  관리자
 2003-11-17
 123 HIT
|
| <PART I ================================================> 2000년 12월 2일 (주)베스트한컴 www.besthan.net에서 발표하는 자료입니다. 다른 질문과 답은 www.koreaphp.co.kr에서 해주시기 바랍니다. 현재 데이터센터내의 서버들이 무차별적으로 해킹을 당하고 있습니다. 현재로선 뚜렷한 방법이 없습니다. 다만 아래 적는 방법을 통하여 현재 저희 서버는 다소(???) 안전하다고 생각합니다. 데이터센터 내에 서버를 가지고 계신분들은 아래의 권고사항을 꼭 참조하시여 아래와 같이 서버에 보안작업하시고 필요없는 서비스나 포트는 가능한 닫아 주시고 모든 패키지를 업그레이드 하시기 바랍니다. 현재 해킹의 수준은 거의 모든 서버가 가능하다고 하더군요. 본 보안수준은 절대적인 것이 아니며 단독 서버에 여러 도메인을 보유하신 경우에는 꼭 해주실 권고합니다. <보안관련및 기본명령> 1.chmod 700변경하기 본 권한변경 목적은 계정을 통하지 않은 불법적인 접근을 막기 위한 방법으로 가능한 필요하지 않은 파일들의 권한을 변경해 주시기 바랍니다. 특히 suid가 걸린 파일의 경우 절대적으로 권한변경을 해주시기 바랍니다. /usr/bin/finger(chmod 700 적용) <-- 서버 이용자 파악을 하지 못하게 함 /usr/bin/nslookup(chmod 700 적용) /usr/bin/gcc(chmod 700 적용) <-- 당연히 막아줘야져. /usr/bin/whereis(chmod 700 적용) /usr/bin/cc(chmod 700 적용) <--- 소스 컴파일은 루트이외에 못하도록 조치 /usr/bin/c++(chmod 700 적용) /usr/bin/make(chmod 700 적용) /usr/bin/pstree(chmod 700 적용) /usr/bin/rlog(chmod 700 적용) /usr/bin/rlogin(chmod 700 적용) <-- 필요없는 경우에는 삭제 하시길 /usr/bin/which(chmod 700 적용) /usr/bin/who(chmod 700 적용) /usr/bin/w(chmod 700 적용) /bin/mail(chmod 700 적용) <-- 아웃룩익스프레스가 아닌 계정상에서 텔넷으로 메일을 확인하지 못하게 하십시요. /bin/ps(chmod 700 적용) /etc/hosts(chmod 700 적용) /etc/hosts.deny(chmod 700 적용) /etc/hosts.allow(chmod 700 적용) 2.anonymous ftp 막기 #vi proftpd.conf (/etc 에 위치) 중략 <Anonymous ~ftp> 에서 UserAlias anonymous ftp //이부분을 주석처리 해준다. wq (저장후 종료) 3.telnet 사용막기 <--가장 추천하는 방법입니다. 현재 텔넷이 막힌 경우에는 해킹의 위험이 극히 줄어듭니다. 텔넷을 사용하시고자 하시는 분은 데이터 센터의 보안 서비스나 다른 방법을 사용하시기 바랍니다. ip 거부 #vi hosts.deny (/etc 에 위치) in.telnet:ALL wq (저장후 종료) #hosts.allow (/etc에 위치) ALL:(IP 추가) <--- 텔넷으로 들어올 아이피만 적는다. wq (저장후 종료) 저장후 다음과 같이 #/etc/rc.d/init.d/inet restart telnet 서비스 제공업체측 ip를 추가해야 telnet 사용가능 4.ping 막는법 <---당연히 핑도 막아야 겟죠. #echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all //ping 막기 #echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all //ping 열기 5.chkconfig 사용법(부팅시 수행되는 서비스) <--중요합니다. #chkconfig --list (/sbin 밑에 위치) #chkconfig --help (참고) #chkconfig --level 3 sendmail off (사용방법예) 보통 부팅의 경우 레벨3으로 부팅이 됩니다. 그러므로 레벨3에서 필요하지 않은 데몬은 위와 같은 방법으로 모두 꺼두시기 바랍니다. #chkconfig --list (하면 나오는것들) xfs 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 anacron 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 apmd 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 arpwatch 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 atd 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 keytable 0:끔 1:끔 2:켬 3:켬 4:켬 5:켬 6:끔 gpm 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 inet 0:끔 1:끔 2:끔 3:켬 4:켬 5:켬 6:끔 netfs 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 network 0:끔 1:끔 2:켬 3:켬 4:켬 5:켬 6:끔 random 0:끔 1:켬 2:켬 3:켬 4:켬 5:켬 6:끔 ipchains 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 pcmcia 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 kdcrotate 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 kudzu 0:끔 1:끔 2:끔 3:켬 4:켬 5:켬 6:끔 linuxconf 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 lpd 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 nfs 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 nfslock 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 identd 0:끔 1:끔 2:끔 3:켬 4:켬 5:켬 6:끔 portmap 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 rstatd 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 rusersd 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 rwalld 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 rwhod 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 sendmail 0:끔 1:끔 2:켬 3:켬 4:켬 5:켬 6:끔 syslog 0:끔 1:끔 2:켬 3:켬 4:켬 5:켬 6:끔 snmpd 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 crond 0:끔 1:끔 2:켬 3:켬 4:켬 5:켬 6:끔 ypbind 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 yppasswdd 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 ypserv 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 proftpd 0:끔 1:끔 2:끔 3:켬 4:켬 5:켬 6:끔 named 0:끔 1:끔 2:끔 3:끔 4:끔 5:끔 6:끔 이중 켜야할것은 보통 9개정도밖에 안됩니다. 3번레벨을 기준으로, keytable,inet, network,random,kudzu,sendmail,syslog, crond,proftpd 나머지는 off 시켜주는것이 바람직합니다. (자기의 환경에 맞춰서) 6.find 관련 명령 # find /dev -type f => /dev/MAKEDEV만떠야함 (백도어 찾기) # find / -ctime -1 => 하루동안 만들어진 화일 (해킹당한듯 싶으면 확인 ) # find / -perm -4000 => setuid 걸린 파일을 찾는 명령어 7./etc/inetd.conf 화일 수정 네트워크의 서비스를 정의하고 있는 화일로서 , 정의되어 있는 서비스가 많이 있다. 보안사고를 피하기 위해서는 최대한 필요하지 않은 서비스는 차단하는게 바람직하다. 기본적으로 , telnet,ftp,pop3외의것은 주석처리 하는것이 좋다. 닫아놨는데, 이외의 것이 열려있다면 해킹의 가능성이 있다. 이때는 다시 주석처리를 하고 # ps -ef | grep inetd => 프로세스 확인 # kill -HUP PID => 리셋 # vi inetd.conf (/etc 에 위치) telnet ftp pop3 나머지는 주석처리 wq (저장후 종료) tip> #kill -9 PID //프로세스 죽이기 8.해킹이 확실한경우 대처법 해킹이 확실한상태에서 그냥 컴퓨터를 종료시키면, 재부팅이 안될수가 있다. 이것을 막기 위해, #/etc/rc.d/rc.SYSinit 권한을 755를 준다. 최소한 부팅은 된다. 서버 & 보안 관련 문의 http://www.besthan.net 또는 http://www.koreaphp.co.kr 해킹시 연락처 http://www.certcc.or.kr/ 해킹시 신고처 cyber 테러대응센터 02-3939-112 cyber 수사대 02-365-7128 |
