정보 보안을 향한 항해

원격 로그서버(rsyslog) syslog를 통해서 각 서버에서 생성되는 로그들을 중앙 로그서버로 보내는 rsyslog를 설정해보자. 각 리얼 서버(Web, Mail, Database, ...)에서 발생되는 로그들을 저장할 중앙 백업 로그 서버(Centos2)를 두고, 예를 들어 리얼 서버(CentOS1)에 sshd 데몬을 실행시켜두고, 외부 머신(Ubuntu)이 SSH로 리얼 서버에 침투하면 리얼 서버가 로그를 발생 시켜서 자신과 원격지의 로그 서버로 로그를 보내는 메카니즘이다. 해커는 침투 후 '흔적 지우기'를 통해서 자신이 침투했었 던 흔적이 남아있는 로그를 수정하기 때문에 침투를 당한 리얼 서버 이외의 장소에 이런 로그를 저장해두는 것이 일반적이다. $template TmplAuth, "/var/..

프로그램 설치 백업 파일 생성 /etc/ntp.conf 22~25줄 주석처리 파일 마지막에 추가 시간이 안 맞는 host들 규제한다면 이런식으로 하면 된다 추가 udp 123 port 추가 # service iptables save ; service iptables reload iptables: Saving firewall rules to /etc/sysconfig/iptables:[ OK ] iptables: Trying to reload firewall rules: [ OK ] # setenforce 0# ntpdate pool.ntp.org 6 Oct 17:16:54 ntpdate[4718]: step time server 211.233.84.186 offset 0.902765 sec # servi..

vmware 는 자체적으로 client, server 역할을 한다 DHCP client windows 확인 지금은 체크하지 않는다 ip 확인 # cat /etc/network/interfaces 53~61줄까지 주석을 지워준다 확인 설정파일 수정 # nano /etc/dhcp/dhcpd.conf # A slightly different configuration for an internal subnet. subnet 1092.168.100.0 netmask 255.255.255.0 { range 192.168.100.190 192.168.100.199; option domain-name-servers 192.168.100.2; option domain-name "kahn.edu"; option router..

# yum -y install squirrel mail 없으면 epel release 부터 설치해야한다 httpd 서비스시작과 런레벨 조정 # cd /usr/share/squirrelmail/config/ ; ls config 디렉토리를 본다 conf.pl 을 실행한다 # perl conf.pl SquirrelMail Configuration : Read: config.php (1.4.0) --------------------------------------------------------- Organization Preferences 1. Organization Name : kahn.edu 2. Organization Logo : ../images/sm_logo.png 3. Org. Logo Width..

dovecot 설치한다 # yum -y install dovecot dovecot 설정파일 수정 # nano -c /etc/dovecot/dovecot.conf 20줄 주석제거 78줄 !include conf.d/*.conf http web server 와 비슷하게 운영됨을 확인한다. # nano -c /etc/dovecot/conf.d/10-mail.conf 24 줄 주석 제거 auth 인증 파일 nano -c /etc/dovecot/conf.d/10-auth.conf 9줄 주석삭제후 no 로 변경 97줄 uth_mechanisms = plain 설정파일 # nano -c /etc/dovecot/conf.d/10-master.conf 82 줄 주석 삭제 83 주석 삭제 서비스 시작과 runlevel 조..

postfix mail server 와 sendmail server 는 유명한 mail server 이다. iredmail server 는 유명하지 않지만 굉장히 좋다 fail2ban 과 회사에서 mail server 구축시 강력하게 권할 만한 mail server 이다 fail2ban clamAV MySQL/MariaDB 1 방화벽을 disable # setenforce 0 # nano /etc/sysconfig/network 파일 확인 # nano etc/hosts # yum -y install postfix postfix 다운받는다 iredmail 독립적 mail 이고 postfix 는 squarrel mail 을 사용한다 sendmail 은 앞에서 mailx mute 백업파일 # cp -arp /..

Advanced 가서 Accept the MOZILLA_PKIX_ERROR_SELF_SIGNED_CERT https://mx.kahn.edu/iredadmin The certificate is not trusted because it is self-signed. HTTP Strict Transport Security: false HTTP Public Key Pinning: false Certificate chain: -----BEGIN CERTIFICATE----- MIID8TCCAtmgAwIBAgIJAL9Jq67gg74GMA0GCSqGSIb3DQEBCwUAMIGOMQswCQYD VQQGEwJDTjESMBAGA1UECAwJR3VhbmdEb25nMREwDwYDVQQHDAhTaGVuWmhlbjEU MBIGA..

필요한 파일은 4가지다 iRedAdmin-0.6.3.tar.bz2 iRedMail-0.9.5-1.tar.bz2 iRedAPD-1.9.1.tar.bz2 roundcubemail-1.2.0-complete.tar.gz 엔터 엔터 현재 아파치를 더 많이 쓰니 Apache 아파치 선택후 엔터 메일을 저장할수 있는 공간이 나와있다 마이에스큐엘 선택 후 엔터 참고로 선택은 스페이스바이다' 자신의 도메인을 적고 엔터 비밀번호 입력후 엔터 엔터 1014855938 528471 iRedAdmin-0.6.3.tar.bz2 최종 정리 화면이 보인다 메일을 저장하는 공간이 MySQL 이다 등의 정보를 보여준다 y 입력후 엔터 조금 시간이 걸려서 설치 된다 4690938d7ec957e9e13064dcaa18daf1 misc/i..

Downloading Packages: https://vault.centos.org/6.10/os/x86_64/Packages/apr-util-1.3.9-3.el6_0.1.x86_64.rpm: [Errno 14] PYCURL ERROR 6 - "Couldn't resolve host 'vault.centos.org'" Trying other mirror. Error Downloading Packages: apr-util-1.3.9-3.el6_0.1.x86_64: failure: Packages/apr-util-1.3.9-3.el6_0.1.x86_64.rpm from base: [Errno 256] No more mirrors to try. # wget -O /etc/yum.repos.d/CentOS-Ba..

# yum -y install php 하면 해결된다

CentOS6 에서 나타나는 버그다. # /etc/yum.conf에 sslverify=false를 추가하여 SSL 유효성 검사를 비활성화 한 후 # yum --disablerepo=\* --enablerepo=base,updates update 하면 해결 된다. 안되면 /etc/yum.repos.d/CentOS-Base.repo 파일이 아래와 일치하는지 확인한다 # CentOS-Base.repo # # The mirror system uses the connecting IP address of the client and the # update status of each mirror to pick mirrors that are updated to and # geographically close to the..

문제는 sshd_config파일 내에 있습니다 . 이 문제에 대한 궁극적인 솔루션은 다음과 같습니다. Ubuntu 서버에 root로 로그인 vim 또는 nano를 사용하여 /etc/ssh/sshd_config 파일 수정 vi /etc/ssh/sshd_config 또는 nano /etc/ssh/sshd_config PasswordAuthentication에서 no 를 yes로 변경 파일을 저장하고 sudo service sshd reload 명령을 실행하여 SSH 서비스를 다시 로드한다. 이 작업이 완료되면 로컬 장치에 대한 새 SSH 키를 설정이 가능하다. 서버(ubuntu1)가 아닌 로컬 장치(centos1등)에서 작업 ssh-copy-id username@droplet.ip 여기서 droplet.ip..

centos (RedHat) netstat -anpl | grep 8140 ubuntu (Debian) 라면 sudo service apache2 stop

6.4. IPsec 호스트 간 설정 IPsec을 호스트 간 연결을 통하여 데스크탑이나 워크스테이션들을 연결하도록 설정 가능합니다. 이러한 유형의 연결은 각 호스트가 연결된 네트워크를 사용하여 양 호스트 사이에 보안 터널을 생성합니다. 호스트 간 연결에 필요한 요건은 각 호스트에 IPsec만 설정하면 됩니다. 호스트에서 IPsec 연결을 생성하기 위해서는 공중 네트워크 (예, 인터넷)와 Red Hat Enterprise Linux에 연결할 전용선만 있으면 됩니다. 연결을 생성하는 첫번째 단계는 각 워크스테이션의 시스템 정보와 네트워크 정보를 모으는 것입니다. 호스트 간 연결을 위해서는 다음과 같은 정보를 수집하셔야 합니다: 양 호스트의 IP 주소 IPsec 연결을 식별하고 다른 장치나 연결 (예, ipse..

vpn 프로그램 설치 # yum -y install openvpn epel release 에서 설치한다. 설치 완료 terminal 에서 터널 연결을 위한 key 생성한다. 파일 다운 noarch 라서 어느 CPU 모두 가능하다. 파일을 푼다 파일 확인한다 파일 생성후 키들을 복사한다. 이제 키 설정한다. # nano -c /etc/openvpn/easy-rsa/vars 29번째줄 수정전 바꿔준다 파일 마지막부분의 default 설정들도 변경해주면 좋다. 하나로 메인설정파일 설정 했기 때문에 정확한 이름이 아닌 openssl.cnf 로 파일 작성해도 괜찮은 것이다. 권한 변경 # chmod 755* # source ./vars # ./clean-all # ./build-ca key * 이 나오는 길이는 ..

예를 들어서 오름차순 정렬 명령어 sort 내림차순 정렬 sort -r sort 명령어가 잘 실행되고 있음을 확인했다. 이제 sort 명령어를 변경할 것이다. # ls > sort 파일이 아닌 명령어가 덮어씌워지는 위험한 명령어이다. sort 가 완전 이상해졌다 다시 정상으로 만드는 과정 sort 명령어 위치 확인 sort의 rpm 파일을 찾는다 삭제한다 여기서 파일이름을 정확히 해주지 않으면 삭제되지 않으니 # rpm -qf 결과물을 복붙한다. coreutils 재설치 sort 명령어가 원래대로 돌아갔다 정리하면 망가진 명령어를 삭제한후 다시 설치하면 고쳐진다.

마운트 해준다 # mount /dev/sdb1 /roo 마운트 한 곳에 백업 # dd if=/dev/sda of=/dev/sdb1/sda.mbr count=1 bs=512K ; sync 백업 확인 참고로 복원은 # dd if=/work/sda.mbr of=/dev/sda 식으로 한다.

# iptables -I INPUT 1 -p tcp --dport 22 --syn -j LOG iptables -A INPUT -m state --state NEW,RELATED -p tcp --dport 22 -j ACCEPT 확인한다. service iptables save && service iptables reload iptables -nL --line-numbers 첫줄에 LOG 기록있는 것 확인 첫줄 마지막 level 4 는 보안 레벨중 warn 의미하고 warn (level 4) 까지는 작동가능하다. 다른 node 가 외부에서 ssh 를 통해 들어올때 이렇게 LOG 를 기록하게 하는 것을 알고있자. tail -f 명령어로 messages 를 실시간으로 보게한다. 외부에서 접속한다. 다시 돌아..

rpm 명령어로 프로그램 설치여부 확인 가능하다. 설치된 것을 모두 보이는 명령어 -V 최초에 rpm 파일 설치후 변경된 것들을 보여줌 -c 는 구성파일 d 문서파일 g 빈 유령파일 l 모듈 파일 m (missing) 사라 이중에서 missing 이 보이면 주의해야한다. 보통 missing 이 나오면 package 재설치하면 된다. 하지만 시스템과 보안 관련되서 missing 이 있으면 관리자가 변경하지 않는 한 굉장히 심각한 문제가 될수도잇다. 사진에 나온 greeter 파일을 중요한 파일이 아니라 크게 문제가 있진 않다. 간혹 .cache 파일도 변경이 될수도있다. buffer memory (cookie) 처럼 잠시 들어가 있는 파일을 말한다. gdm 외부에서 console 로 연결될때 L 은 심볼릭..

TeskDisk와 Photorec 는 그림을 복원해준다. 이 도구를 사용한 데이터 복원과 복구 실습 # yum -y install testdisk testdisk 와 porterrecord 도구가 설치된다 # testdisk nolog 엔터 /dev/sdb 엔터 Intel 엔터 파티션 작업에 대한 내용 Analise Quick Search 엔터 엔터 엔터 Write y 입력 후 엔터 Quick 나간다 Quick 나왔다 밖에서 아무 사진 선택후 다른이름으로 저장한다 다운로드 밑으로 드레그 삭제한다 복원한다 다시 testdisk 들어간다. b 눌러서 save settinh q 로 화면 나가기 search 에서 엔터 엔터 whole 엔터 저장위치는

1gb HDD 달고 머신 부팅시 partition & format 수행한다. 참고로 yum -y update 한 상태이다. 필요한 package 설치한다. epel release 설치 된 상태이니 바로 yum -y install extundelete work dir 를 읽기전용 ro 로 mount 시킨다 df -hT /work ro 라서 삭제 못하는 것 확인 umount 로 내리고 다시 mount 후 tester.ext 파일 삭제한다. 삭제된 파일과 dir 복원하는 여러 옵션들 전체 --restore-all (모든 file 과 dir 복원) 특정 파일 --restore-file /work/tester.ext 여러 파일 (지정) --restore-files /work/tester.ext install.lo..

정리 # setup ⇒ # nano /etc/sysconfig/network-scripts/ifcfg-eth0 확인 > vmware tools > tar xvfz > perl -d ⇒ reboot ⇒ nano /etc/yum.repos.d/CentOS-Base.repo (base url 추가) terminal 데스크탑에 꺼낸다 Applications > System Tools > Terminal ifconfig 명령어로 network 이름 (eth0) 확인 setup 하면 파일에 다 반영되니 되도록 setup 으로 초기 네트워크 설정한다. # setup vmware tools 설치 # nano /etc/yum.repos.d/CentOS-Base.repo 각 항목별로 붙여넣는다 base는 baseurl=h..

"이동할 수 없는 파일이 있는 지점을 벗어나 볼륨을 축소할 수 없습니다. " 위와 같이 오류가 발생될 시 조각 모음으로 여유 공간을 통합할 수 있으나 일부 이동할 수 없는 파일이 있습니다. 그 중 하나가 페이징 파일 조각 입니다. 그 외의 사용중인 시스템 파일, 시스템 복원 위치 등 이 있습니다. 볼륨 축소는 윈도우가 부팅 된 상태에서 가능한 기능이며 사용중인 시스템 파일은 이동이 어렵습니다. 방법 1. 시스템 복원 지점 삭제 및 시스템 복원 사용 안 함 복원 지점 또한 이동할 수 없는 파일로 삭제 대상이 됩니다. 그러나 이 파일 삭제 시 이전 현재 시점 이전으로 복원이 불가한 점을 고려해야 합니다. [제어판 - 시스템 - 시스템 보호] 클릭 > 구성 클릭 > 하단의 "삭제" 버튼 클릭 > 시스템 보호 ..

# nano -c /etc/sysconfig/iptables 추가한다 restart 해준다 save 해주면 오류뜬다 확인 # iptables -nL --line-numbers # nano -c /etc/xinetd.d/rsync disabled 를 yes 에서 no로 변경한다 syper deamon 설치 service 시작 netstat 확인 ubuntu에서 ssh 설치 ufw allow service 시작하고 centos 에서 # rsync /root/install.log ubuntu@192.168.100.129:/ 확인

# nano -c /etc/rsyslog.conf 44번째 줄 수정전 kernel 에 대한 로그는 기록하지 않는다 로 수정 어떤 거든 warn 이상의 경고면 log 기록하고 외에는 기록하지 않는다 # nano -c /etc/rsyslog.conf 38번째 줄 수정전 kenel 에 대한 모든 건 /var/log/iptables.log 에 기록해라 로 수정한다. /etc/rsyslog.conf 수정 총 정리 kernel 에 대한건 /var/log/messages 에는 기록하지 말고 모두 /var/log/iptables.log 에 기록해라 # service rsyslog restart 줄번호 확인확인 80 port 밑에 ssh ACCPET # iptables -I reload 시킨다 다른 머신에서 들어가는 것..

ufw 은 ubuntu fire wall 을 의미한다 # ubw status verbos inactive 면 죽어있는 것이다 살려준다 # ufw enable && ufw status verbose 방화벽 열기 # ufw allow 80/tcp 줄 번호 붙여서 보여줌 # ufw status numbered ipv4 에서 설정이 ipv6 에도 자동설정 되는 것 멈추기 쓸데없으니 없애기 현재 ipv4 에서 설정하면 자동으로 ipv6 에도 자동으로 설정 # nano -c IPV6=no 로 변경 # ufw deny from 10.10.10.10 to any port 22 proto tcp 10.10.10.10 네트워크는 192.168.100.128 port 로 들어갈수없다 어디에서든 192.168.100.100 ..

# firefox http://localhost HTTP 가 tcp 이다 죽은게 아니라 연결만 계속 하고 있다 실제 연결은 불가 syn ⇒ syn, ack ⇒ ack 나와야하지만, ack 가 나오지 않는다 이게 syn flooding 공격이다 smurf 공격 smurf 공격 막기 wireshark source (출발지 ip 주소) 가 모두 가짜이고 계속 FIN 됨을 확인 chain 초기화 [root@centos1 centos]# iptables -F 외부에서 들어오는 것 허용 [root@centos1 centos]# iptables -I INPUT 1 -m state --state NEW,RELATED -p tcp --dport 80 -j ACCEPT 1초에 50이상의 packet 은 DoS 공격일 가능..

전 실습에서 난리를 처놓아서 iptables 를 복원해준다 # iptables -nL --line-number 다른 머신에서 연결 당연히 가능하다 허용 설정 위에 거부설정 (reject) 넣어준다 # iptables -I INPUT 3 -p tcp --dport 22 -j ACCEPT rule 적용시킨다. # service iptables save && service iptables reload 다른 machine 에서 ssh 시도 Connection refused 됐다면 성공이다.

포트 확인 너무 많으니 ctrl c 로 종료 포트 막는 방법 가장 간단한 방법 1. # iptables -A INPUT -p tcp --dport 22 -j REJECT 2. # iptables -I INPUT 1 -p tcp --dport 80 -j REJECT 둘 중에 하나를 사용하면 된다. 외부에서 공격(DDoS 등)이 있을때 이런 식으로 빨리 막아주면 된다. 2. 80~100 port 막기 # iptables -I INPUT 1 -p tcp -m multiport --dport 80:100 -j REJECT 3. 20번 port 와 22~100port 막기 # iptables -I INPUT 1 -p tcp -m multiport --dport 20,22:100 -j REJECT 확인 4. 특정 ..

확인 -nL # iptables -nL --line-numbers 줄번호 붙여서 출력하는 옵션 --line-numbers 체인 저장 -A # iptables -A INPUT -p tcp -m state --state NEW,RELATED --dport=22 -j DROP 확인 줄 지정해서 체인 추가 -I 2번째 줄로 지정했다 # iptables -I INPUT 2 -p tcp -m multiport --dports=80,443 -j ACCEPT 확인 # iptables -nL --line-numbers 체인 교체 -R [root@centos1 centos]# iptables -R INPUT 2 -p tcp --dport=80 -j REJECT [root@centos1 centos]# iptables -n..