IT 공부방

◎ 방화벽 설정 시 주의 사항​ - 아래의 안내 예제를 그대로 따라하시면 방화벽 설정 오류 및 각종 서비스의 통신에 문제가 발생할 수 있습니다. 설정을 참고 하시어 사용하시는 서비스에 맞게 설정 바랍니다. - ​CentOS 7에서는 기본 방화벽이 Firewalld 데몬으로 변경되어 명령어 및 설정이 다르므로 본인의 서버 OS 버전에 맞게 설정 바랍니다. ◎ CentOS 7에서 firewalld 방화벽 설정 방법​​​ 1. firewalld 설치 확인 및 설치 방법​ - CentOS 7 Minimal 설치 시 firewalld 데몬이 설치되어 있습니다. (1) firewalld 설치 확인 # rpm -qa | grep firewalld (2) firewalld 설치가 되어 있지 않으시면 firewalld ..

1. 의존성 라이브러리 설치 아래는 라이브러리가 설치되어있는지 확인해보는 부분이며 APM에 꼭 필요한 패키지가 있습니다. rpm -qa libjpeg* libpng* freetype* gd-* gcc gcc-c++ gdbm-devel libtermcap-devel Yum 으로 아래의 필요한 라이브러리를 한번에 전부 설치합니다. (한번에 관련된 의존성도 같이 설치가 됩니다.) 2. [APM] Apache, PHP, MariaDB 설치 [순서는 : Apache, Maria, PHP 진행] 아파치(Apache 2.4) 설치 yum install httpd 마리아(Maria DB 10.1) 설치 기존의 Yum 으로 설치할경우는 Maria DB 5.5 버전이 설치가 됩니다. 최신버전으로 설치할경우 Yum 미러경로..

/tmp 보안 설정 /tmp 디렉터리는 "Tempolory File" 즉 임시 파일이 저장되는 장소입니다. 기본적으로 /tmp 디렉터리는 누구나 읽고, 쓰고, 실행할 수 있게 설정되는데요. 이러한 이유로 웹 등으로 스크립트를 심는다던가, 특정 파일을 실행시킨다던가 하는 공격에 굉장히 취약합니다. 따라서 기본적으로 OS 설치를 하고 나면 /tmp 디렉터리의 보안 설정은 당연한 것처럼 진행해줘야 합니다. 설정 방법은 간단합니다. 1. OS 설치시 /tmp 파티션 생성(임시 파일이 저장되는 디렉터리 이므로 보통 1GB 할당) /var/tmp 삭제 2. # rm -rf /var/tmp 3. /tmp 를 var/tmp로 심볼릭 링크 생성 # ln -s /tmp /var/tmp 4. /etc/fstab을 열어서 다..

/tmp 보안 설정 /tmp 디렉터리는 임시파일들을 저장하는 파티션입니다. ​ 임시파일들을 저장하는 곳인 만큼 악의적으로 악성파일이 심어질 수도 있기 때문에 보안이 중요합니다. ​ CentOS 7 설치 중 /tmp 파티션을 생성하셨을 경우에만 이어집니다. ​ /tmp 보안 설정을 하기 전 /var/tmp 폴더를 삭제한 후 /tmp 폴더를 심볼릭 링크로 이어 줍니다. # rm -rf /var/tmp # ln -s /tmp /var/tmp 이제 /etc/fstab 파일을 열어 /tmp 파티션에 대한 마운트 설정을 해보겠습니다. # vim /etc/fstab . . . UUID = ********-****-****-********** /tmp xfs default,nodev,nosuid,noexec 0 0 /..

패키지 설치 CentOS 7을 사용하면서 유용한 패키지나 minimal OS에 포함되지 않은 패키지, CentOS 6에서는 사용했는데 CentOS 7에서는 없는 패키지들을 설치해보려고 합니다. 이 부분은 원하는 패키지들만 선택하여 설치하셔도 됩니다.(필수사항은 아닙니다.) ​ - epel-release : CentOS 7의 extra 저장소이며, 기본 저장소로 설치가 되지 않는 패키지를 설치하기 위해 이용합니다. - rsync : 파일과 디렉터리를 복사하고 동기화하기 위해서 사용하는 패키지입니다. - wget : 웹에 있는 파일을 바로 다운로드하기 위해 이용하는 패키지입니다. - vim : 기본 에디터인 vi 와 다르게 하이라이트 기능이 있어서 vi 보다 사용하기 편합니다. - rdate : 시간 설정 ..

시스템 정책에 사용자 로그인 실패 임계값이 설정되어 있는지 확인하는 설정입니다. vi /etc/pam.d/system-auth 위 그림과 같이 빨간네모칸에 있는 내용을 추가해주었습니다. 옵션 설명 deny=N //N회 입력 실패 시 패스워드 잠금 unlock_time=N //계정 잠김 후 마지막 계정 실패 시간부터 설정된 시간이 지나면 자동 계정 잠김 해체 (단위:초) no_magic_root //root에게는 패스워드 잠금 설정을 적용하지 않음 reset //접속 시도 성공 시 실패한 횟수 초기화

패스워드 복잡성을 설정하는 이유는 비인가자가 brute force attac(무차별 대입 공격)과 dictionary attack(사전 대입 공격)을 통해 취약한 패스워드가 설정된 사용자 계정에 패스워드를 획득할 수 있기 때문입니다. 1. 사전에 나오는 단어나 이름의 조합 2. 길이가 너무 짧거나, Null(공백)인 패스워드 3. 키보드 패턴의 일련의 나열 예) asdf, qwer 4. 사용자 계정 정보에서 유추 가능한 단어들 패스워드의 유효기간은 90일 패스워드 최소 길이 8로 설정 vi /etc/login.defs PASS_MAX_DAYS 90 //패스워드의 최대 우효기간 PASS_MIN_DAYS 0 //패스워드를 바꿀 수 있는 최소한의 날짜 PASS_MIN_LEN 8 //패스워드 최소 길이 PASS..

root 아이디는 접속을 제한하고 wheel 아이디로 접속하여 [sudo su]로 관리자 권한(root)을 받아서 서버를 운영하기 위해 사용됩니다. vi /etc/pam.d/su 편집기로 여시면 auth required pam_wheel.so use_uid 빨간색으로 표시한 부분이 주석처리되어있는데요 주석 제거해 주세요 vi /etc/group wheel 부분에 aaa라는 유저를 추가시켜 줍니다. 그다음으로 bin에 있는 실행파일을 wheel 그룹에 실행 권한을 부여합니다. chgrp wheel /bin/su chmod 4750 /bin/su 이렇게 한 후에 저는 sudo su 명령어가 먹히지가 않아서 인터넷 검색 결과 vi /etc/sudoers //편집기로 연뒤 # $wheel ALL=ALL ALL ..

Telnet root 계정 원격 접속 제한 /etc/securetty를 문서 편집기 vi로 열어 pts/0 ~ pts/x를 전부 삭제한다. 위 그림과 같이 pts/0 pts/1이 존재하는 경우 삭제하시면 됩니다. /etc/pam.d/login 위의 경로 파일에서 #auth require /lib/security/pam_security.so 에서 주석을 제거해 주세요 저 같은 경우는 없어서 신규로 추가해 주었습니다. SSH root 계정 원격 접속 제한 /etc/sshd/sshd_config 파일을 vi로 열어 주시면 아래와 같은 화면이 나타납니다. 처음에 파일에 들어가시면 이런 화면이 안나오지만 :set nu라는 명령어를 치시면 위 사진처럼 번호가 나타나는 것을 보실 수 있습니다. 그럼 42번 줄의 #P..

1. home - 리눅스 사용자들의 개인 공간 - /root는 root의 홈 디렉터리 - 일반 사용자는 home 밑에 자신의 아이디로 된 디렉터리가 생성되어 있음(로그인할 경우) 2. bin & bash - sbin은 시스템 관리를 위한 명령(root에게만 허용됨) 3. lib - 리눅스 상에서 자주 사용되는 라이브러리 집합 - 윈도 우상에서 Dynamic Linked Library(DLL)을 모아놓은 폴더라고 생각할 수 있음 4. etc - 시스템 부팅, 셧다운 시에 필요한 파일들과 시스템의 전반의 걸친 설정 파일들 및 초기 스크립트 파일들이 있다. - 주요 설정 파일들이 위치한다 - 주요 리스트 * motd : 로그인 성공 시 처음의 띄어주는 문구 * password : 사용자에 대한 정보를 포함하고..