icqa인터넷 보안 관리사 필수 시험문제[리눅스편]

시험일정

- 2017년 3월 12일 ICQA 인터넷 보안 관리사

 

리눅스 필수예제

 

[1] 불필요한 계정들의 로그인을 금지하여 시스템 접근을 막는방법.

1. vi /etc/passwd 편집기

2. 접근을 금지시킬 특정 계정의 7번째 필드인 로그인쉘을 /bin/bash -> /bin/fales 로 변경

3. # grep false /etc/passwd 로 확인

 

[2] 홈디렉토리에 중요한 파일 존재, 관리자가 실수로 삭제하지 못하고 추가 작업만 할 수 있도록 설정

# chattr +a [file명]

chattr 명령어를 사용하여 파일을 삭제할 수 없도록 퍼미션을 조정한다. ( # lsattr 파일속성 확인)

 

[참고] chattr +i    읽기전용 속성 값 파일내용 추가, 수정 불가능

설정 체크 해제 chattr -i / chattr -a

 

[3] 관리되지 않은 불필요한 계정 혹은 사용하지 않는 계정 삭제

vi /etc/passwd 에서 삭제

 

[4] 루트계정과 동일한 UID(0) 계정이 존재할시 점검

vi /etc/passwd 에서 삭제

 

[5] 보안상 텔넷으로 원격 접속 시, root 계정 비활성화

/etc/securetty 에서 root가 로그인하지 못하도록 터미널명을 작성

 

[6] Brute Force Attack, Password Guessing발생 시 패스워드 실패 횟수 제한
(임계값, 잠금시간 설정)

# vi /etc/pam.d/system-auth-ac

auth required pam_tally2.so    deny=5    unlock    time=3600 입력

# cat /etc/pam.d/system-auth-ac

 

[참고] pam tally는 linux 쉘 유저에 대한 접근제한 로그인 카운터 설정이다.

리모트 설정, /etc/pam.d/password-auth(ssh,telnet등 원격 로그인 카운터 제한)

# pam_tally2 -u root  tally에 의한 실패 횟수 확인

 

[7] linux시스템에서 권한이 없는 사용자의 su 명령어 사용 제한

# vi /etc/pam.d/su

auth    required    pam_wheel.so    use_uid 주석 제거(no nu 6)

# vi /etc/group

wheel:x:10:root 수정

 

[8] 시스템 부하가 높아져 확인결과 해커로부터 웹서버를 공격하고 있다는 사실을 알았다.

192.168.0.10/24 대역대와 같은 ip로 공격을 시도하고 있고, 접근통제정책을 통하여 해당 ip에 web 접속을 차단 그리고 22번 포트는 172.168.1.10 에서만 접속을 허용한다. iptable 이용

1. # rpm -qa | grep iptables    iptables패키지 설치여부 확인

2. yum install -y iptables         방화벽 설치

3. setup                                방화벽 활성화

(Firewall configuration -> security level Enabled 체크)

4. # vi /etc/sysconfig/iptables

5. -A INPUT -s 172.16.1.10 -p tcp -dport 22 -j ACCEPT 추가

(22번포트 172.168.1.10 접속허용)

6. -A INPUT -p tcp -dport 22 -j DROP 추가

(해당 ip 외 접속차단)

 

[9] vsFTP 서비스 사용 제한

# chkconfig --list | grep vsftpd

# netstat -atunp | grep vsftpd

# service vsftpd stop

 

[10] apache 설치 시 htdocs 디렉터리를 DocumentRoot로 사용한다.

htdoc 디렉터리는 공개되어서는 안되는 파일이 존재한다.

DocumentRoot를 별도의 디렉터리로 지정

# vi /etc/httpd/conf/httpd.conf

DocumentRoot "/var/www/html" -> "/usr/apache/icqa" 로 수정

 

[11] FTP 서비스 anonymous 사용 제한

# vi /etc/vsftpd/vsftpd.conf

anonymous_enable=YES -> NO로 수정

 

[12] 일반 사용자의 홈 디렉터리가 / 로 되어있을 경우

# vi /etc/passwd 6번째 필드 홈디렉토리 값 수정

 

[13] 모든 사용자가 접근 및 수정할 수 있는 권한으로 설정된 파일 존재여부 점검
(world writable파일여부)

# find / -type f \( -perm -2 -o perm -20 \) -exec ls -l {} \;

 

[참고] world writable?

모든 사용자에게 쓰기가 허락된 파일

# find / -perm -2 -ls

# chmod +o-x <file_name>

# rm -rf <world-writable 파일명>

 

[14] /etc/shadow 파일 root계정 제외 모든 사용자 접근 제한 소유마 및 권한 변경

# chmod 600 /etc/shadow