Day 69 (리눅스 서버 보안 설정 기초)

<목차>

1. 작성문서

2. 서비스 설정방식

  1) 설정 매니져이용

  2) 서비스 설정 명령어

3. 사용하지 않는 것을 권고하는 서비스 목록

4. 보안을 위한 커널 파라미터 설정

5. 권장 파라미터

---

1. 작성문서

bst09_육경득_02_파라미터설정_20200228.docx

0.28MB

리눅스 서버 보안 설정 기초

 

2. 서비스 설정방식

1) 설정 매니져이용

# ntsysv

사용할 서비스들을 설정하고 해제한다. 보통 이 명령을 이용하는 것을 권장한다.

2) 서비스 설정 명령어

CentOS 7
	명령어	옵션
조회	# systemctl [is-enabled | is-active] [서비스명]	is-enabled : 자동 실행 등록 여부 is-active :  현재 실행 여부
등록 및 실생	# systemctl [enable | disable] [서비스명]	[enable | disable] : 등록 및 등록 해제 [start | restart | stop] : 실행, 재실행, 종료
	# systemctl [start | restart | stop] [서비스명

CentOS 6
	명령어
조회	# chkconfig --list [서비스명]
On/Off	# chkconfig  [--level [런레벨]] [서비스명 ]  on/off
조회	# service  --status-all

3. 사용하지 않는 것을 권고하는 서비스 목록

사용하지 않는다면 해제하는 것을 권고하는 사항이지 필요하면 사용한다.

서비스 이름	설명
acpid	ACPI(Advanced Configuration and Power Interface) 방식의 시스템 전력 관리 데몬
anacron	Anacron는 작업 스케줄러로서 cron 유사 데몬 (하루보다 작은 단위의 스케줄을 관리하는 데몬)
apmd	배터리 관리 데몬
atd	crond와 같은 작업 스케줄러 데몬
avahi-daemon	네트워크 서비스를 인식하는 멀리캐스트 DNS 서 비스 Avahi 데몬
avahi-dnsconfd	DNS 재설정 기능을 위한 데몬
bluetooth	블루투스 장치를 사용하기 위한 데몬
conman	여러 콘솔 장치를 관리, 지원 데몬
cups	리눅스 프린터 데몬
hidd	블루투스 장치를 사용할 때 필요한 블루트스 ID 데몬
ibmasm	IBM 시스템 관리 드라이버들을 설정하는데 필요 한 툴을 포함한 데몬
imap	메일 클라이언트를 위한 데몬
irda	적외선 통신을 위한 데몬
lvm2-monitor	dmeventd(The Linux Kernel Device Mapper)를 사용하는 LVS(Linux Logical Volume Management)모니터링 하는 서비스 데몬
mcstrans	사람이 읽기 쉬운 형식으로 보안 환경 정보로 번 역하는 시스템 데몬 (SELinux 환경에서 사용)
mdmonitor	RAID 상태를 모니터링하기 위한 데몬
mdmpd	다중 경로의 장치를 모니터링하고 관리하기 위한 데몬
microcode_ctl	인텔 CPU의 마이크로 코드를 지원하는 데몬

 

 

서비스 이름	설명
multipathd	다중 경로 장치에 대해 시스템에 알려주고 이를 일치시키고 관리해 주는 데몬
netconsole	시스템으로부터 출력된 장치에 대한 것을 원격으 로 syslog에 기록해 주는 데몬
netfs	Samba, NFS, NCP 등 네트워크 파일 시스템을 마운트하기 위한 데몬
nfs	유닉스와 리눅스간 기본 네트워크 파일시스템 (NFS) 데몬
nfslock	NFS를 통해 공유되는 파일을 클라이언트가 동시 에 수정하는 것을 막기 위해 파일에 대한 lock을 관리하는 데몬(NFS를 운영하는데 필요)
nscd	네이밍 서비스에 대한 요청 결과를 캐시해서 다음 요청에 응답하기 위한 데몬 (NIS와 DNS를 운영 하는데 필요)
pand	탭을 공백으로 변화시켜 주는 데몬
pcscd	PC/SC 스마트 카드 데몬
portmap	원격 시스템 호출에 사용하는 데몬 (NFS, NIS를 운영하는데 필요)
rawdevices	응용 프로그램에서 디바이스를 직접 이용하도록 지원하는 데몬(RAC에서 이용)
rdisc	동적 라우팅에서 라우터를 자동으로 찾기 위한 데몬
readahead_early	모든 데몬이 시작하기 전 특정 파일을 하용하기에 앞서 메모리에 미리 불러들여 성능을 증가시키는 데몬
restorecond	SELinux와 관련된 데몬
rpcgssd	원격 인증을 위한 GSS(General Security Service) 데몬 (NFS version 4 클라이언트를 위해 필요)
rpcidmapd	원격 이름 매핑을 위한 idmap(IDmapping) 데몬 (NFS version 4를 위해 필요)
rpcsvcgssd	원격 인증을 위한 GSS(General Security Service) 데몬(NFS version 4 서버를 위해 필요)
syslog	시스템 로그 기록하는 데몬
wpa_supplicant	무선 네트워크 접속에 사용되는 WPA(Wi-Fi protected access) 데몬
ypbind	NIS 서버 데몬

4. 보안을 위한 커널 파라미터 설정

1) 명령어를 이용하는 방법

 - 변수 조회

      # cat  /proc/sys/디렉토리/변수명

 

 - 값 설정

      # echo  값 > /proc/sys/디렉토리/변수명

 

2) 유틸리티를 이용하는 방법

 - 파라미터 설정 파일

    /etc/sysctl.conf

 

- 전용 유틸리티

    # sysctl  –[옵션]  변수 = 값

옵션 : • a : 설정 확인 • p : sysctl.conf 파일 로드 • n : 변수 질의 • w : 값 설정

 - sysctl.conf, sysctl에서 /proc/sys/net/ipv4/tcp_syscookies는 net.ipv4.tcp_syscookies로 표기 가능하다.

- 다음은 3가지는 모두 동일한 과정이다.
   # echo 1 > /proc/sys/net/ipv4/tcp_syscookies
   # sysctl –w net.ipv4.tcp_syscookies=1
   (sysctl.conf 파일 설정후) # sysctl –p

5. 권장 파라미터

파라미터	기능 (1 : enable, 0 : disable)
net.ipv4.icmp_echo_ignore_all = 1 (d:0)	모든 ping에 대한 응답 거부
net.ipv4.icmp_echo_ignore_broadcasts = 1	Broadcast 주소를 대상으로한 ping을 거부(스머프 공격 대비)
net.ipv4.ip_forward = 0	현재 시스템을 통한 포워딩을 허용하지 않음
net.ipv4.conf.all.accept_redirects = 0(d:1)	서버의 라우팅 경로를 확인하는 icmp redirect를 허용하지 않음 (임의로 라우팅 테이블을 변경할수 없도록한다.)
net.ipv4.conf.default.send_redirects=0(d:1)	서버에서 내보내는 icmp redirect 패킷을 불허
net.ipv4.tcp_syncookies = 1	SYN flooding 공격에 대비 syncookies 설정여부
net.ipv4.tcp_max_syn_backlog = 1024	백로그의 크기 (소켓당 동시에 처리하는 SYN 숫자)
net.ipv4.ip_local_port_range = 32768    61000	local port로 사용가능한 범위를 지정
net.ipv4.tcp_fin_timeout = 10 (d:60)	접속 종료이후 세션정보를 유지하는 시간(초)
net.ipv4.conf.all.log_martians = 1(d:0)	소스라우팅, redirect 패킷등에 대해서 로그정보를 제공
net.ipv4.conf.default.rp_filter=1(d:0)	dos 공격의 소스 IP로 사용될 가능성을 차단
net.ipv4.conf.all.accept_source_route = 0	라우팅 패킷을 불허 마치 신뢰적인 호스트로 위장하는것을 방지 (스푸핑 공격 대비)