RSS구독하기:SUBSCRIBE TO RSS FEED
즐겨찾기추가:ADD FAVORITE
글쓰기:POST
관리자:ADMINISTRATOR

출처 : 대전국제IT교육센터 정성재 강사

 

1. 아파치 웹서버 보안의 개요
리눅스를 사용하는 가장 큰 이유는 웹서버를 운영하기 위해서이다. 이 웹서버를 가능하게 해주는
프로그램이 아파치이다. 가장 많이 쓰이는 아파치 1.3버전의 기초적인 보안에 대해 알아보도록 한다.


2. 보안과 관련있는 httpd.conf 파일의 항목 분석
(1) 태그와 옵션항목분석
   1) 설명: httpd.conf는 <Directory>, <Location>, <Files> 등의 태그를 이용하여 적용범위를
           지정하고 Options 사용하여 그 디렉토리에 권한을 설정한다.
   2) 태그
    ㄱ. <Directory> ~ </Directory> : 현재 서버의 특정디렉토리를 지정할 때 쓴다.
    ㄴ. <Location> ~ </Location> : 특정 서버를 지정할 때 쓴다.
    ㄷ. <Files> ~ </Files> : 현재 서버의 특정파일을 지정할 때 쓴다.
   3) Options
    ㄱ. All : MultiViews를 제외한 모든 옵션을 부여한다.(default 설정값이다.)
    ㄴ. None : 옵션을 주지 않는다.
    ㄷ. ExecCGI : CGI 프로그램을 실행할 수 있도록 한다.
    ㄹ. FollowSymLinks : 심볼릭링크로의 이동을 가능하게 한다.
    ㅁ. Includes : Server Side Includes를 가능하게 한다.
    ㅂ. IncludesNOEXEC : Server Side Includes를 가능하게 하지만 CGI스크립트나 프로그램들은
                        실행할 수 없도록 한다.
    ㅅ. Indexes : 해당 디렉토리안에 DirectoryIndex에 명기된 파일(예를 들면 index.html등)이
                 없을 경우 디렉토리와 파일 목록을 보여준다.
    ㅇ. MultiViews : 유사한 파일이름을 찾아주는 기능을 실행한다. 예를 들면 index라고만 입력하
                    더라도 index.*를 찾아서 보여준다.
    ㅈ. SymLinksIfOwnerMatch: 사용자 아이디와 동일한 링크가 있을 때 심볼릭링크로의 이동을 가능
                             하게 한다.
   4) AllowOverride
    ㄱ. 설명: 이 항목은 클라이언트의 디렉토리 접근 제어에 관한 설정을 나타낸다. 예를 들면 특정
       디렉토리에 접근할 때 해당 디렉토리에 있는 유저 인증파일인 .htaccess를 읽게 되는데, 여기
       를 None으로 설정하면 아파치서버에서 이 파일을 무시하게 된다.
    ㄴ. 값
      None : AllowOverride를 사용하지않는다. 즉 유저 인증파일을 사용하지 않는다.
      All : httpd.conf파일의 AccessFileName 지시자로 설정한 파일을 사용하며 또한 지시자를 사용
           할 수 있다.
      AuthConfig : AccessFileName 지시자에 명시한 파일에 대해서 사용자 인증 지시자 사용을 허락
                  한다. AuthDBMGroupFile, AuthDBMUserFile, AuthGroupFile, AuthName, AuthType,
                  AuthUserFile, require등을 사용할 수 있다.
      FileInfo : AccessFileName 지시자로 설정한 파일에 대해서 문서 유형을 제어하는 지시자 사용
                을 허락한다. AddEncoding, AddLanguage, AddType, DefaultType, ErrorDocument,
                LanguagePriority등을 사용할 수 있다.
      Indexes : AccessFileName 지시자로 설정한 파일에 대해서 디렉토리 Indexing을 제어하는 지시
               자 사용을 허락한다. AddDescription, AddIcon, AddIconByEncoding, AddIconByType,
                DefaultIcon, DirectoryIndex, FancyIndexing, HeaderName, IndexIgnore, IndexOpti
                ons, ReadmeName등을 사용할 수 있다.
      Limit : AccessFileName 지시자로 설정한 파일에 대해서 호스트 접근을 제어하는 지시자 사용
             을 허락한다. Allow, Deny, order 등을 사용할 수 있다.
      Options : AccessFileName 지시자에 명시한 파일에 대해서 Options 그리고 XBiHack 등과 같은
               지시자 사용을 허락한다. Options, XBitHack등을 사용할 수 있다.
   5) 사용예
     <Directory "/usr/local/apache/htdocs">

        Options Indexes FollowSymLinks MultiViews
     </Directory>
      => (설명)
          1. Indexes는 index.html등이 없을 때 해당디렉토리의 파일목록이나 디렉토리목록을 웹페
            이지에 보여주는 설정이다. index.html등을 없애고 실행시키면 목록이 보임을 알 수 있
            다. 상당히 위험한 옵션이므로 제거하도록 한다.
          2. FollowSymLinks는 해당디렉토리에 심볼릭링크를 허용한다. /usr/local/apache/htdocs
            로 이동해서 ln -s /etc new(또는 ln -s / list.html같이 해보자)라고 명령내린후에 웹
            브라우저에서 http://localhost/new라고 하면 /etc디렉토리안의 파일들이 보인다. 그중
            에 passwd같은 파일은 다른 사용자들이 볼 수 있으므로 클릭을 하면 현재시스템에 사용
            중인 계정들이 노출된다.
          3. MultiViews는 그냥 비슷한 글자만 쳐도 웹페이지가 열리도록 하는 설정이다. 예를 들면
            웹브라우저에서 http://localhost/index라고 치면 대부분 웹페이지가 보일 것이다.
(2) ErrorDocument 지시자
   1) 설명: 웹서버 구동중에 문제나 에러가 발생하면 Apache는 다음의 4가지 중 1가지 행위를 하게
           된다.
             - 간단한 시스템에서 작성된 에러 메지시 출력
             - 사용자가 수정한 메시지 출력
             - 문제나 에러를 해결하기 위한 로컬 URL을 리다이렉션
             - 문제나 에러를 해결하기 위한 외부 URL을 리다이렉션
           이 중 첫번째가 기본적인 설정이며 나머지를 사용하기 위해서는 필요한 것이 ErrorDocume
           nt 이다.
   2) 사용법
     ErrorDocument error-code document
   3) error-code
    ㄱ. 설명: HTTP 규약(RFC2616)의 10번째 세션 "상태코드 정의"에 자세히 설명되어 있다.
             (http://www.w3.org/Protocols/rfc2616/rfc2616-sec10.html)
    ㄴ. 코드
       1xx : Informational
         100: Continue
         101: Switching Protocols
       2xx : Successful
         200: OK
         201: Created
         202: Accepted
         203: Non-Authoritative Information
         204: No Content
         205: Reset Content
         206: Partial Content
       3xx : Redirection
         300: Multiple Choices
         301: Moved Permanently
         302: Moved Temporarily
         303: See Other
         304: Not Modified
         305: Use Proxy
       4xx : Client Error
         400: Bad Request
         401: Unauthorized
         402: Payment Required
         403: Forbidden
         404: Not Found
         405: Method Not Allowed
         406: Not Acceptable
         407: Proxy Authentication Require
         408: Request Time-out
         409: Conflict
         410: Gone
         411: Length Required
         412: Precondition Failed
         413: Request Entity Too Large
         414: Request-URI Too Large
         415: Unsupported Media Type
       5xx : Server Error
         500: Internal Server Error
         501: Not Implemented
         502: Bad GateWay
         503: Service Unavailable
         504: Gateway Time-out
         505: HTTP Version not supported
   4) 사용예
    ㄱ. ErrorDocument 403 http://kr.yahoo.com
         => 접속이 허락되지 않은 페이지 요청을 http://kr.yahoo.com으로 보낸다. 참고로 이 경우
           에는 access_log에는 403(Forbidden) 상태코드 대신에 302(Moved Temporarily)가 기록된
           다.
    ㄴ. ErrorDocument 404 "요청하신 파일이 존재하지 않습니다.
         => 404(Not Found) 상태코드의 경우에 "요청하신 파일이 존재하지 않습니다."라는 문구를
           출력한다. 설정할 때 쌍따옴표를 앞부분에 하나만 사용한다는 것을 유념해야 한다.
   5) 참고
     ErrorDocument 설정은 웹브라우저에 따라 정확히 작동하지 않을 수도 있다. 특히 인터넷익스플
    로어는 자체 오류메시지로 처리된다.

3. 아파치 설정 보안
(1) 웹문서디렉토리(DocumentRoot)에서 불필요한 문서를 다 지우기
   1) 설명: 소스로 아파치를 설치하게 되면 기본 웹문서가 위치하는 디렉토리가 /usr/local/apache/
           htdocs이다. htdocs 디렉토리에는 아파치관련정보가 들어있는 문서와 공개될 필요가 없는
           문서가 위치하고 있다. 이 문서들을 제거한다.
   2) 방법
     ㄱ. cd /usr/local/apache/htdocs 한뒤에 rm -rf * 로 모두 제거한다.
     ㄴ. 또 다른 방법으로는 httpd.conf에서 DocumentRoot값을 새로운 경로로 지정한다.
(2) 불필요한 CGI 스크립트제거하기
   1) 설명: apache를 설치하면 cgi-bin 디렉토리에 기본으로 CGI스크립트가 설치된다. 이 CGI 스크
           립트가 공격에 이용될 수도 있기 때문에 모두 제거하도록 한다. 특히 초기버전인 경우에
           php.cgi등이 제공되었는데 해킹의 빌미를 제공하였다.
   2) 방법: cgi-bin 디렉토리에 있는 모든 파일을 제거한다.
(3) DocumentRoot에 설정하는 디렉토리 옵션 설정하기
    <Directory "/usr/local/apache/htdocs">
        Options IncludesNoExec
    </Directory>
     => 기본적인 설정을 모두 제거하고 보안과 관련있는 항목만 옵션으로 지정한다.
(4) <Limit> ~ </Limit> 태그 이용하기
   1) 설명: <Limit>태그는 각 디렉토리별로 HTTP Method의 사용여부를 통제하는 태그이다. 파일의
           업로드 및 파일의 수정,삭제를 위해서 사용되는 HTTP Method는 PUT과 POST, DELETE 가 있는데
           이 Method를 제한한다.
   2) 사용예
     <Directory "/home/*/public_html">

        <Limit POST PUT DELETE>
              Require valid-user
        </Limit>
     </Directory>
       => 개인 사용자 홈디렉토리에서 POST, PUT, DELETE Method를 패스워드 파일에 등록된 사용자
         만이 이용가능하도록 제한한 것이다.
(5) 헤더 정보 숨기기
   1) 설명: 클라이언트가 Apache 웹서버에 접속했을 때 웹서버에서느 응답 메시지의 헤더에 웹서버
           버전, 설치된 응용프로그램 등과 같은 정보를 전달한다.
   2) 사용예 - 헤더 정보 확인하기
     [root@www /root]# telnet xxx.xxx.xxx.xxx 80
     Trying xxx.xxx.xxx.xxx...
     Connected to xxx.xxx.xxx.xxx.
     Escape character is '^]'.
     GET / HTTP/1.1

     HTTP/1.1 400 Bad Request
     Date: Sat, 14 Dec 2002 14:24:11 GMT
     Server: Apache/1.3.26 (Unix) PHP/4.2.2
     Connection: close
     Transfer-Encoding: chunked
     Content-Type: text/html; charset=iso-8859-1

Connection closed by foreign host.
      => 이 정보는 공격자에 의해 Apache 웹서버 버전과 구동되고 있는 응용프로그램의 버전을 확인
        하고 알려진 취약점을 이용하여 공격하는데 유용하게 이용될 수 있다.
   3) 헤더 정보 숨기기
    ㄱ. 설명: Apache 웹서버에서는 "ServerTokens"지시자를 수정함으로써 헤더에 의해 전송되는 정
             보를 바꿀 수 있다.
    ㄴ. 사용법
       ServerTokens 키워드
    ㄷ. 키워드와 제공되는 정보
       Prod[ductOnly] : 웹서버 종류만 표기된다. 예) Server:Apache
       Min[imal]: Prod 키워드 제공정보 + 웹서버 버전 예) Server:Apache/1.3.26
       OS: Min 키워드 제공 정보 + 운영체제 예) Server:Apache/1.3.26 (Unix)
       Full: OS 키워드 제공정보 + 설치된 모듈(응용프로그램) 정보
            예) Server: Apache/1.3.26 (Unix) PHP/4.2.2
    ㄹ. 참고: ServerToken은 apache 1.3이상에서 가능하고 ProductOnly키워드는 1.3.12버전 이상에
             서만 사용가능하다. 일반적으로 ServerTokens은 httpd.conf에 명시되어 있지 않는 경우
             가 많다. 이런 경우에는 기본값인 "ServerTokens Full"이 적용되어 모든 정보가 응답
             헤더에 포함되어 클라이언트에게 전송된다. 최소한의 정보를 주기 위해서는
             "ServerTokens Prod"가 좋다.

4. 아파치와 사용자 인증
(1) 개요: 아파치에는 사용자나 호스트 인증과 접근통제를 위한 몇가지 기능이 있다. 특정한 IP주소
          나 서브넷에 따라서 접속을 허락하거나 거부할 수 있고, 사용자 이름과 패스워드에 의해서
          사용자를 인증할 수도 있다.
(2) 사용자 인증의 종류
   1) 기본 사용자 인증: HTTP프로토콜은 기본적으로 인증을 하지 않는 프로토콜이다. 사용자인증에
                       의해 보호되는 자원에 접근하기 위해서는 매번 사용자이름과 패스워드와 같
                       은 인증서를 서버에 보내야만 한다. 하지만 초기 인증을 거친 후 다른 페이
                       지에 접근하기 위해서 매번 사용자 이름과 패스워드를 서버에 전송하는 것
                       은 일반적으로 클라이언트 소프트웨어나 웹브라우저에서 자동으로 이루어진
                       다. 만약 사용자이름이 웹서버의 리스트에 있고, 패스워드가 일치하면 보호
                       된 자원에 접근할 수 있다. 기본적인 인증에서는 패스워드가 암호화되어서
                       저장되지만 클라이언트에서 서버로 전송되지만 클라이언트에서 서버로 전송
                       되는 도중에는 암호화되지 않아 제3자에 의해 도청될 수 있다. 보호된 자원
                       에 접속하는 매 순간마다 ID와 패스워드가 전송되므로 telnet,ftp등 인증을
                       하는 다른 서비스보다 쉽게 도청이 가능하다. 뿐만 아니라 서버에서 클라이
                       언트로 전송되는 어떠한 데이터에 대해서도 암호화가 제공되지 않으므로 내
                       용도 가로채기가 용이하다. 따라서 기밀성이 중요시되는 웹서버에서는 이러
                       한 인증은 권장할 수 없다.
   2) 다이제스트 사용자 인증: 다이제스트 인증은 기본적인 인증과 다르게 네트워크 등의 전송로상
                             에서 패스워드가 평문으로 전송되지 않는다는 점이다. 즉 패스워드를
                             MD5 암호화 해쉬를 시킨 후 전송한다. 다이제스트 인증은 패스워드를
                             암호화해서 전송하고는 있지만 데이터는 평문으로 전송되므로 문제점
                             을 가지고 있고, 또한 모든 웹브라우저가 다이제스트 인증을 지원하지
                             않는다.
   3) DB 인증 모듈: DB 인증 모듈은 사용자이름과 패스워드를 보다 신속하게 확인할 수 있다. 서버
                   에 다수의 사용자 이름과 패스워드가 저장되어 있을 경우 사용자가 데이터에 접
                   근하기 위한 인증과정에 많은 시간이 소모될 수 있다. 일반 파일 시스템이 아닌
                   DB를 이용할 경우 사용자 이름과 패스워드 확인시간을 많이 단축할 수 있다.
(3) 기본 사용자 인증 설정
   1) 기본 설정방법 : 기본 사용자 인증과 다이제스트 사용자 인증의 설정 방법은 매우 유사하다.
                     다음과 같이 두가지 절차를 거쳐 설정할 수 있다.
    ㄱ. 패스워드 파일 생성
    ㄴ. 패스워드 파일을 사용할 수 있도록 Apache 환경 설정
   2) 설정
    ㄱ. 패스워드 파일생성
       [root@www /usr/local/apache/bin]# ./htpasswd -c /usr/local/apache/password posein
       New password:
       Re-type new password:
       Adding password for user posein
        => 패스워드 파일을 처음 생성할 경우에는 -c 옵션을 사용하여 만든다.
       [root@www /usr/local/apache/bin]# ./htpasswd  /usr/local/apache/password prehee
       New password:
       Re-type new password:
       Adding password for user prehee
        => 사용자를 추가할 경우에는 -c 옵션을 빼고 사용하면 된다.만약 -c 옵션을 사용할 경우에
          는 기존의 등독된 사용자들은 지워지므로 주의해야 한다.
       [root@www /usr/local/apache/bin]# cat ../password
       posein:LT30X3txYYEuY
       prehee:/RfZRDXV1N/Eo
        => 패스워드 파일을 확인해보면 사용자ID와 패스워드 필드로 구성되어 있는데, 패스워드
          필드는 암호화되어 저장된다. 또한 두 사용자가 암호를 동일하게 입력해도 암호화된 값
          은 다르게 나타난다.
    ㄴ. 패스워드 파일을 사용가능하기 위한 환경설정(1)
      a. 설명: httpd.conf파일내에서 디렉토리별로 사용자 인증을 하기 위한 설정을 하면 된다.
      b. 방법
        <Directory /home/posein/public_html>
            AllowOverride AuthConfig
        </Directory>

    ㄴ. 패스워드 파일을 사용가능하기 위한 환경설정(2)
      a. 설명: 사용자 인증이 필요한 디렉토리에 아래의 지시자들이 포함된 .htaccess파일을 생성
              한다.
      b. 지시자
        AuthType : 인증형태(Basic 또는 Digest)
        AuthName : 인증영역(웹브라우저의 인증창에 표시됨)
        AuthUserFile : 사용자 패스워드 파일의 위치
        AuthGroupFile : 그룹 파일의 위치(옵션)
        Require : 접근을 허용할 사용자 또는 그룹정의
         예) Require user userid [userid]
             Require group group_name [group_name]
             Require valid-user
      c. 사용법: 앞의 패스워드 파일에 등록된 posein, prehee라는 사용자만을 정해진 디렉토리에
                접속할 수 있도록 설정해보자.
        [posein@www public_html]$ cat .htaccess
        AuthType Basic
        AuthName "Welcome posein's Home
        AuthUserFile /usr/local/apache/password
        Require user posein prehee               // 만약 패스워드파일에 등록된 모든 사용자를
                                                 //접근가능하도록 설정하려면
                                                 //Require valid-user 라고 하면 된다.
   3) 관련명령어
    ㄱ. htpasswd
      a. 설명: 아파치 사용자 인증을 위한 파일을 생성하거나 업데이트를 하는 명령이다.
      b. 사용법
        htpasswd [options] password_file username
      c. options
        -c : 새로운 패스워드 파일을 생성한다.
      d. 사용예
        htpasswd -c /usr/local/apache/password posein
         => password라는 파일을 생성하면서 posein이라는 사용자를 등록한다.
        htpasswd /usr/local/apache/password prehee
         => prehee라는 사용자를 등록한다.
(4) 접근통제
   1) 설명: 클라이언트가 사용하는 호스트의 IP주소나 도메인에 의해서 웹서버의 데이터에 대한
           접근을 통제할 수 있다. 기본적인 서버 설정은 DocumentRoot의 내용에 대해 누구나 접속
           을 허락하도록 설정되어 있다. Apache의 "Allow"와 "Deny"지시자는 사용자 시스템의 호스
           트 이름과 호스트 주소를 근간으로 접속을 허락 또는 차단할 수 있도록 지정할 수 있다.
           또한, "Allow"와 "Deny"지시자를 동시에 사용할 경우 그 순서를 정하는 "Order"지시자를
           사용하여 보다 정교한 정책설정을 할 수 있다.
   2) 사용예
    ㄱ. Order Deny,Allow : Deny지시자가 Allow지시자보다 먼저 검사된다. 접근을 기본적으로 허
                           용된다. 즉 Deny지시자나 Allow지시자에 일치하지 않는 클라이언트의
                           접속을 허용한다.
    ㄴ. Order Allow,Deny : Allow지시자가 Deny지시자보다 먼저 검사된다. 접근을 기본적으로 차단
                           된다. 즉, Deny지시자나 Allow지시자에 일치하지 않는 클라이언트의 접
                           속은 차단한다.
    ㄷ. Order Mutual-failure: Allow 리스트에 있고, Deny리스트에 없는 호스트만 접근을 허용한다.
                             순서는 "Allow,Deny"때와 같다.
     (참고) 일반적인 Firewall이나 라우터의 접근통제 Rule은 순차적으로 비교하다가 최초로 일치하
           는 Rule을 적용하고 그 이후는 비교하지 않지만, Apache에서는 Allow와 Deny를 일단 모두
           비교하고 둘 중에 하나라도 일치할 경우 적용한다는 점에서 차이가 있다. 또한 "Order"
           지시자 사용시 키워드(Allow 또는 Deny)는 콤마(,)에 의해서만 분리되고 공백이 들어가서
           는 안된다.
    ㄹ. Order deny,allow
        deny from all
        allow from 172.16.10
         => "deny from"과 "allow from"지시자는 호스트, 도메인 이름, IP주소, 서브넷마스크를
           가진 주소(예를 들면 172.16.10.0/255.255.255.0), CIDR(Classes InterDomain Routing)
           마스크를 가진 IP주소(172.16.10.0/24)를 사용할 수 있다.
(5) 권한부여
   1) 설명: 권한부여는 특정한 자원에 접근할 사용자 퍼미션이 유효한지를 확인하는 것이다. 어떤
           퍼미션에 의해 허락되고 거부될지는 자원과 그 자원과 관련된 규칙들에 따라서 다양하다.
           각 파일과 디렉토리구조는 다른 접근통제나 사용자인증 방법을 가질 수 있다. 접근통제
           와 사용자 인증방법을 사용하여 각 자원에 대한 다양한 권한을 부여할 수 있다. 가령
           인터넷에서 접속시에는 사용자이름과 패스워드를 확인하고 인트라넷에서 접속시에는
           요구하지 않도록 설정할 수도 있다. 이는 "Satisfy"지시자를 통해서 구현할 수 있다.
   2) 사용법
     Satisfy any | all
      => all은 인트라넷 사용자에 대해 패스워드를 묻지않고 접속이 가능하게 하는 것이고, any는
        인트라넷사용자라도 패스워드를 묻는다.
   3) 사용예
     Order deny,allow
     deny from all
     allow from 172.16.10
     AuthType Basic
     AuthName "Welcome Posein's Home"
     AuthUserFile /usr/local/apache/password
     Require posein prehee
     Satisfy Any
      => AuthName 항목에서 1.3버전에서는 겹따옴표가 앞쪽에 하나이고, 2.0버전에서는 겹따옴표가
        앞뒤로 두개를 써야 한다.
(6) SSL/TLS 인증
   1) 설명: 앞에 열거된 사용자 인증기법들은 모든 웹 컨텐츠를 암호화하지 않는다는 단점이 있다.
           최근 인터넷 뱅킹등과 같이 전송로상에 전송되는 웹컨텐츠 역시 보호되어져야 하는 경우
           가 많다. SSL/TLS는 사용자인증과 웹서버 데이터와 컨텐츠를 암호화하는 수단이다. SSL
           을 지원하기 위해서 Apache는 Mod_SSL 모듈을 가지고 있고, 이 모듈은 SSL v2, v3 그리고
           새로운 TLS을 사용하는 강력한 암호화를 제공한다. 현재 이 모듈은 강력한 128bit암호화
           와 RSA, Diffie-Hellman암호화를 제공한다.
   2) 동작원리: 최초 핸드쉐이크 후에 SSL은 비밀키를 생성하고 이 대칭키 암호화가 데이터 암호화
               를 위해 사용된다. 공개키(비대칭키)는 단말의 신원 인증과 대칭키 교환에 사용된다.
               메시지 무결성은 MAC(Massage Authentication Code)에 의해 제공되고 신뢰된 접속을
               가능하게 한다.
   3) SSL 프로토콜이 제공하는 주요기능
    ㄱ. 사설접속과 데이터 암호화
    ㄴ. 서버에 통신하는 단말 인증
    ㄷ. 신뢰된 접속

4. 아파치의 운영관리
(1) 로그관리
   1) 설명: Apache 로그파일들은 기본적으로 /usr/local/apache/logs디렉토리에 저장된다. 기본 설
           치시에는 access_log와 error_log 2개의 로그파일이 생성된다.
   2) 로그의 형태: 아파치관련 로그는 httpd.conf의 LogFormat이라는 곳에서 정의되어 CustomLog라
                  는 항목을 통해 기록된다.
   3) 로그의 종류
    ㄱ. access_log: 웹서버 접근에 관련된 로그를 기록한다.
       - httpd.conf와의 관련항목
        LogFormat "%h %l %u %t \"%r\" %>s %b" common
         => access_log는 8개의 필드로 구성되어 있다. 8개의 필드를 common으로 정의한다.
           %h : 클라이언트의 IP주소
           %l : 유일한 개인 ID(클라이언트의 ident값)
           %u : 사용자 이름(사용자 인증을 거친 경우 사용자이름)
           %t : 날짜
           %r : Method(GET, PUT, POST 등)
           %>s : URI(Uniform Resource Identifier) - 서버상태
           %b : 전송된 바이트 수
        CustomLog /usr/local/apache/logs/access_log common
          => access_log를 common형태로 저장한다.
       - 로그 예
        203.xxx.xx.xxx - - [31/Dec/2002:18:03:29 +0900] "GET /~posein/ HTTP/1.1" 401 479
        203.xxx.xx.xxx - posein [31/Dec/2002:18:03:32 +0900] "GET /~posein/ HTTP/1.1" 200 94
       - 로그검사시 점검사항
        1. 유효하지 않는 로그인 시도
        2. 제한된 필드에 대한 접속 시도
        3. 존재하지 않는 파일에 대한 접속 시도
        4. 허락되지 않는 PUT(업로드) 시도
        5. 단기간 동안의 동일한 IP주소로 부터의 대량 접속 시도(서비스거부)
        6. 웹서버 예기치 못한 종료와 시작
    ㄴ. error_log: 웹서버의 진단 정보 및 요청 처리과정에서 발생되는 각종 에러에 대한 기록한다.
       - httpd.conf와의 관련항목
        ErrorLog /usr/local/apache/logs/error_log
         => 에러로그를 기록할 위치를 지정한다.
        LogLevel warn
         => 어느정도 수준일 때 로그를 기록할 것인지를 지정한다. 일반적인 유닉스시스템의 syslog
           와 마찬가지로 debug, info, notice, warn, error, crit, alert!, emerg중 하나를 선택할
           수 있다. debug가 심각성이 가장 낮은 수준의 로깅이며, emerg는 심각성이 가장 높은 수
           준의 로깅을 의미한다. "LogLevel"을 debug로 지정할 경우 대단히 사소한 내용도 기록되
           므로 로그의 량이 대단히 늘어나므로 적정한 수준에서 기록되도록 한다.
(2) 보안패치
   1) 설명: 앞서 살펴본 웹서버 관리자에 의한 환경설정상의 문제점으로 인한 공격 가능성과 더불어
           웹서버 자체 또는 웹서버에서 사용하는 어플리케이션 프로그램의 버그로 인한 공격도
           심각하다. 특히, 요즘 극성을 부리고 있는 인터넷 웜의 경우 각 서버에 공통적인 취약점
           을 찾아서 공격하므로 웹서버에 대한 보안 패치는 수시로 이루어져야 한다.
   2) 방법
    ㄱ. 버전별로 취약점의 확인
       http://www.apacheweek.com/security/
    ㄴ. 웹서버의 보안 취약점을 확인할 수 있는 도구의 사용
       Nessus, Whisker등을 이용하여 점검하고 조치한다.
    ㄷ. Apache 웹서버 관련 취약점에 대한 패치를 아래의 사이트에서 받아서 설치한다.
       http://www.apache.org/dist/httpd/patches/
(3) 설정파일 및 데이터백업
   초기 서버 설정 파일들과 이후의 기본적인 설정파일들은 일반에 공개되거나 다른 변화가 일어나기
  전에 백업해서 보관되어야 한다. 또한 시스템 설정이 변경될 때마다 이력관리가 필요하고 다수의
  수정이 있을 경우에는 반드시 백업을 해야 한다. 설정파일뿐만아니라 웹데이터에 대한 백업도 정기
  적으로 이루어져야 한다.

출처 : 대전국제IT교육센터 정성재 강사

 

1. 리눅스와 보안
리눅스는 UNIX를 모태로 하여 만들어진 운영체제이다. 유닉스에 비해 다양한 하드웨어의 지원, 강
력한 네트워크 기능, 무료 공개 소프트웨어등 여러가지 이점을 가지고 급속도로 보급되어가고 있다.
리눅스의 오픈 정책으로 인하여, 운영체제 커널에서부터 일반 사용자 프로그램까지 거의 모든 것이
공개되어 있다. 이러한 정책은 일반 PC에서도 서버로 사용할 수 있게 되었다. 하지만 소스의 공개
로 인하여 해커들이 쉽게 버그를 찾아내고 테스트할 수 있어 주요 공격 대상이 될 수도 있다. 보안
과 관련된 것은 리눅스뿐만아니라, 윈도우즈계열도 위험하기는 마찬가지이다. 오히려 리눅스는 많은
사람들의 테스트와 계속적인 버그 리포트로 보안관련된 모든 것들도 무료로 지원받을 수 있다. 그러
나, 리눅스는 서버관리자가 지속적인 관심을 가지고 업데이트도 하고, 보안에 관한 기본 설정 또한
할 수 있는 만큼 강화해야 한다.


2. 물리적보안 설정
보안에 있어 가장 큰 선결조건은 바로 물리적 보안이다. 아무리 소프트웨어적으로 보안을 철저히
했더라고 누구나 쉽게 접근이 가능하다면 소용이 없다. 일단 중요한 시스템이라면 관계자이외의
접근을 막아야 한다. 그 다음에 해야 될 것이 BIOS보안이다. 일단 CMOS SETUP에서 플로피디스크나
CD-ROM드라이브로의 부팅을 불가능하게 설정해야 되며 패스워드를 설정하여 시스템을 보호해야 한
다.

3. 불필요한 서비스의 제거
리눅스 설치후에 불필요한 서비스(예를 들면 서버전용으로 사용한다면 X 윈도우도 필요없다)를 찾
아 제거하는 것이 중요하다. 응용프로그램의 버그를 통한 해킹 시도도 빈번하므로 이러한 서비스들
만 제거하더라도 위험요소를 많이 줄일 수 있다.

4. 리눅스 파일과 보안 설정
(1) /etc/lilo.conf : 만약 리눅스가 부팅할 때 부트 프롬프트에서 'single, 'linux single', 'lin
                     ux -s'등으로 부팅하면 1인용 싱글 유저환경으로 들어가게 된다. 이 경우의
                     보안상의 문제는 시스템이 패스워드를 물어 보지 않는데 있다. 이런 상황을
                     막으려면 password를 설정해야 한다. /etc/lilo.conf파일안에 다음과 같이 두
                     라인을 설정한다.
                     password=1234
                     이렇게 설정하면 항시 암호를 물어보고, 1234라고 입력해야 한다. 이렇게 설정
                     하면 모든 레벨에서 암호를 입력해야 가능하다. 일반모드는 그대로 로그인하고
                     특정계층, 즉 /etc/inittab파일에서 기본설정된 런레벨이 아닌경우에만 암호를
                     묻도록 설정할 수도 있다. 이 경우에는 'restricted'라고 추가로 입력하면 된
                     다.
                     password=1234
                     restricted
                     또한, 이렇게 설정했을 경우에는 일반사용자들이 볼 수 없도록 이 파일의 권한
                     도 제한해야 된다.

(참고1) chattr(change attrib)
   1) 설명: Red Hat리눅스에서 사용되는 ext2파일시스템에서만 사용되는 명령어로 루트사용자도
           파일을 변경할 수 없도록 설정하는 명령어이다.
   2) 사용법
     chattr option  filename
   3) option: immnutable 욥션을 사용한다.
     +i : 파일을 수정, 삭제, 이름의 변경과 링크도 만들 수 없도록 설정한다.
     -i : 특수설정을 해제한다.
   4) 특징
     ㄱ. ls명령으로도 설정된 것이 나타나지 않는다.
     ㄴ. 설정유무는 lsattr명령으로 확인해야 한다.
   5) 사용예
     ㄱ. [root@www /etc]# chattr +i /etc/lilo.conf
           => 불변하도록 설정한다.
     ㄴ. [root@www /etc]# lsattr /etc/lilo.conf
         ---i-------- /etc/lilo.conf
           => chattr 명령이 설정되어 있음을 알 수 있다.

(2) /etc/securetty : 콘솔모드에서 root 사용자가 로그인할 수 있는 터미널창의 리스트를 나타낸
                     다. 사용자 로그인과 관련된 데몬이 login 프로그램이다. 이 login프로그램이
                     참조하는 파일이다. 만약 tty1 으로 root사용자의 로그인을 막으려면 그 항목
                     을 삭제하거나 맨앞에 '#'을 표시하면 된다. 참고로 telnet으로 root를 허가하
                     려면 이 파일을 삭제하거나 이 파일안에 pts/0 등을 적어주면 로그인이 가능하
                     다. 그러나, 절대 이러한 설정은 하면 안된다.
(3) /etc/fstab
   1) 설명: /etc/fstab파일은 해당 파티션에 대한 정보를 담고 있는 파일이다. 이 파일을 이용하여
           보안을 강화할 수 있다. 보통 /home과 /var파티션 등에 SUID 및 SGID의 파일을 제한한다.
   2) fstab에서 보안과 관련된 옵션
     - default: 다음과 같이 네가지의 기본값을 가지고 있다.
      a. 부팅할 때 mount -a 명령으로 마운트할 수 있다.
      b. 읽기 및 쓰기 파일시스템으로 마운트된다.(read-write)
      c. setuid와 setgid를 사용할 수 있다. (suid)
      d. 문자장치와 블록장치를 모두 지원한다.
     - usrquota: 사용자의 용량을 제한하는 disk quota를 사용할 때 해당 파티션에 적는다.
     - noquota: 해당파티션에서 사용자들의 quota를 설정하지 않는다.
     - nosuid: 해당파티션에서 SUID나 SGID를 설정을 허용하지 않는다.
     - nodev: 해당파티션에서 문자나 특별한 장치(디바이스)를 허용하지 않는다.
     - noexec: 해당파티션에서 모든 실행 파일들을 실행할 수 없다.
     - suid: 해당 파티션에서 SUID나 SGID의 사용을 허가한다.
     - ro: 해당파티션을 읽기전용(read-only)으로 설정한다.
     - rw: 해당파티션을 읽고 쓰기(read-write)모드로 설정한다.
   3) 사용예
     LABEL=/cache            /cache                  ext3    defaults,nodev        1 2
     LABEL=/home             /home                   ext3    defaults,nosuid        1 2
     LABEL=/tmp              /tmp                    ext3    defaults,nosuid,noexec        1 2
   4) 참고: 변경한 파일시스템 내용을 재부팅없이 mount하기
     mount -o remount /home
(4) /etc/issue : 콘솔창으로 접속했을 때 메시지를 나타내주는 파일로 보통 리눅스에서는 커널의
                 버전의 출력되므로 커널버전의 유출을 막는다.
(5) /etc/issue.net : telnet등 원격으로 접속했을 때 메시지를 나타내주는 파일로 역시 커널의 버
                     전이 출력되므로 내용을 지우거나 변경하여 커널버젼의 유출을 막는다.

(참고2) /etc/issue와 /etc/issue.net의 설정
   이 파일은 현재 리눅스에서는 재부팅하면 다시 리눅스 디스트리뷰더가 지정한 값이 들어가도록
  /etc/rc.d/rc.local파일에 등록되어 있다. 따라서 현재 시스템에서 값을 변경하면 변경한 이후로
  로그인한 사용자에게는 그 내용이 보이지만 만약 시스템을 재부팅하게 되면 다시 기본값이 되므로
  계속적으로 그 값이 반영되도록 하려면 /etc/rc.d/rc.local파일에서 이 두 파일의 관련 부분을
  삭제해야 한다.

(6) /etc/bashrc : 사용자의 파일생성 권한을 설정하는 umask를 지정하는 파일로 가능한 제한된 값
                  으로 조정한다. 주로 쓰이는 값은 022, 033이고, 가장 제한적인 값은 077이다.
(7) /etc/login.defs: 사용자 패스워드의 길이 등을 설정할 수 있는 파일이다. 이 파일의 항목중에
                     'PASS_MIN_LEN    5'의 값을 수정하여 패스워드의 최소길이를 늘이도록 한다.
(8) /etc/profile: root로 로그인한 관리자가 일정시간 동안 작업을 하지 않았을 경우에 접속이
                  끊기도록 설정한다.
                 'TMOUT=시간(초단위)'를 추가한다. 일반사용자는 '~/.bashrc'파일에 넣어 개인적
                  으로 설정할 수 있다.
(9) /etc/security/console.apps: 이 디렉토리에는 일반사용자가 콘솔을 통해 접근할 수 있는 명령
                                어가 들어있다. shutdown, reboot, halt등 시스템과 직접적으로
                                연관있는 명령어를 삭제한다.
(10) /etc/services: 접속포트와 관련있으므로 chattr명령을 사용하여 보호하도록 한다.
(11) /etc/pam.d/su: su(substitute user)명령을 지정한 사용자 이외에 할 수 없도록 설정한다.
                    다음과 같은 두 줄을 삽입한다.
   예) auth sufficient /lib/security/pam_rootok.so debug
       auth required /lib/security/pam_wheel.so group=wheel
        => 이 설정은 su명령으로 root가 될 수 있는 사용자를 wheel이라는 그룹 사용자만 허용하도
          록 설정한 것이다.
(12) /etc/inittab: crtl+alt+del키를 눌러도 셧다운이 되지 않도록 한다. 다음과 같은 항을 찾아
                   주석처리한다.
   예)ca::ctrlaltdel:/sbin/shutdown -t3 -r now
(13) /etc/rc.d/init.d: 이 디렉토리에는 시스템이 부팅할 때 띄워야할 데몬관련 스크립트들이 위
                       치하고 있다. 퍼미션을 root권한자만이 읽고, 쓰고, 실행할 수 있는 상태로
                       설정한다.
(14) /etc/nologin: 이 파일을 생성하게 되면 root이외의 다른 사용자는 로그인을 할 수 없게 된다.
                   보통 이 파일안에는 일반사용자가 로그인시 거부될 때 나타나는 메시지가 기록
                   된다.

5. 기초 보안 설정
(1) 리눅스 설치시에 자동으로 생성되는 계정중에 사용하지 않는 계정은 없애도록 한다. lp, adm,
    sync, shutdown, halt, news, uucp, operator, games, gopher, mail, ftp등이 해당된다. 또한
    계정 삭제후에도 동일한 이름으로 그룹이 생성되어 있을 수도 있으니 /etc/group에서도 삭제
    한다.
(2) root계정의 접속 시간 제한 설정
   1) 설명: root로 로그인한 상태에서는 자리를 비우지 말아야 한다. 자리를 비우는 경우에는 로그
           아웃을 하는 것이 좋다. 그러나 로그아웃을 잊는 경우가 있다. 일정시간뒤에 자동으로
           로그아웃이 되게 설정해보자.
   2) 방법
     /etc/profile에 'TMOUT'라는 변수를 이용하여 설정할 수 있다. 기본 단위는 초이다.
(3) 리눅스 단일 사용자모드의 제한
   1) 설명: 부팅시 'LILO:' 프롬프트에서 'linux single', 'linux 1'등을 입력하면 패스워드를 없이
           부팅가능한 단일 사용자 모드로 부팅이 된다. 이 경우에는 루트패스워드를 바꿀 수 있는
           상태가 된다. lilo를 이용하지 않고 이 모드의 접속시에 루트 패스워드를 입력하도록 설
           정하자.
   2) 방법: /etc/inittab파일에서 'id:5:initdefault:'항목 아래에 '--:S:wait:/sbin/sulogin'이라
           고 입력한다. 그러면 리눅스 단일사용자 모드 부팅시에 패스워드를 물어본다.
(4) 섀도우 패스워드는 꼭 사용하도록 한다. 만약 섀도우 패스워드를 사용하지 않을 경우에는
    pwconv명령을 사용하여 섀도우 패스워드를 사용하도록 한다.
(5) SUID, SGID가 설정되어 있는 프로그램을 찾아 관련없는 프로그램에서 set-bit를 제거한다.
   예) find / -type f \( -perm -4000 -o -perm -2000 \) \-exec ls {} \;
       chmod a-s [program]
(6) 쉘을 사용한 기록관리
   1) 설명: bash에서는 자주 사용하는 명령이나 긴 명령들을 다시 사용하는 history기능을 지원
           한다. 보통 ~/.bash_history에 사용자가 사용한 명령을 1000개 저장한다. 시스템자원을
           아끼고 사용기록을 노출하지 않기 위해 bash가 명령을 조금만 저장하도록 설정하고, 로그
           아웃할 경우에는 이 것을 지우도록 한다.
   2) 사용법
     ㄱ. /etc/profile에서 HISTSIZE의 값을 줄인다.
     ㄴ. /etc/skel/.bash_logout파일에 다음과 같이 명령을 추가한다.
        rm -f $HOME/.bash_history
(7) 프로세스, 메모리등 자원의 사용제한
   1) 설명: 일반사용자들이 프로세스와 메모리 사용량을 제한하여 DOS(Denial Of Service attack)를
           하지 못하게 한다.
   2) 사용법
     ㄱ. /etc/security/limits.conf에서 아래부분의 주석을 풀고 설정한다.
        *               soft    core            0
        *               hard    rss             10000
        *               hard    nproc           20
          => root를 제외한 일반사용자들은 core파일을 생성하지 못하고, 메모리사용량은 10MB로
            제한하고, 프로세스는 20개로 제한한다. *는 서버에 login하는 모든 사용자를 말한다.
     ㄴ. /etc/pam.d/login파일에서 아래부분의 추가한다.
        session    required     /lib/security/pam_limits.so
(8) su 명령어 제한하기
   1) 설명: su 명령은 일반사용자가 root사용자로 전환할 수 있는 명령어이다. 이 명령어를 사용자
           에 따라 제한할 수 있다.
   2) 사용법
    ㄱ. /bin/su 명령어의 퍼미션을 변경한다.
       chmod 4750 /bin/su
        => 일반사용자에게는 어떠한 권한도 주지않고, 그룹에는 읽기와 실행권한을 부여한다.
    ㄴ. /bin/su명령어의 사용자 그룹을 변경한다.
       chgrp wheel su
        => su 실행파일의 그룹을 wheel이라는 그룹으로 변경한다.
    ㄷ. su 명령을 사용할 사용자들을 wheel 그룹에 속하게 한다.
      a. 방법 1: 그룹을 관리하는 파일은 /etc/group이다. 이 파일목록중에서 4번째필드가 추가로
                해당 그룹을 사용자를 지정할 때 쓰는 필드이다.
          wheel:x:10:root,posein
           => posein이라는 사용자를 wheel이라는 그룹으로 지정하였다.
      b. 방법 2: usermod 명령을 사용하여 지정한다.
         usermod -G wheel posein
    ㄹ. xinetd 데몬을 다시 구동한다.
       /etc/rc.d/init.d/xinetd restart

우주곰:지구곰이 아닙니다.
지구곰이 아닙니다.
Categories (190)
Information (5)
About uzoogom (5)
My Advanced Linux (73)
Learning Linux (96)
OperatingSystem (5)
Databases (4)
Tips! (1)
OpenSource (1)
«   2018/07   »
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        
  1. 2012/12 (2)
  2. 2012/04 (3)
  3. 2012/03 (6)
  4. 2012/02 (6)
  5. 2012/01 (2)