Hacking 관련 게시판

Hacking 관련 게시판

2000/08/06(20:33) from 203.254.154.69
작성자 : 강줄기 (jkkang65@hanmail.net)	조회수 : 4870 , 줄수 : 630

Linux 보안 0.5

아래의 문서는 숙명여자 대학교 리눅스 동아리 홈페이지에서
가져온 글임을 밝힙니다.
http://solux.sookmyung.ac.kr/
-------------------------------------------------------------------------

[리눅스 보안 - 제 1 탄 v0.5]                                       1999. 9. 2

       이 문서는 리눅스 보안과 관련해 여러 가지 보안 방법들을 다루고 있다. 개괄적으
로 다루고 있어서 미흡한 점이 엄청 많으리라 생각한다. 문서를 만들고 있는 필자 역시 보
안에 관심을 둔지 얼마 되지 않아 모르는 점이 많다. 보안관련 세미나 1탄은 "이런 것들
이 있구나~"정도로 받아들여주길 바란다. 앞으로 이 문서는 필자의 실력향상속도와 여러분
의 질타속에서 계속 업그레이드 하도록 하겠다. 2탄은 더 많이 공부해서 더 자세하고 심도
있는 내용으로 꾸밀 것을 약속하는 바이다. (필자의 약속을 믿는다면 ^^..... 그리고 필자
의 다음 세미나 일정은 한달 후이다. *^^*) 좀 더 총체적인 보안관련 정보를 얻고 싶다
면 Security-HOWTO 문서를 비롯한 여러 하우투 문서를 참고하길 바란다. 필자가 레드햇을
사용하는 관계로 제시되는 예가 레드햇용임을 미리 밝혀둔다. "슬렉웨어나 데비안에서는 어
떻게 사용하나요?" 모 이런걸 질문하면 -_-; 라는 답변밖에 들려줄 수 없다는 얘기다.
*^^*

==========================================================================
목차

1. 소개
1.1 저작권
1.2 개요
1.3 리눅스의 안전성
1.4 '안전'의 한계

2. 시스템 내부 보안
2.1 바이오스 보안
2.2 로그 파일 확인
2.3 xlock과 vlock
   2.3.1 xlock
   2.3.2 vlock
2.4 일반 계정 권한 제한
2.5 패스워드 보안
2.6 파일 보안
2.7 루트 보안

3. 네트워크 보안
3.1 inetd
   3.1.1 inetd.conf
   3.1.2 TCP-WRAPPER
   3.1.3 identd
3.2 방화벽(Firewall)
   3.2.1 IP 방화벽
   3.2.1.1 IP 패킷 필터링 방화벽
3.3 프락시(Proxy) 서버

4. 기타 보안대책
4.1 백업
4.2 새로운 시스템으로 업데이트
4.3 침입자 추적
4.4 피해 상황 조사

5. 감사의 글
==========================================================================

1. 소개

1.1 저작권

       이 문서의 저작권은 Solux(SOkmyung LinUX user group)에서 가지며 상업적인
용도로 사용할 수 없다.

1.2 개요

      컴퓨터 보급이 일반화되면서 어느때부턴가 '해커'를 주제로 한 소설이나 영화가 많
이 나오고 있다. 정확히 말하자면 대부분 '크래커'인데, 이들은 거의 신(?)에 가까운 능력
을 발휘하며 몇 번의 키조작으로 시스템을 파괴하고 자료를 빼내간다. 매스컴의 영향탓인
지 시스템 관리자들은 해커라 하면 다들 그런 능력을 갖는 걸로 착각하고 지레 겁먹는 경우
가 많은 것 같다. 하지만 대부분의 해커들은 일반 사용자의 ID와 패스워드를 무식하리만큼
끼워맞추어 시스템에 침입한다. 때문에 이러한 기본적인 것부터 하나하나 침입에 방비해 나
가는 것이 중요하다.

1.3 리눅스의 안정성

      리눅스를 사용하는 사람들은 일단 설치를 하고 나면 그 기쁨(?)에 도취되어 보안에
는 거의 신경을 안 쓰는 경향이 있다. 덕분에 해킹당하는 컴퓨터의 절반 이상이 리눅스를
운영체제로 사용하고 있다는 통계가 보고되고 있다. 정말로 리눅스는 보안상 허점이 무쟈
게 많은 운영체제일까? 절대 그렇지 않다. 소스코드를 공개한다고 해서 해커들이 달려들거
라는 생각은 아무래도 틀린 것 같다. 고작 해킹하려고 그 방대한 소스코드를 분석하고 앉아
있겠는가? 리눅스가 어떤식으로 돌아가는지도 잘 모르는 침입자들이 더 많다. 오히려 이러
한 개방이 문제 발생시에 빠른 해결안을 내주는 역할을 한다. 다른 운영체제들은 제한된 팀
이 문제해결안을 마련해 내놓기 때문에 너무 느리다. 보안상 허점이 나타나면 해결책이 나
올 동안 서비스도 중단하고 불안에 떠는 것보다 스스로 시스템 이곳저곳에 보안요소를 잘
마련해 두는게 훨씬 낫지 않은가?

1.4 '안전'의 한계

       무엇이든 마찬가지겠지만 특히 컴퓨터와 관련해 완벽이란 말은 있을 수 없다고 생
각한다. 어떠한 시스템이든지 완벽한 안전을 구현할 수는 없다는 얘기다. 단지 침입에 최대
한 방비해 피해를 최소화하기 위해 시스템 보안이 필요한 것이다. 얻는 게 있으면 잃는 게
있는 법! 보안을 위해 많은 요소들을 집어넣으면 당연히 시스템 사용이 불편해진다. 여튼
현재까지는 어쩔 수 없이 보안과 편리성 중 우선권을 어디에 둘건지 관리자가 적절히 안배
해야 한다. 보안도 철저히 하면서 시스템 사용도 유용하게 할 수 있는 방법. 앞으로 여러분
들이 마련해 나갈 것이라고 믿는다. 우리 씩씩한 리눅서들이 말이다. ^^

2. 시스템 내부 보안

2.1 바이오스 보안

       BIOS 는 x86 CPU를 기반으로 하는 하드웨어를 제어하는 가장 낮은 수준의 소프
트웨어다. 이 바이오스 기능으로 침입자가 리부팅하는 방법을 사용해 시스템을 조작하는 것
을 막을 수 있다. 바이오스에 부트 패스워드를 설정하는 것이다. 물론 이것도 바이오스를
리셋시키거나 케이스를 열어버리면 별 소용이 없게 되지만, 방해물이 될 수는 있을 것이
다. 자신의 컴퓨터 바이오스 매뉴얼을 살펴보고 부팅시 바이오스 설정을 해보는 것도 좋은
방법이 될 것이다. 플로피로 부팅을 못하게 한다던지 특정 바이오스에는 접근 패스워드를
걸어놓는 다든지 해서 말이다.
      혹시나 스팍 머신에 리눅스를 설치해 사용한다면 부팅시에 패스워드를 넣도록 설정
할 수가 있다. 그러나 서버에 이 EEPROM을 설정한다면 관리자가 있어야만 부팅이 된다는
걸 알아두도록 하자. (<- 필자는 이와 관련된 사항을 잘 모르는 관계로 하우투 문서의 내
용을 인용했음을 밝힌다. ^^;)

       Tip> 흥미로운 걸 발견했습니다. 패스워드 얘기가 나와서 말인데요. root의 패스
워드를 잊어버렸을 때 로그인 하는 방법이 있다는군요. 시스템을 셧다운하고 쉘 프롬프트
로 진입해서 패스워드를 바꾸어 준답니다.

       boot: linux init=/bin/sh를 사용해 쉘 프롬프트로 진입한 다음,
       # mount -o remount / -rw
       # passwd root

를 해주면 된답니다. 아주 위험한 방법 아닙니까? 마음만 먹으면 아무나 시스템의 루트를
바꿀 수도 있으니 말입니다. 대상 머신만 발견한다면 말이죠. 아무도 짐작할 수 없는 패스
워드를 만들다가 정말로 자신마저 짐작할 수 없게 되었을 때... 모 그런때 필요한 기능이
긴 한데 상당히 위험하군요. 그쵸?

2.2 로그파일 확인

      좋은 관리자가 되려면 로그파일을 자주 확인하는 습관을 들이도록 하자. 작정하고
쳐들어온 침입자들은 로그파일에서 자신들의 흔적을 지워버리지만 그래도 무언가 이상한 점
을 발견할 수 있을지도 모른다. 우선은 짧거나 불완전한 로그 기록이 있는지 살펴본다. 로
그 한 시간이 시스템 시간과 이상하게 차이가 나는지도 잘 살펴본다. 또한 허가권이나 소유
권이 잘못된 기록이 있는지 찾아보고, 재부팅을 했다거나 서비스를 재시작한 흔적이 있는지
살펴본다. 갑자기 사라진 데이터가 없는지도 알아보고, su 명령을 누가 사용했는지, 이상
한 호스트에서 접근하지는 않았는지에 대해서도 살펴보는 게 좋다.

2.3 xlock 과 vlock

   2.3.1 xlock

      xlock은 X윈도우 화면을 잠궈준다. "man xlock"을 하면 자세한 옵션들을 볼 수 있
다. X 윈도우에서 작업을 하다가 자리를 비울 때 X화면을 잠궈주면 다른 사람이 자신의 작
업에 피해를 주는 걸 막을 수 있을 것이다. xlock을 걸어둔 사람만이 패스워드를 입력해
해제할 수 있으니 말이다.

   2.3.2 vlock

       vlock 은 단말기를 잠궈준다. "man vlock"을 하면 자세한 옵션들을 볼 수 있다.
작업하던 단말기를 vlock으로 잠궈주면 xlock과 마찬가지로 패스워드를 입력해야만 해제시
킬수 있다. 필자는 이 기능을 유용하게 사용하는 편이다. 가끔 중요한 작업(그래봤자 프로
그래밍 숙제 같은 거지만.. ^^;)을 하다가 밥을 먹으러 간다든지 할 때 터미널을 끄고 나
가면 다시 그 컴퓨터에서 작업하기가 힘들어지므로 이렇게 자물쇠를 채워놓고 나간다.
vlock을 실행하면 다음과 같은 메시지가 뜬다.

       [chohon@solux chohon]$ vlock
        *** This tty is not a VC (virtual console). ***
        *** It may not be securely locked. ***

       This TTY is now locked.
       Please enter the password to unlock.
       chohon's Password:

여기서 패스워드를 입력하면 다시 작업할 수 있다.

2.4 일반 계정 권한 제한

       일반 사용자들에게 계정을 줄 때는 권한을 잘 조절해서 부여해야 한다. 사용자들
이 필요로 하는 최소한의 권한만 주는 것이 좋으며, 이들의 로그 정보도 주기적으로 체크
해 두는 것이 좋다. 일반 사용자가 쓸 수 있는 용량은 5~10M정도로 제한하도록 하고, 쓸데
없이 소프트웨어를 설치할 수 있는 권한이나 su 명령을 사용하게끔 만들지 말라. 또한 일
정 기간동안 접속하지 않는 계정은 꼭 삭제하도록 하자. 그렇지 않으면 침입자들의 좋은 목
표가 된다. 특정한 목적 없이 단지 침입해서 파괴하는데 의미를 부여하는 침입자들도 있으
므로 별다른 중요정보도 없는 자신의 PC가 해킹대상이 될 리가 없다는 생각은 버리도록 하
자.

2.5 패스워드 보안

      계정을 만들었을 때 패스워드를 잘 만드는 것이 보안의 첫 걸음이다. 가장 많이 사
용되는 해킹의 방법이 사용자의 패스워드를 알아내어 시스템에 침입하는 것이기 때문이다.
요즘 배포본들은 자체적으로 너무 간단하거나 사전적인 단어들은 패스워드로 만들지 못하
게 하고 있다. 침입자들은 크랙프로그램을 돌려서 패스워드를 알아내기 때문에 잘 알아내
지 못할 패스워드를 사용하도록 하자.
       사용자들의 패스워드가 얼마나 견고한지 좀 더 알아볼 수 있는 방법이 있다. 침입
자들이 사용하는 크랙 프로그램을 돌려보는 것이다. 눈에는 눈, 이에는 이, 知彼知己면 百
戰百勝이라고 하지 않았던가! (너무 과장이 심했는가?) 크랙 프로그램에는 '크랙'과 '존
더 립퍼'가 있는데 이 프로그램을 실행시켜서 약한 패스워드를 가진 사용자에게 공지해 줄
수 있을 것이다. 존 더 립퍼 프로그램은
http://www.false.com/security/john/index.html 에 가면
얻을 수 있다.
      리눅스는(유닉스도 마찬가지지만) DES(Data Encryption Standard)라는 암호화 연
산법을 사용해서 패스워드를 암호화한다. 이렇게 암호처리한 패스워드는 /etc/passwd 와
/etc/shadow 에 저장된다. /etc/passwd 에는 패스워드가 x로만 표시되고 일반 사용자들도
볼 수 있으며, /etc/shadow 파일은 패스워드에 대한 정보를 특정권한이 있는 사람만이 볼
수 있다. 요즘 배포본들은 PAM(Pluggable Authentication Modules)이 들어있기 때문에
shadow 패스워드를 지원하도록 컴파일할 필요없이 그냥 사용할 수 있다.

2.6 파일 보안

       일반 사용자들이 suid 와 sgid를 사용하지 못하도록 하자. /etc/fstab에
nosuid 옵션을 사용하면 다른 사용자들이 사용할 수 없게 된다. 사용자의 홈 디렉토리에서
는 nodev 와 noexec를 써서 블록 디바이스를 형성하지 못하게 하고 프로그램 실행도 금지
시키자.

  /etc/fstab의 내용 중 사용자 파티션:
       /dev/hda6       /user1             ext2    defaults        1 2
  위에서 defaults라고 되어있는 부분을 nodev,noexec라고 해주면 된다.

* find / -type f (-perm -04000 -o -perm -02000 ) 명령을 사용하면 SUID/SGIID
프로그램을 찾아낼 수 있다. 이 명령을 사용해본 결과 다음과 같이 아주 많은 프로그램들이
있었다.

       [root@solux /root]# find / -type f ( -perm -04000 -o -perm -02000 )
       /var/tmp/majordomo/wrapper
       /bin/su
       /bin/mount
       /bin/umount
       /bin/ping
       /bin/login
       /home/mailstudio-2.0/cgi-auth/addrbook.cgi
               :
       /usr/X11R6/bin/Xwrapper
       /usr/bin/at
       /usr/bin/chage
       /usr/bin/gpasswd
       /usr/bin/dos
               :
       /usr/bin/rlogin
       /usr/bin/rsh
               :
       /usr/lib/majordomo/wrapper
               :
       /usr/sbin/sendmail
       /usr/sbin/traceroute
       /usr/sbin/userhelper
       /usr/sbin/uucico
       /usr/sbin/uuxqt
       /usr/libexec/pt_chown

*주인이 없거나 그룹에 소속되지 않는 파일들은 누군가 시스템에 침입했다는 소리이다.
이 파일들은 find / -nouser -o -nogroup -print 명령으로 찾아낼 수 있다.

       [root@solux /root]# find / -nouser -o -nogroup -print
       /var/tmp/majordomo/wrapper

*리모트 호스트 파일들은 절대로 있으면 안되기 때문에 find /home -name .rhosts -
print 명령으로 이들을 찾아낼 수 있다. 필자가 사용하는 서버에는 리모트 호스트 파일이
없다.

2.7 루트 보안

     루트 계정은 함부로 사용해서는 안된다. 꼭 필요한 작업용으로만 사용해야 하며, 시
스템 관리자 자신도 루트 이외의 계정을 만들어 평소엔 그것을 사용할 것을 권장한다.
       파일을 여럿 지울 때 * 같은 와일드카드를 쓰려한다면 먼저 파일을 리스트하여 확
인한 다음 사용하자. 그래야 실수로 중요파일을 날려버리는 짓을 하지 않는다.
     일방 사용자들도 마찬가지지만 특히 루트는 .rhosts 파일을 만들면 안된다. 이것은
침입자에게 길을 내주는거나 다름없다.
       일반 사용자가 시디롬이나 플로피 디스켓을 마운트하게 하고 싶으면 sudo명령을
사용한다. 이 명령으로 특정 사용자에게 특정 작업에 대한 권한을 줄 수도 있지만, 제한된
작업만을 실행하도록 해야 한다. sudo 명령은 누가 사용했는지 로그파일에 기록이 되기 때
문에 변경사항을 추적할 수가 있다. 하지만 신뢰할만한 사용자에게 이러한 권한을 부여했
다 하더라도 침입자가 그 사용자로 접속해 들어온다면 엄청난 결과를 불러올 수도 있다. 특
정 프로그램으로 루트 권한을 얻을 수도 있고, 하다못해 /bin/cat같은 프로그램으로 파일
을 겹쳐써서 루트를 침탈할 수도 있다. 누누히 강조하지만 루트가 가진 권한을 아무에게나
떼어 주어서도 안되고 관리자가 남용해서도 안된다.

3. 네트워크 보안

      네트워크 보안 업무는 경찰 업무와 비교하면 쉽게 이해가 갈 것이다. 보안 기술 수
준은 많은 차이가 있고, 따라서 이들을 계속 배워나가야 한다. 다들 편리한 시스템 사용,
관리를 원하겠지만 보안만큼은 처음부터 '편리'라는 기준으로는 해결할 수 없는 문제라는
것을 인지하길 바란다. 네트워크 보안이 어려운 이유는 네트워크 보안이라는 문제의 특성
상 '방어'가 최선의 방책이라는 점이다. 언제 어디서 쳐들어 올지도 모르는 적을 기다렸다
가 막는 이런 억울한 상황을 계속 연출해야만 한다. 억울해도 어쩔 수 없는 일이다. 그렇다
고 내가 침입자를 공격할 수는 없는 일 아닌가. 스스로 침입자가 될테니 말이다.

3.1 inetd 슈퍼서버

     리눅스에는 기본적으로 많은 서버 프로그램이 작동하고 있다. 흔히 사용하는 ftp나
telnet 같은 서비스 말이다. 리눅스는 이런 서버 프로그램이 각자의 포트에서 서비스 요청
을 기다리기보다는 INETD라는 슈퍼서버가 각 포트의 접속을 기다리다가 사용자 요청에 따
라 적절한 서버 프로그램을 실행하도록 되어 있다. INETD 설정은 /etc/inetd.conf에서 이
루어진다.

   3.3.1 inetd.conf

   inetd를 사용하여 필요없는 서버는 실행되지 못하도록 봉쇄하자. /etc/inetd.conf 파
일을 보면:
               :
       #
       # Echo, discard, daytime, and chargen are used primarily for testing.
       # To re-read this file after changes, just do a 'killall -HUP inetd'
               :
       #
       # These are standard services.
       #
       #ftp    stream tcp     nowait root    /usr/sbin/tcpd in.ftpd -l -a
       telnet stream tcp     nowait root    /usr/sbin/tcpd in.telnetd
       #
       # Shell, login, exec, comsat and talk are BSD protocols.
       #
       #shell stream tcp     nowait root    /usr/sbin/tcpd in.rshd
       #login stream tcp     nowait root    /usr/sbin/tcpd in.rlogind
       #exec   stream tcp     nowait root    /usr/sbin/tcpd in.rexecd
       #comsat dgram   udp     wait    root    /usr/sbin/tcpd in.comsat
       talk    dgram   udp     wait    root    /usr/sbin/tcpd in.talkd
       ntalk   dgram   udp     wait    root    /usr/sbin/tcpd in.ntalkd
       #dtalk stream tcp     waut    nobody /usr/sbin/tcpd in.dtalkd
       #
       # Pop and imap mail services et al
       #
       #pop-2   stream tcp     nowait root    /usr/sbin/tcpd ipop2d
       #pop-3   stream tcp     nowait root    /usr/sbin/tcpd ipop3d
       #imap    stream tcp     nowait root    /usr/sbin/tcpd imapd
       #
       # The Internet UUCP service.
       #
       #uucp   stream tcp     nowait
uucp    /usr/sbin/tcpd /usr/lib/uucp/uucico-l
       #
       # Tftp service is provided primarily for booting. Most sites
       # run this only on machines acting as "boot servers." Do not uncomment
       # this unless you *need* it.
       #
       #tftp   dgram   udp     wait    root    /usr/sbin/tcpd in.tftpd
       #bootps dgram   udp     wait    root    /usr/sbin/tcpd bootpd
       #
       # Finger, systat and netstat give out user information which may be
       # valuable to potential "system crackers." Many sites choose to disable
       # some or all of these services to improve security.
       #
       #finger stream tcp     nowait root    /usr/sbin/tcpd in.fingerd
       #cfinger stream tcp     nowait root    /usr/sbin/tcpd in.cfingerd
       #systat stream tcp     nowait guest   /usr/sbin/tcpd /bin/ps -auwwx
       #netstat        stream tcp     nowait
guest   /usr/sbin/tcpd /bin/netstat-f inet
       #
       # Authentication
       #
       auth   stream tcp     nowait    nobody    /usr/sbin/in.identd
in.identd -l -e -o
       #
       # End of inetd.conf

       linuxconf stream tcp wait root /bin/linuxconf linuxconf --http
       #swat      stream tcp     nowait.400      root /usr/sbin/swat swat

gopher 같은 서비스는 주석처리하도록 하자. 거의 사용하지 않는다. shell, login, exec
서비스는 꼭 주석처리 하도록 하자. 집에서 네트웍에 연결하지 않고 사용하는 서버가 아니
라면 이것들은 꼭 막아야 한다. 그렇지 않으면 패스워드 없이 원격으로 로그인하고, 프로그
램을 실행시키도록 내버려둔다. finger, cfinger, systat, netstat 등도 주석처리 할것인
지 여부를 잘 결정하도록 하자. finger 같은 경우는 서비스를 하게 되면 로컬호스트에서
작업하는 사람들의 정보를 공개하므로 침입자에게 취약점을 제공할 수도 있다.
inetd.conf 파일을 변경하고 나면 "killall -HUP inetd"명령을 실행해 주어야 한다는 것
을 잊지 말자.

*finger를 주석처리 하지 않은 경우>
       [root@solux /etc]# finger @localhost
       [localhost]
       Login     Name       Tty   Idle Login Time   Office     Office Phone
       chohon    0-=B9L     /2          Sep 1 14:12 (Pc_46)
       crete                1       27 Sep 1 13:57
       crete                /0      25 Sep 1 13:59
       crete                /1          Sep 1 14:13
       crete                /3       9 Sep 1 14:14
       ------> 잠깐 퀴즈! 도대체 crete는 누군데 이런 많은 터미널을 띄워놓고 있을까
요? ^@^
*finger를 주석처리한 경우>
       [root@solux /etc]# finger @localhost
       [localhost]
       finger: connect: 연결이 거부됨

   /etc/ftpusers 파일에는 ftp 서비스를 사용할 수 없는 사용자들이 등록되어 있다. 당
연히 root가 일순위(사실 쓰여진 순서는 아무 상관 없다. 하하)로 적혀있다. 루트가 ftp
로 들어와서 중요한 자료를 빼가고 서버에 트로이 목마를 심을 수도 있으니 말이다. 대충
보면 알겠지만 루트를 비롯해 시스템 운영과 관계된 사용자들이 등록되어있다.

* /etc/ftpusers 의 내용:
       [root@solux /etc]# cat ftpusers
       root
       bin
       daemon
       adm
       lp
       sync
       shutdown
       halt
       mail
       news
       uucp
       operator
       games
       nobody

    /etc/securetty 파일에는 가상콘솔이 명시되어 있다. 아무데서나 루트로 접속할 수
있다면 내 시스템을 갖고 놀라는 얘기밖에 안되기 때문에 기본은 8개다. 꼭 원격으로 루트
접속을 하고 싶다면 su를 사용하도록 하자.

* /etc/securetty 파일의 내용
       [root@solux /etc]# cat securetty
       tty1
       tty2
       tty3
       tty4
       tty5
       tty6
       tty7
       tty8

3.1.2 TCP-WRAPPER

     inetd.conf 파일에 보면 tcpd에 관련된 라인을 발견할 수 있을 것이다. 이 tcpd가
TCP-WRAPPER이다. 이 tcpd 프로그램이 텔넷이나 FTP 서비스를 하기 전에 적절한 접근
제어와 기록을 남긴 후 원래 서비스를 제공하는 역할을 한다. 일반적인 리눅스 배포본에는
이미 설치되어 지원을 하므로 설치에는 신경쓰지 않아도 된다. 우리는 어떤 시스템에서 어
떤 서비스를 허가하며, 어떤 시스템으로부터 어떤 서비스를 금지하고, 어떤 서비스에 대해
어떤 기록을 남길 것인가 등에 대해 설정을 맞춰주기만 하면 된다. 위의 inetd.conf 파일
에서 tcpd에 관련된 라인을 보면,

       telnet stream tcp     nowait root    /usr/sbin/tcpd in.telnetd

in.telnetd가 텔넷 서비스에 대한 실제 서버 프로그램이고 /usr/sbin/tcpd라는 프로그램
이 있다. ftp나 다른 설정파일을 봐도 tcpd가 꼭 포함되어 있다. inetd에 의해 실행될때마
다 tcpd는 /etc/hosts.allow, /etc/hosts.deny 의 순서로 두 설정파일을 읽어서 그 규정
대로 서비스를 실행한다.
   /etc/hosts.allow 는 허용 규칙을 정의한다. <서비스 목록>:<호스트 목록>[:명령]의
형식으로 사용하면 된다. 서비스 목록은 규칙을 적용할 서비스 목록으로 각 항목은 컴마(,)
로 구분해주면 된다. ftpd, telnetd, fingerd 등을 쓰면 된다는 말이다. 호스트 목록은
호스트명이나 IP주소를 컴마(,)로 연결해 적어주면 된다. 호스트 목록에 ALL이나 LOCAL,
PALANOID, EXCEPT를 사용할 수도 있는데, ALL은 모든 호스트, LOCAL은 같은 도메인
에 속한 모든 호스트, PALANOID는 주소와 호스트명이 불일치하는 호스트, EXCEPT는 전
체중 제외한 호스트를 가리킨다. (아고~ 숨차다. -_-;)

*/etc/hosts.allow 내용
       [root@solux /etc]# cat hosts.allow
       #
       # hosts.allow   This file describes the names of the hosts which are
       #               allowed to use the local INET services, as decided
       #               by the '/usr/sbin/tcpd' server.
       #
       # 메일을 모든 사람에게 허용
       in.smtpd: ALL
       # finger를 허용하되 누가 요청했는지 기록을 남긴다.
       fingerd: ALL: (finger @%h | mail -s "finger from %h" root)

       /etc/hosts.deny 는 거부 규칙을 정의한다. 보통은 ALL:ALL만 넣어서
/etc/hosts.allow에서 허가하지 않은 모든 것을 거부한다. 이 방법이 꽤 좋은 방법이다.
tcpd 가 /etc/hosts.allow와 /etc/hosts.deny 파일을 읽고 난 후에도 마땅한 규칙을 발
견하지 못하는 경우엔 전부 허가하게끔 되어있기 때문에 거부 파일에서 전부 거부하는게 안
전하다. 허가파일을 읽고 거부파일을 읽기 때문에 절대로 허가파일에 ALL:ALL같이 무식하
게 설정하면 안된다.

* /etc/hosts.deny 내용
       [root@solux /etc]# cat hosts.deny
       #
       # hosts.deny    This file describes the names of the hosts which are
       #               *not* allowed to use the local INET services, as decided
       #               by the '/usr/sbin/tcpd' server.
       #
       # The portmap line is redundant, but it is left to remind you that
       # the new secure portmap uses hosts.deny and hosts.allow. In particular
       # you should know that NFS uses portmap!
       ALL: ALL

   3.1.3 identd

       auth   stream tcp     nowait    nobody    /usr/sbin/in.identd
in.identd -l -e -o

    identd는 주로 inetd에서 수행되는 프로그램이다. identd는 요청에 아무런 인증절차
를 거치지 않지만, 누군가에 의해 변조되지만 않았다면 tcp서비스를 쓰고 있는 사람들의 사
용자 이름이나 uid를 원격사이트에 말해준다. 특정한 사용자용으로 identd를 작동하지 않
게 하려면 .noident 파일을 만들면 된다. identd에 모든 identd 요청을 기록하도록 할
수 있고 사용자 이름대신 uid나 NO-USER를 표기하도록 할 수도 있다.

3.2 방화벽(Firewall)

     방화벽이란 말은 아마도 여기저기서 많이 들어본 말일 것이다. 필자는 처음에 '리눅
스 보안 = 방화벽'인줄 알았다. 하지만 방화벽은 보안의 한 방안이라는 것을 여러분도 알았
으면 한다.(어라, 이미 알고 있는가? 흠....) 방화벽은 개인적인 네트워크를 일반적으로
인터넷과 같은 공공의 네트워트로부터 보호하는 장치를 통틀어 말한다. 우리학교만 보더라
도 인트라넷이 있으니 전산팀이 보안에 관심을 두고 있다면 분명히 방화벽이 있을 것이다.
인트라넷은 인터넷을 접근할 수 없고 인터넷은 인트라넷에 접근할 수 없도록 한다. 따라서
인트라넷에 있는 사람이 인터넷을 사용하려면 우선은 방화벽에 텔넷으로 로그인한 후 그곳
에서 인터넷을 사용해야 한다. 방화벽의 문제점이 바로 이것이다. 내부로부터 인터넷 접속
을 방해하는 것. 네스케이프처럼 인터넷으로의 직접 접속을 원하는 프로그램들은 방화벽 뒤
에서 작동하지 않을 것이다. 이에 대한 방안으로 프락시(Proxy) 서버를 만들 수도 있다.
음... 그러나 필자는 방화벽을 만들어 사용해보지 못한 관계로 이 부분은 개괄적으로(언제
는 개괄적이지 않았나? 라고 시비걸지 말아라. 좀 더 개괄적으로 하겠다는 말이니까) 언급
하겠다.

   3.2.1 IP 방화벽

      일정한 규칙을 정해 패킷의 허가여부를 결정하는 기능이다. 리눅스는 이 기능을 커
널 네트워킹 수준에서 처리한다. 즉, 리눅스를 설치하는 것만으로도 게이트웨이, 라우터의
역할을 할 수 있다는 말이다. 인트라넷과 인터넷 접속지점에 리눅스가 설치된 게이트웨이
머신이 있다고 하자. 인트라넷이 인터넷과 연결하면서 중요한 점은 인터넷 자원을 충분히
활용하면서 인트라넷의 정보가 유출되지 않고 인터넷의 공격에 대한 불안을 해소하는 것이
다. 이 때 리눅스가 패킷 필터링을 해줌으로써 불안을 해소해 줄 수 있다.

     3.2.1.1 IP 패킷 필터링 방화벽

      이 방법은 패킷의 내부를 조사하여 허가여부를 결정하는 방법이다. 패킷 내부에는
패킷을 보낸 주소, 도착할 주소, 목적지의 Port, TCP/UDP등의 패킷 형태에 대한 정보가 들
어있다. 주소는 보면 알 수 있고, 포트번호의 경우 TCP/UDP의 헤더 부분에 기입되어 있
다.
23일 경우 텔넷 서비스, 25일 경우 메일 서비스, 80일 경우 웹 서비스에 관련된 것이다.
/etc/services 파일을 보고 각 서비스가 TCP와 UDP중 무엇을 사용하고, 포트는 또 무엇
을 사용하는지 살펴보는게 좋을 것이다.
* /etc/services 파일의 일부 내용>
               :
       telnet          23/tcp
               :
       smtp            25/tcp          mail
               :
       tftp            69/udp
       gopher          70/tcp                          # Internet Gopher
       gopher          70/udp
       rje             77/tcp          netrjs
       finger          79/tcp
       www             80/tcp          http            # WorldWideWeb HTTP
       www             80/udp                          # HyperText Transfer
Protocol
       link            87/tcp          ttylink
               :
    이 정보를 바탕으로 Accept, Deny, Reject를 결정해야 한다. accept는 말 그대로 통
과시키는 것이고, deny은 아무말 없이 패킷을 거부하여 날려버리는 것이고, reject
는 "ICMP Destination Unreachable"이라는 메시지를 내면서 패킷을 거부하는 것이다.
ipfwadm 명령으로 네트워크 보안과 관련된 거의 모든 설정을 할 수가 있다. 대부분의 리
눅스 배포본에는 이 명령이 포함되지 않는걸로 알고 있다. 필자는 현재 알짜레드햇 6.0버전
(커널 2.2.5)을 사용하고 있는데 ipfwadm이란 명령은 없고(당연히 매뉴얼도 없다)
ipfwadm-wrapper라는 실행파일만 있었다. ipfwadm 명령은 초보자가 사용하기에는 위험부
담이 큰 명령이라고 어떤 사람이 사용하지 말라는 얘기를 했다. 방화벽을 설치해야 사용할
수 있을거라는 말을 덧붙여서 말이다. 워낙에 성격이 하지말라고 하면 더 하고 싶어하는터
라 꼭 이 명령을 사용해보고 싶었으나.... 마음대로 사용할 수 있는 컴퓨터가 얼마 없으니
(우리 Solux멤버들은 얼마나 되는지 다 알 것이다. ^^;) 방화벽을 구축할 수도 없고, 필요
도 없다. 어쨌든, 이 명령의 사용법은 다음과 같다. 나중에 이와 관련된 일을 시작하게 되
면 써먹어보길 바란다.(but, 그러나... 설명이 부실하야 이것을 응용하려면 IQ 200은 되어
야 할 것같다. 참고로 필자의 아이큐는 137이므로 이정도의 정보로는 아무 생각도 할 수
없다. -_-;)
ipfwadm에 관하여 자세히 알고 싶다면 http://www.xos.nl/linux/ipfwadm에 가보기 바란
다. 전부 영어이기 때문에 뒷일은 책임질 수 없다.

       ipfwadm -A command parameters [options]
       ipfwadm -I command parameters [options]
       ipfwadm -O command parameters [options]
       ipfwadm -F command parameters [options]
       ipfwadm -M [-l | -s] [options]

의 형식으로 사용하면 된다. command에는 -p, -f, -l, -a, -i, -d 명령이 있는데 -
p, -a, -i, -d는 뒤에 accept나 deny나 reject를 선택하여 써준다. 이 명령들을 간단히
소개하자면, -p는 방화벽 유형에 대해 설정하거나 변경한다. -f는 규칙을 모두 지우고
(flush), -l은 규칙을 화면에 표시(list)한다. -a는 규칙을 추가하고(append), -i는 규칙
을 맨 앞에 삽입(insert)한다. -d는 규칙을 삭제(delete)한다. parameters에는 -P 프로토
콜, -S 주소[/마스크][포트], -D 주소[/마스크][포트]중에서 사용한다. -P는 패킷형태를
선택하는 것으로 tcp, udp, icmp 등을 가리킬 수 있고, 생략하면 all로 간주한다. -S 주
소[/마스크][포트]에서 주소는 호스트명이나 네트워크명 또는 IP주소를 적어주면 된다. 넷
마스크를 적어주어도 좋다. 포트에는 포트번호나 서비스명 또는 ICMP타입을 적는다. -D
는 -S와 사용법이 같은데 ICMP 포트는 명시할 수 없다. 그밖에 -m같은 옵션은 전달하도록
허가된 패킷에 대하여 매스커레이딩을 실행한다.

3.3 프락시(Proxy) 서버

       프락시 서버는 방화벽을 넘어서 인터넷으로의 직접 접속을 허용하는 구조물이다.
간단히 예를 들자면, chohon(필자의 아이디다.)이 보호받는 네크워크 내부에 있고 웹브라
우저를 사용해 검색을 하고 싶다면 방화벽상에서 프락시 서버를 설정한다. 프락시 서버는
컴퓨터로부터의 요청을 허락하도록 환경설정될 것이며 모든 요청을 적당한 곳으로 다시 보
낼것이다.
       프락시 서버에 부가적으로 필요한 소프트 웨어는
ftp://sunsite.unc.edu/pub/linux/
system/network/misc/socks-linux-src.tgz 로 얻을 수 있다. 이 파일을 압축 풀고 make
한 다음 /etc/inetd.conf 파일에 다음의 라인을 추가해야 한다.
       socks   stream   tcp   nowait   nobody   /usr/local/etc/sockd sockd
    그런 다음 프락시 서버의 환경을 설정해 주어야 하는데, 이와 관련해서는 '방화벽과
프락시 서버 하우투'문서를 참조하길 바란다.

4. 기타 보안대책

4.1 백업

      하나의 파티션이 500메가를 넘어선다면 씨디롬에 백업을 받아두도록 하자. 시스템
에 백업을 받아두게 되면 침입자가 그것마저도 파괴할 수 있으니 따로 만들어 놓는 게 훨
씬 안전할 것이다. 용량이 너무 많아서 시스템 내부에 백업을 받는 것도 무리일테니 말이
다.

4.2 새로운 시스템으로 업데이트

       리눅스는 대부분 씨디롬으로 설치한다. 워낙에 배포씨디가 많기도 하고 설치가 편
리하기 때문에. 하지만 보안과 관련한 작업은 워낙에 빠르게 바뀌기 때문에 보안허점이 보
완된 프로그램이 계속 나오고 있다. 그러므로 주기적으로 ftp.redhat.com 등에 가서 업데
이트된 패키지를 받아다가 새로 설치해주는 게 좋다.

4.3 침입자 추적

       네트워크를 통해 누군가 침입했다는 걸 알았다면 가장 좋은 방법은 연결을 끊어버
리는 것이다. 그러나 그럴 수 있는 상황이 아니라면 tcp-wrapper나 ipfwadm 같은 프로그
램을 사용하는 게 좋다. 또한 일반 사용자들의 계정을 잠시 폐쇄하는것도 좋은 방법이 될
수 있다. 침입자가 접속을 시도한 사이트 기록이 남아 있다면 그 사이트의 관리자에게 메일
을 보내주고 CERT같은 보안조직에 알리도록 하자.

4.4 피해 상황 조사

       침입자가 들어왔다 나갔다면 일단은 무엇이 파괴되었는지 tripwire같은 검사 프로
그램을 사용하여 알아보자. 이런 프로그램이 없다면 모든 중요한 자료들을 일일이 살펴보아
야 한다. 리눅스야 워낙에 설치가 쉬우므로 백업받아놓은 데이터가 따로 저장되어 있다면
다시 설치하고 데이터를 옮겨놓는 게 안전하다. 괜히 시스템을 복구한다고 그제서야 여기저
기 백업받아 수정에 들어가다가는 트로이 목마에 걸려들 수도 있다. 이미 그 데이터들이 변
조된 데이터일수도 있다는 말이다.

5. 감사의 글

       앞에서도 밝혔지만 필자가 이 문서에서 다루고 있는 보안관련 이슈들은
http://kldp.org/ 에 가서 하우투 문서나 창작문서등으로 더 자세히 볼 수 있다. 하우투
문서의 경우는 번역후 시간이 좀 지나긴 했지만 꽤 많은 정보를 얻을 수 있다. 필자가 리눅
스 보안에 관심을 두고 있다고 하자 후배들을 뒤로하고 관련자료를 넘겨주신 SLUG(서강대
리눅스 유저 그룹)의 최승국 님께 감사의 마음을 전한다. 그리고 무엇보다도 리눅스를 같이
공부하는 우리 Solux의 리눅서들에게 큰 감사를 전하고, 리눅스란 녀석과 그녀석을 통해
알게된 많은 사람들에게 감사하고 싶다. 장황한 이 문서를 끝까지 읽어준 사람들에게 마지
막으로 감사를 전한다.