되는 것들이나 시스템에서 주요한 기능은 하지 않는 것들입니다. 필요하지 않다면 시동되지 않도록 설정합니다.

스크립트 설 명

S05apmd laptop에만 필요
S10xntpd Network Time Protocol
S11portmap NIS, NFS같은 rpc 서비스가 있을 때만 필요함
S15sound 사운드 카드 설정 저장
S15netfs nfs client, nfs 서버에서 파일시스템을 마운트할 때 사용
S20rstatd r 서비스 실행을 하지 않도록 함, 원격 사용자에게
너무 많은 정보를 제공함.
S20ruserd
S20rwhod
S20rwalld
S20bootparamd 디스크가 없는 클라이언트에서 사용
S25spuid 프락시 서버
S34yppasswdd NIS 서버에만 필요함, 아주 취약한 서비스
S35ypserv NIS 서버에만 필요함, 아주 취약한 서비스
S35dhcpd dhcpd 서버 데몬을 구동함
S40atd 크론과 비슷한 at 서비스에 이용
S45pcmcia laptop에만 쓰임
S50snmpd SNMP 데몬, 시스템 관련 정보를 원격 사용자에게 보냄

이름에 포함된 숫자들은 초기화 되는 순서를 결정하는 요소로서, 이것은 어떤 배포판인지 어떤 버전인지에 따라 달라집니다.

스크립트 설 명
S55named DNS 서버, 사용한다면 최신으로 업데이트한다.
http://www.isc.org/bind.html
S55routed RIP, 정말 필요한 경우가 아니면 실행하지 않는다.
S60lpd 프린팅 서버
S60mars-nwe Neteware file과 프린터 서버
S60nfs NFS 서버에 사용, 꼭 필요하지 않으면 실행하지 않는다.
S72amd AutoMount 데몬, 원격 파일시스템 마운트에 사용
S75gated OSPF와 같은, 다른 라우팅 프로토콜 구동에 사용
S80sendmail 이 스크립트를 정지시키더라도 여전히 email를 보낼 수 있으며,
단지 수신이나 중계는 불가능할 것이다.
S85httpd 아파치 웹서버, 가장 최신 버전으로 업데이트할 것을 권고한다.
http://www.apache.org/
S87ypbind NIS 클라이언트라면 필요함
S90xfs X 폰트 서버
S95innd News 서버
S99linuxconf 브라우저를 통해서 리눅스 시스템을 원격으로 구성하는데 사용

부팅시 스크립트를 변경하기 전에 얼마나 많은 서비스들이 실행되고 있는지 알려면 다음 명령어를 사용합니다.

# ps aux | wc -l

조정 후 확인하기 위한 명령어는 다음과 같습니다.

# netstat -na --ip

■ /etc/rc.d/init.d 디렉토리와 파일들의 퍼미션

"/etc/rc.d/init.d" 디렉토리와 파일들의 퍼미션을 다음과 같이 수정하여 루트만이 억세스 할 수 있도록 합니다.

# chmod -R 700 /etc/rc.d/init.d/*

부트 타임때 필요로 하는 모든 표준의 프로세스들의 시작, 중지를 위한 책임이 있는 스크립트들은 루트만이 억세스 할 수 있도록 퍼미션을 고정시켜야 합니다.

계정관리 보안

■ 암호시스템 보안

첫 번째는 /etc/passwd 파일을 안전하게 하는 것입니다. 우선 시스템이 /etc/shadow를 사용하는지 확인합니다. 이것은 모든 사용자의 패스워드를 root만이 접근 할 수 있는 파일에 해쉬형태로 안전하게 저장한다는 것을 의미합니다. 또한 해커들이 제일 먼저 노리는 패스워드가 손쉽게 접근되고 크랙되는 것을 방지합니다. 쉐도우 패스워드 파일을 사용하는 것이 레드햇 리눅스의 디폴트이지만 확인을 해야 합니다.
다음 명령어를 실행하면 자동으로 패스워드 파일을 /etc/shadow 파일로 변환해 줍니다.

# pwconv

■ 기본 시스템 계정 관리

두 번째는 /etc/passwd 파일에서 대부분의 디폴트 시스템 계정들을 제거하는 것입니다. 리눅스는 이런 계정들을 불필요할지도 모르는 시스템 작업을 위해 제공합니다. 필요하지 않다면 제거해야 합니다. 계정을 많이 가지면 가질수록 침입될 가능성은 높아집니다. 'news' 계정이 그 한 예입니다. 뉴스그룹 서버로 사용하기 위해 nntp를 서비스하는 경우가 아니면 이 계정은 불필요합니다. ftp 서버를 운영하지 않는다면 익명 ftp 접속에 사용되는 'ftp' 계정도 삭제해야 합니다. /etc/passwd 파일에 ftp 계정이 있어 익명 ftp 접속이 허용되어 있고 사용자 ID가 'anonymous'나 'ftp'이면 이 경우 어떤 패스워드라도 로그인이 허용됩니다. 관례상 접속자의 host명을 패스워드로 사용하기도 합니다.

[ /etc/passwd 파일의 시스템 계정 예 ]

root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:
daemon:x:2:2:daemon:/sbin:
adm:x:3:4:adm:/var/adm:
lp:x:4:7:lp:/var/spool/lpd:
mail:x:8:12:mail:/var/spool/mail:
uucp:x:10:14:uucp:/var/spool/uucp:
nobody:x:99:99:Nobody:/:

ftp 서버를 운영한다면 /etc/ftpusers 파일도 수정해야 합니다.

[ /etc/ftpusers 파일의 예 ]

root
bin
daemon
adm
lp
mail
uucp
nobody

이 파일에 기록된 계정은 ftp를 사용해서 이 시스템에 접속할 수 없습니다. 이것은 root, bin과 같은 공통의 시스템 계정을 사용해 ftp로 연결하는 것을 제한합니다. 리눅스는 디폴트로 이 파일을 가지고 있습니다. root 권한으로 이 시스템에 ftp를 통해 접속하는 것을 막으려면 이 파일에 root가 포함되어 있는지 확인합니다. ftp 접속시 사용할 계정은 이 파일에 포함되면 안됩니다.

또 root로는 시스템에 telnet 접속을 못하도록 합니다. root로 작업 할 때는 따로 일반계정을 두어 자기의 계정으로 접속한 뒤 su를 사용해 root로 전환하도록 합니다.

■ 일반 유저의 su root 방지

특정 유저만 su root 할 수 있도록 설정하려면 다음과 같이합니다. 이런 종류의 명령어를 실행시킬 수 있는 사용자들을 제한함으로써 시스템의 보안성을 향상시킬 수 있습니다. /etc/pam.d/su 파일의 처음에 다음을 추가합니다.

auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/Pam_wheel.so group=wheel

/etc/group 의 wheel 그룹에 su root를 허용하고자 하는 사용자 그룹을 등록합니다. 즉, wheel 그룹에 속한 유저만이 su 명령을 사용하여 root 로 로그인 할 수 있습니다.

wheel:x:10:root,junilove,juni8004

■ 쉘 로그 파일

bash 쉘은 사용자가 입력한 500여개의 지난 명령어를 ~/.bash_history 에 남기게 됩니다. 이는 내가 사용한 명령어들을 다른 사람들이 알게 됩니다. 다음과 같이 크기를 줄이거나, 0으로 설정해 아예 로그를 남기지 않도록 하여 크래커가 로그 파일의 내용을 이용할 수 없도록 합니다. 이러면 .bash_history 파일에 아무런 기록이 남지 않습니다. 이렇게 해도 HISTSIZE라는 환경변수가 있기에 키스트로크에 대한 히스토리 관리는 유지됩니다. 단지 .bash_history 파일에 저장되지 않을 뿐입니다.

HISTFILESIZE=30
HISTSIZE=30

또는 로그아웃 할 때마다 로그 파일을 삭제하도록 다음과 같은 라인을 ~/.bash_logout 에 추가합니다.

# rm -f $HOME/.bash_history

■ root 계정 환경 설정

루트 계정은 유닉스 시스템에서 가장 강력한 권한을 가지고 있는 계정입니다. 만약 관리자가 콘솔로의 접속 후, 로그아웃 하는 것을 잊고 루트 프롬프트를 그대로 놔두었다면, 위험한 상황이 벌어질수도 있습니다. 이런 상황을 피하기 위해 TMOUT 변수를 사용할 수 있습니다. /etc/profile 파일 또는 루트의 해당 쉘의 설정파일, 예를 들어, bash 라면 ~/.bash_profile 에 다음과 같이 설정합니다.

HISTSIZE=0
HISTFILESIZE=0
TMOUT=300

숫자는 초단위입니다. 300초 즉, 5분동안 아무런 입력이 없다면 자동으로 로그아웃 합니다. HISTSIZE 와 HISTFILESIZE 를 0으로 해두는 것도 만약을 위한 조치입니다.

파일 시스템 마운트

잘못된 파일 시스템 마운트 옵션도 보안에 문제가 될 수 있습니다.

[ 파일 시스템 마운트 설정 파일(/etc/fstab)의 옵션 ]

옵 션 설 명

defaults 기본 옵션, 쓰기,읽기 가능, quota, suid 가능
noquota 유저 쿼타가 적용되지 않음
nosuid SUID/SGID 억세스 불가, SUID/SGID를 사용자의
홈 디렉토리에서 쓰게 할 이유는 전혀 없습니다.
nodev 특별한 장치 또는 문자 사용 불가 (예를 들어 /dev 같은)
noexec 이 파티션상의 모든 바이너리 실행 불가
quota 유저 쿼타 사용
ro 읽기 전용으로 마운트
rw 읽기, 쓰기 허용
suid SUID/SGID 억세스 허용

/etc/fstab 의 형식은 다음과 같습니다

[ /etc/fstab의 예 ]

/dev/hda9 /tmp ext2 defaults,rw,nosuid,nodev,noexec 1 2
/dev/fd0 /mnt/floppy auto sync,user,noauto,nosuid,nodev 0 0
/dev/cdrom /mnt/cdrom auto user,noauto,nosuid,exec,nodev,ro 0 0

fstab의 수정 후에는 파일 시스템을 다음과 같이 다시 마운트 합니다.

# mount -oremount /tmp/

시스템 정보 숨기기

기본적으로 리눅스 서버로 로그인 할 때, 배포본, 버전, 커널 버전, 서버이름 등이 나타나도록 되어 있습니다. 이것은 서버를 노리는 크랙커들에게 더 많은 정보를 줄 뿐입니다.

■ "/etc/rc.d/rc.local" 의 수정

rc.local 에는 매 부팅시마다 /etc/issue 파일을 생성하는 루틴이 있습니다. 이 부분을 모두 주석처리 합니다.

# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" > /etc/issue
#echo "$R" >> /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >> /etc/issue

그런 다음, /etc 디렉토리 아래에 있는 "issue.net" 와 "issue" 파일들을 삭제합니다.

# rm -f /etc/issue
# rm -f /etc/issue.net

SUID/SGID 프로그램 찾기

일반 유저가 루트 권한으로 실행 시킬 수 있는 불필요한 SUID/SGID 프로그램들을 최소화 합니다. SUID와 SGID는 잠재적인 보안 위험 요소이기 때문에 철저하게 감시되어야만 합니다. 이러한 프로그램들은 이들을 사용하는 사용자들에게 특별 권한을 부여해 주기 때문에, 보안에 불안 요소를 주는 이러한 프로그램들이 설치되는 일이  없도록 해야 합니다. 크랙커들이 좋아하는 트릭중의 하나는 SUID 루트 프로그램을 침탈하고, 그 후에 SUID 프로그램을 통해 백도어로 들어오는 것입니다. 다음의 명령어를  사용하면 시스템에 있는 모든 UID/SGID 프로그램을 찾아낼 수 있습니다.

# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls lg {} ;

그런 다음 퍼미션을 바꾸어 줍니다.

# chmod a-s [프로그램]

어떠한 프로그램인지 잘 모를 경우에는 man [프로그램] 또는 info [프로그램] 등으로  확인한 후 변경합니다.

중요한 시스템 파일의 퍼미션

파일 퍼미션 설명

/var/log 751 모든 로그 파일을 담고 있는 디렉토리
/var/log/messages 644 시스템 메시지
/etc/crontab 600 시스템 크론탭 설정
/etc/syslog.conf 640 Syslog 데몬 설정파일
/var/log/wtmp 660 who 명령에 의해 보여지는 현재 로그인한 유저가
누구인지  기록하는 파일
/var/log/lastlog 640 last 명령에 의해 보여지는 마지막에 로그인한
유저가  누구인지 기록하는 파일
/etc/ftpusers 600 FTP 서버에 접속할 수 없는 유저 리스트
/etc/passwd 644 시스템의 유저 계정 리스트
/etc/shadow 600 암호화된 계정 패스워드를 담고 있는 파일
/etc/pam.d 750 PAM 모듈 설정 파일
/etc/hosts.allow 600 접근 설정 파일
/etc/hosts.deny 600 접근 설정 파일
/etc/lilo.conf 600 부트로더 설정파일
/etc/securetty 600 root 로그인을 허가하는 TTY 인터페이스 리스트
/etc/shutdown.allow 400 ctrl+alt+del 사용을 허가하는 유저 리스트
/etc/security 700 시스템 접근 보안 정책 파일들
/etc/rc.d/init.d 750 시작 부트 스크립트 파일
/etc/sysconfig 751 시스템과 네트워크 설정 파일
/etc/services 600 서비스명과 포트를 나타내는 파일입니다.
/etc/inetd.conf 600 인터넷 슈퍼서버 데몬 설정파일
/etc/cron.allow 400 cron 사용을 허가하는 유저 리스트
/etc/cron.deny 400 cron 사용을 불허하는 유저 리스트
/etc/ssh 750 보안쉘(ssh) 설정 파일
/etc/sysctl.conf 400 최근 레드햇 리눅스에서 커널 tunable 옵션을 담고 있는 파일

레드햇 리눅스를 기반으로 리눅스 시스템을 안전하게 하기 위한 기본적인 조치사항들을   살펴 보았습니다.

100% 안전한 시스템은 없지만 여기서 기술된 것만 적용해도 리눅스 시스템의 안전성은 상당히 높아질 것입니다. 시스템의 안전한 보호를 위해서는 지속적으로 보안 사항들을 살펴보아야 할 것입니다. 또한 CERT 홈페이지(http://www.certcc.or.kr/)를 위시한 보안 전문 컨설팅 사이트와 시스템 벤더 사이트를 정기적으로 방문하여 보안 권고 사항들에 대해서 주의깊게 살펴보며, 새로운 취약성이 발견되면 그에 따른 패치설치 및 보안 권고에 충실히 따르도록 해야 합니다.

참고자료

리눅스 시스템 관리자를 위한 보안 지침Ⅰ, CERTCC-KR, http://www.certcc.or.kr
Linux Security Tips, 임은재님 번역, http://kltp.kldp.org
리눅스 보안 하우투, http://kldp.org/HOWTO/html/Security/Security-HOWTO.html