Born2beroot

관리 메뉴

💡

Born2beroot 본문

Born2beroot

아옳이 2021. 6. 4. 21:57

Project overview

0. 가상머신이란

하나의 컴퓨터로 서로 다른 운영체제를 실행하고자 할때 소프트웨어로 하드웨어 기능을 시뮬레이션하여 실행

0. debain vs CentOS

- 둘다 linux 운영체제

- 센토스는 레드햇이 공개한 RHEL을 가져와서 레드햇의 브랜드와 로고만 제거하고 배포한 배포본. 무료 사용 가능하지만 문제 발생시 레드햇이 아닌 커뮤니티 통해 지원되므로 패치가 다소 느린 감이 있음. 데비안은 커뮤니티에서 만들어진 배포판이라 사용법이 온라인 웹사이트나 커뮤니티에 자세히 기술되어 있다

- 패키지 관리 : 센토스는 RPM 포맷과 YUM/DNF 패키지 매니저 사용. 데비안은 DEB 포맷과 dpkg/APT 매니저 사용

- 센토스는 기업용, 데비안은 개인

0. aptitede vs apt

aptitede : high level 패키지 매니저

apt : low level 패키지 매니저 gui 없음

-apt는 다른 하이레벨 패키지 매니저에 의해 사용될 수 있음

aptitude는 사용하지 않는 패키지를 자동적으로 제거해준다. 반면 apt는 추가적 옵션이 필요하다. (ex. 'autoremove', '-auto-remove')

aptitude는 why와 why-not 커맨드를 통해 특정 패키지를 설치할 때 어떤 것이 요구되고, 어떤 것과 충돌하는지 확인할 수 있다.

aptitude는 설치, 제거, 업데이트 과정에서 충돌이 있는 경우 다른 대안을 제시해줌. apt는 그냥 안 된다고만 함.

0. APPArmor

-시스템 관리자가 프로그램 프로필 별로 프로그램의 역량을 제한할 수 있게 해주는 리눅스 보안 모듈이다

앱아머는 정책 파일을 통해 어떤 어플리케이션이 어떤 파일/경로에 접근 가능한지 허용해준다.

enforce모드와 complain모드 두 가지 존재

enforce 모드 : 허가되지 않은 파일에 접근하는 것을 거부하는 모드

complain 모드 : 실질적으로 보안을 제공하는 것은 아님. 대신 어플리케이션이 해야 할 행동이 아닌 다른 행동을 하는 경우에 앱아머는 로그를 남겨준다(중지하지는 않음).

sudo aa-status : apparmor 상태 확인

Mandatory part

1. sudo 설치 & 사용자 그룹 설정

dpkg -l sudo : sudo 설치 여부 확인

apt-get install sudo : sudo 설치

groupadd [그룹명] : [ ] 그룹 추가

usermod -aG [그룹명,그룹명, ... ] [사용자명] : 사용자를 그룹에 추가

usermod -g [그룹명] [사용자명] : primary group 설정

id [사용자명] : 사용자의 gruop 확인

2. ufw(Uncomplicated Firewall) 설정

sudo apt install ufw : ufw 방화벽 설치

sudo ufw status verbose : 상태 확인

sudo ufw enable : 부팅시 ufw 활성화 하기

sudo ufw default deny : 기본 incoming deny

sudo ufw allow 4242 : ssh 연결 허용

- sudo ufw status numbered : 규칙번호 확인

- sudo ufw delete 규칙번호 : 규칙번호 삭제

3. SSH(Secure Shell Protocol) 설정

-네트워크 프로토콜 중 하나로 컴퓨터와 컴퓨터가 인터넷과 같은 Public Network를 통해 서로 통신을 할 때 보안적으로 안전하게 통신을 하기 위해 사용하는 프로토콜, 주로 데이터 전송과 원격제어에 사용, public key & previate key

apt install openssh-server : ssh 서버 설치

systemctl status ssh : openserver 가 실행중인지 여부 확인

sudo ufw allow 4242/tcp : 4242포트 허용

vi /etc/ssh/sshd_config

#Port 22    --- 제거
port 4242   --- 추가

.
.
.

PermitRootLogin no  --- no로 변경

4. Hostname & partitions

hostnamectl : 호스트네임 체크

sudo hostnamectl set-hostname [호스트네임] : 호스트네임 변경

-LVM : 논리적 볼륨 매니저

한 개 혹은 여러 개의 물리적인 디스크를 하나의 논리적인 파일시스템으로 구성을 해서 여러 개의 물리적인 디스크를 하나의 파일시스템으로 사용하는 것, 뿐만 아니라 합쳐진 것은 다시 원하는 대로 여러 개의 파일시스템으로 나눌 수도 있다.

파티션보다 더 유연하게 사용할 수 있다.

5. Password 정책 변경

sudo vi /etc/login.defs

PASS_MAX_DAYS 30

PASS_MIN_DATS 2

PASS_WARN_AGE 7

으로 변경

sudo apt install libpam-pwquality

sudo vi /etc/pam.d/common-password

pam_pwquailty.so 에 아래 추가

retry=3 : 암호 입력 3회까지

minlen=10 : 암호 최소 길이 10

difok=7 : 기존 암호와 달라야 하는 문자 수 7

ucredit=-1 : 대문자 1개 이상

dcredit=-1 : 숫자 1개 이상

reject_username : username이 그대로 또는 뒤집혀서 패스워드에 드러있는지 검사, 들어있으면 거부

enforce_for_root : root 사용자가 암호를 바꿔도 위의 조건들 적용

6. sudoer 파일 설정

sudo mkdir /var/log/sudo/ : 로그파일 저장할 경로 디렉토리 생성

sudo visudo : /etc/sudoers 파일 수정

Defaults secure_path="경로설정"

.
.
.

  //마지막 줄에 추가

Defaults authfail_message="Authentication attempt failed."    -- 권한 획득 실패 커스텀 메세지
Defaults badpass_message="Wrong password!"                    -- 암호 실패 커스텀 메세지
Defaults log_input                                            -- sudo input 을 로그에 기록
Defaults log_output                                           -- sudo output 을 로그에 기록
Defaults requiretty              -- The TTY mode has to be enabled for security reasons.
Defaults iolog_dir="/var/log/sudo/"                           -- 로그 저장할 경로

7. monitoring.sh

cron : 작업예약스케쥴러

sudo crontab -e

*/10 * * * * /monitoring.sh | wall

초단위로 컨트로 하려면

* * * * * sleep [ ]; command

- signature.txt 만들기

.vdi 가 있는 디렉토리에서

shasum [ ].vdi 후 나온 값을 복사

-----------------------------------

평가 후에 shasum 명령어를 사용하면 값이 바뀌어 있는것을 볼수 있다. 그래서 signature.txt를 만들기 직전에 버츄얼박스에서 스냅샷을 찍어 놓은 후 다음 평가 때 찍어놓은 스냅샷으로 돌아가서 다시 shashum 명령어를 사용하면 signature.txt와 똑같은 값을 출력해준다.

https://tbonelee.tistory.com/m/16

https://jootc.com/p/201808031460

https://jootc.com/p/201808031462

리눅스 SSH 접속 방법 (SSH 프로토콜 연결 허용 설정하기) - JooTC

리눅스 SSH 접속 리눅스 서버에 접근하기 위해 직접 로컬 PC에서 터미널이나 그래픽 인터페이스를 활용하여 작업을 진행하거나, 원격지에서 호스트 접속을 위한 프토로콜을 사용한 연결이 있습

jootc.com

https://jjeongil.tistory.com/1393