리눅스 설치 후 해야 할 일

리눅스 설치 후 해야 할 일 핵심 모듈들을 소스 설치하는 것이 정답이겠으나, RPM 으로 설치 한 후 사용하고자 한다면 다음사항을 시행하자(소스역시) 1. iptables 방화벽 세팅 - netstat -nap | more로 열려 있는 포트 확인 - 방화벽 세팅 마법사 /usr/sbin/lokkit Custimize 선택 telnet, www, mail,ftp 선택 (상황에 맞게 선택할 것) ok - vi /etc/sysconfig/iptables 열린 포트 확인함 (23,25,30,21) - iptables 재시작 /etc/init.d/iptables restart 2. tcp_wrapper 세팅 - vi /etc/hosts.deny ALL : ALL = tcp래퍼 세팅은 왼쪽에 서비스명, 오른쪽에 아이피를 적는 방법으로 진행한다. /etc/hosts.deny 에 ALL : ALL 을 써 주면 모든 아이피에 대해서 모든 서비스를 차단한다. 접근을 허용하고자 하는 서비스에 대해서는 /etc/hosts.allow 에서 명시하여 준다 - vi /etc/hosts.allow ALL : 61.72.248.128/255.255.255.128 127.0.0.1 = 켈코인 회사 아이피 대역과 로컬호스트에서만 접속 가능함 vsftpd : ALL = 레드햇 9.0인 경우 vsftpd 사용함. 모든 아이피에서 ftp 접속 가능함. 특정 아이피에서만 접속 가능하게 하고 싶으면 ALL 대신에 아이피를 적어줄 것 in.proftpd : ALL = 레드햇 9.0 이전 버젼인 경우 proftpd 사용함. 모든 아이피에서 ftp접속 가능함 in.telnetd : ALL = 모든 아이피에서 텔넷 접속 가능함 3. 불필요한 시작 데몬 삭제 - /usr/sbin/ntsysv (윈도우에서 msconfig와 동일한 기능) httpd, iptables, named(네임서버 운영할 경우만), network, postgresql, sendmail, syslog, telnet, xinetd 필요한 데몬에만 체크하고 나머지는 모두 체크해제함 ssh의 경우 최근 버젼에도 심각한 보안 결함이 발견되었으므로 권장하지 않음 - 재부팅을 해야 적용됨 4. 불필요한 계정, 그룹 삭제 - vi /etc/passwd , vi /etc/group ftp, xfs, adm, lp, newes, gopher를 /etc/passwd와 /etc/group 에서 주석처리 또는 userdel uid, groupdel gid를 하면 된다. 또는 다음과 같이 쉘 상에서 직접 삭제하여도 된다 #userdel adm #userdel lp #userdel sync #userdel shutdown #userdel halt #userdel news #userdel uucp #userdel operator #userdel games #userdel gopher #userdel ftp (anymous FTP server를 운영하지 않으면 삭제 한다.) #groupdel adm #groupdel lp #groupdel news #groupdel uucp #groupdel games #groupdel dip #groupdel pppusers #gropudel slipusers 5. 퍼미션 설정변경 - 몇몇 중요한 설정 파일의 퍼미션을 변경하영 일반 유저들의 접근을 제한한다. chmod 700 /etc/exports chmod 700 /etc/fstab chmod 700 /usr/bin/chage chmod 700 /usr/bin/wall chmod 755 /usr/bin/man chmod 700 /usr/bin/chfn chmod 700 /usr/bin/write chmod 700 /usr/sbin/usernetctl chmod 700 /bin/mount chmod 700 /bin/umonut chmod 700 /sbin/netreport 로 사용을 불가능하게 한다. * sh를 이용하여 쉽고 빠르게 하는 방법 - 위의 명령어들을 한번에 복사해서 aaa.sh 파일로 저장 - sh aaa.sh (루트권한에서 실행할 것) = aaa.sh에 쓰여진 명령어들을 자동 실행함 = chattr +i 가 걸려 있어서 수정이 안되는 파일들은 chattr -i로 Lock 해제 chattr +i /etc/fstab와 같이 속성에 Lock을 걸어 파일을 수정 할 수 없게 한다. 6. 시스템 관련 명령어를 특정 그룹에서만 사용가능 하도록 설정 - 특정적인 사용자에게만 권한을 줄 수 있다. chmod 750 /bin/ps chmod 750 /bin/netstat chmod 750 /bin/dmesg chmod 750 /bin/df chmod 750 /usr/bin/who chmod 750 /usr/bin/finger chmod 750 /usr/bin/last chmod 750 /usr/bin/top chmod 750 /usr/bin/w chgrp wheel /bin/ps chgrp wheel /bin/netstat chgrp wheel /bin/dmesg chgrp wheel /bin/df chgrp wheel /usr/bin/w chgrp wheel /usr/bin/who chgrp wheel /usr/bin/finger chgrp wheel /usr/bin/last chgrp wheel /usr/bin/top - /etc/group을 열어 wheel:x:10:root,tt 와 같이 tt 라는 계정을 wheel 그룹에 추가 한다. 그러면, root를 포함하여 wheel 그룹에 속한 tt라는 계정만이 위 명령어를 수행할 수 있다. 7. 텔넷 오픈 - vi /etc/xinetd.d/telnet disable = no 로 바꾸어 주고 xinetd 통합데몬 재실행 /etc/init.d/xinetd restart 8. ftp 오픈 1) vsftpd(레드햇 9.0) : http://x-mas.qb.pe.kr 리눅스짝퉁강좌 9번 글(세상에서 가장 안전한 ftp VSFTPD)참조 vi /etc/vsftpd/vsftpd.conf ------------------------------------------------------------- # anonymous 사용자의 접속 허용 여부 (default = YES) # 공개된 형태의 FTP 서버로 운영할 것이 아니라면 NO로 한다. anonymous_enable=NO # 로컬 계정 사용자의 접속 허용 여부 (default = NO) local_enable=YES # write 명령어 허용 여부 (defualt = NO) write_enable=YES # 로컬 계정 사용자용 umask (default = 077) local_umask=022 # anonymous 사용자가 파일을 업로드 할 수 있는지 여부 (default = NO) # anon_upload_enable=YES # anonymous 사용자의 디렉토리 생성 허용 여부 (default = NO) # anon_mkdir_write_enable=YES # 파일 전송 로그를 남길 것인지 여부 (default = YES) xferlog_enable=YES # xferlog 표준 포맷으로 로그를 남길지 여부 (기본 설정파일은 YES) # 아래에서 NO로 설정했을 때를 설명함 xferlog_std_format=YES # 파일 전송 로그 파일명 xferlog_file=/var/log/vsftpd.log # FTP 서버 접속할 때 로긴 메시지 (default = vsftpd 버전번호) # 한글 사용 가능 # ftpd_banner=Welcome to blah FTP service. # ------------------------------------------------------------------- # 기본 설정 파일에는 없는 설정값으로 필요한 설정만 추가한다. # ※ 중요한 설정은 굵은 글씨로 표시 # ------------------------------------------------------------------- # PAM 파일명을 지정 (설치할 때 /etc/pam.d/vsftpd명으로 복사함) pam_service_name=vsftpd # wtmp에 로그 남기기 (YES로 해야만 last 명령어로 접속 여부 확인 가능) session_support=YES # 사용자가 자신의 home directory를 벗어나지 못하도록 설정 chroot_local_user=YES # 새로운 디렉토리에 들어갔을 때 뿌려줄 환경 메시지를 저장한 파일명 # message_file=.message # xferlog 형식으로 log를 남기려면 (위에서 이미 YES로 했음) # xferlog_std_format=NO # #　 - xferlog 표준 포맷은 로긴, 디렉토리 생성등의 로그를 남기지 않음 #　　 그러나 vsftpd 스타일 로그는 이를 포함한 보다 상세한 로그를 남김 #　 - vsftpd 스타일 로그 예 # #　 Sun Jul 12 01:38:32 2003 [pid 31200] CONNECT: Client 127.0.0.1 #　 Sun Jul 12 01:38:34 2003 [pid 31199] [truefeel] FAIL LOGIN: Client 127.0.0.1 #　 Sun Jul 12 01:38:38 2003 [pid 31199] [truefeel] OK LOGIN: Client 127.0.0.1 #　 Sun Jul 12 01:38:41 2003 [pid 31201] [truefeel] OK MKDIR: Client 127.0.0.1, /mp3 #　 Sun Jul 12 01:39:06 2003 [pid 31201] [truefeel] OK UPLOAD: Client 127.0.0.1, /델리 #　 스파이스 5집 - [04]키치죠지의 검은 고양이.mp3, 6855473 bytes, 3857.39Kbyte/sec # 전송속도 제한 (0은 제한없음, 단위는 초당 bytes) anon_max_rate=0 local_max_rate=0 trans_chunk_size=0 # 최대 접속 설정 (단 xinetd를 통하지 않고 standalone으로 동작할 때만 사용 가능) # standalone을 위해서는 listen=YES 추가하고 별도로 vsftpd를 띄워야 함 # # max_clients=최대 접속자 수, max_per_ip=IP당 접속 수 # max_clients=100 # max_per_ip=3 # Standalone 으로 운영할 때 listen=YES. 포트 변경을 원할 경우 listen_port 설정 # 디폴트 포트는 21번 포트이다. # listen=YES # listen_port=21 ------------------------------------------------------------- 필요한 설정이 끝났으면 vsftpd를 재실행한다. ------------------------------------------------------------- # /etc/rc.d/init.d/vsftpd restart ------------------------------------------------------------- 2) proftpd (레드햇 9.0 이전, 타 리눅스) vi /etc/xinetd.d/proftpd = dialbe = no 로 바꿔줌.. vi /etc/proftpd/conf/proftpd.conf - ~ 부분은 익명 ftp를 허용하는 부분이므로 아예 삭제한다 - 기본적으로 세팅이 다 되어 있기 때문에 그냥 사용해도 되나 가장 많이 쓰는 만큼 취약점 또한 많이 발견되었다.. /etc/init.d/proftpd restart [출처] 리눅스 설치 후 해야 할 일 |작성자 kahlth

IT 비용 절감 프로젝트② : 적절한 툴로 시간과 비용 동시 절감
그러나 액티브 디렉토리는 리눅스나 유닉스를 지원하지 않기 때문에, 결국에는 시스템 관리자들이 업무의... 올해 초 약 3개월이 걸린 이 소프트웨어의 설치 과정에는 각 단계별로 2~5명의 시스템 관리자들이 참여했다고...

LG엔시스, 내부보안 솔루션 총판사업
이 제품은 설치 즉시 사용이 가능하며 윈도, 맥, 리눅스 등 운영체제를 지원한다. 또 주변 장치 제어, 데이터유출방지(DLP), 모바일 디바이스 관리(MDM), 보안USB 기능도 제공한다. LG엔시스는 하반기 동안 기존 고객과...

LG엔시스, 보안업체 코소시스와 파트너십
설치 즉시 사용이 가능한 어플라이언스 제품으로 윈도우, 맥, 리눅스 등 폭넓은 운영체계를 지원하며 주변 장치 제어, DLP, 모바일 디바이스 관리(MDM) 및 보안USB 기능도 제공한다. LG엔시스는 하반기 동안 기존 고객과...