머신이미지 생성및사용시주의사항 ( 가이드라인 ) 목 차 1. 머싞이미지 생성시주의사항 2. 머싞이미지 사용시주의사항 3. VM 접속보앆강화방법 1 / 18

Similar documents
머신이미지생성및사용시 주의사항 ( 가이드라인 ) 1 / 18

- 목차 - 1. 서버에서실행되는서비스확인 2. 원격접속 (SSH) 보안설정 3. /tmp 디렉터리보안설정 4. iptable 설정 / hosts.allow & hosts.deny 설정 5. 시스템파일변조체크 문서작성간에테스트된환경 - CentOS bit -

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat > // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

Microsoft Word - ntasFrameBuilderInstallGuide2.5.doc

사용자계정관리 1. 사용자계정관리 사용자 (user), 그룹 (group) u 다중사용자시스템 (Multi-User System) - 1 대의시스템을동시에여러사람이접속하여쓸수있게하는시스템 u 사용자 (user) - 시스템관리자 : root (=Super user) -

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션

INDEX 1. 개요 데이터백업스크립트작성 crontab 을이용한자동백업예약 활용 - 다른서버에백업하기

소프트웨어설치 1. 소프트웨어설치및제거 ( 소스코드 ) 소스코드컴파일을이용한 S/W 설치 1. 소스코드다운로드 - 예 ) httpd tar.gz - 압축해제 : #tar xzvf httpd tar.gz - INSTALL 또는 README파일참조

Linux Server - FTP Good Internet 소 속 IDC실 이 름 정명구매니저

Microsoft PowerPoint - 5. 사용자 계정관리-1(2016-1학기).ppt [호환 모드]

작성자 : 기술지원부 김 삼 수

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - qmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i qmail 1.03 spf-filter 년 6 월

SBR-100S User Manual

OnTuneV3_Agent_Install

< 목차 > Ⅰ. 개요 3 Ⅱ. 실시간스팸차단리스트 (RBL) ( 간편설정 ) 4 1. 메일서버 (Exchange Server 2007) 설정변경 4 2. 스팸차단테스트 10

IP Cam DDNS 설정설명서(MJPEG) hwp

YUM(Yellowdog Updater,Modified) : RPM 패키지가저장된서버 ( 저장소 ) 로부터원하는패키지를자동으로설치한다. : YUM 도구는 RPM 의패키지의존성문제를해결

메일서버등록제(SPF) 인증기능적용안내서 (AIX - sendmail) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 AIX 5.3 sendmail spf-filter 년 6 월

SBR-100S User Manual

업데이트일 : Server 기타가이드 목차 ucloud server 비밀번호설정변경방법 ucloud server fail2ban 이용방법 ucloud server root 로그인제한방법 ucloud server 스냅샷 / 이미지서비스 ucloudcf

Microsoft PowerPoint - 10Àå.ppt

Tina Admin

본문서는 초급자들을 대상으로 최대한 쉽게 작성하였습니다. 본문서에서는 설치방법만 기술했으며 자세한 설정방법은 검색을 통하시기 바랍니다. 1. 설치개요 워드프레스는 블로그 형태의 홈페이지를 빠르게 만들수 있게 해 주는 프로그램입니다. 다양한 기능을 하는 플러그인과 디자인

운영체제실습_명령어

CD 무결성체크는 SKIP 을해도좋습니다. Next 버튼을누릅니다. Next 버튼을누릅니다.

Packstack 을이용한 Openstack 설치

PowerPoint 프레젠테이션

방화벽 설정 - iptables

Server Agent Guide

메일서버등록제(SPF) 인증기능적용안내서 (HP-UX - postfix) OS Mail Server SPF 적용모듈 (Perl 기반) 작성기준 HP-UX 11.11i postfix spf-filter 년 6 월

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2003) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2003 Exchange Server 2003 GFI MailEssentials 2010 fo

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

<4D F736F F D20B1B9B0A1BAB020BEC6C0CCC7C720C2F7B4DC20B0A1C0CCB5E5>

VPN.hwp

Report Designer V3.0 사용설명서 2장

Microsoft PowerPoint - 07-EDU-Apache-9-1.ppt

Linux OS, /var/log/ about 과제를시작하기에앞서로그가왜존재해야하는가에대해서잠깐언급하고시작하겠습니다. 우리일상생활에서도로그역할이반드시있어야할상황이있습니다. 예를들어사건현장에 CCTV( 폐쇄회로 ) 가없다면수사에많은어려움이따르지않을까하고생각해봅니다. 즉,

아래 항목은 최신( ) 이미지를 모두 제대로 설치하였을 때를 가정한다

PowerPoint 프레젠테이션

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University

Apache install guide

메일서버등록제(SPF) 인증기능적용안내서 (Exchange Windows 2000) OS Mail Server SPF 적용모듈 작성기준 Windows Server 2000 Exchange Server 2003 GFI MailEssentials 14 for

RedHat Linux Fedora Core 4 + APM 소스컴파일설치 김희균 [ 사전준비 : 리눅스시디, 리눅스설치공간준비와컴퓨터의 IP 주소와넷마스크, 게이트웨이주소기록 1. Linux 시디로부팅을한다. 2. Gra

1. Windows 설치 (Client 설치 ) 원하는위치에다운받은발송클라이언트압축파일을해제합니다. Step 2. /conf/config.xml 파일수정 conf 폴더에서 config.xml 파일을텍스트에디터를이용하여 Open 합니다. config.xml 파일에서, 아

망고100 보드로 놀아보자-4

Raspbian 설치 라즈비안 OS (Raspbian OS) 라즈베리파이 3 Model B USB 마우스 USB 키보드 마이크로 SD 카드 마이크로 SD 카드리더기 HDM I 케이블모니터

System Recovery 사용자 매뉴얼

목차 백업 계정 서비스 이용 안내...3 * 권장 백업 정책...3 * 넷하드(100G 백업) 계정 서버로 백업하는 2가지 방법...3 * 백업서버 이용시 주의사항...3 WINDOWS 서버 사용자를 위한 백업서비스 이용 방법 네트워크 드라이브에 접속하여

목차 윈도우드라이버 1. 매뉴얼안내 운영체제 (OS) 환경 윈도우드라이버준비 윈도우드라이버설치 Windows XP/Server 2003 에서설치 Serial 또는 Parallel 포트의경우.

Microsoft Word - src.doc

<C0CCBCBCBFB52DC1A4B4EBBFF82DBCAEBBE7B3EDB9AE2D D382E687770>

목차 1. 사전준비 mod_ssl OpenSSL 인증서파일 2. 주의사항 신규및갱신구분 CSR 직접생성여부 3. 인증서설치 httpd.conf 설정 httpd-ssl.conf 설정 갱신설치 서비스재시작 4. 확인및테스트 서비스구동확인 네트워크상태확인 방화벽확인 실제브라

untitled

리눅스설치가이드 3. 3Rabbitz Book 을리눅스에서설치하기위한절차는다음과같습니다. 설치에대한예시는우분투서버 기준으로진행됩니다. 1. Java Development Kit (JDK) 또는 Java Runtime Environment (JRE) 를설치합니다. 2.

SQL Developer Connect to TimesTen 유니원아이앤씨 DB 기술지원팀 2010 년 07 월 28 일 문서정보 프로젝트명 SQL Developer Connect to TimesTen 서브시스템명 버전 1.0 문서명 작성일 작성자

Oracle hacking 작성자 : 임동현 작성일 2008 년 10 월 11 일 ~ 2008 년 10 월 19 일 신규작성 작성내용

SBR-100S User Manual

PowerPoint 프레젠테이션


HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

Windows Server 2012

Windows 8에서 BioStar 1 설치하기

Slide 1

ㅇ악성코드 분석

Microsoft Word - windows server 2003 수동설치_non pro support_.doc

Report Designer V3.0 사용설명서 2장

server name>/arcgis/rest/services server name>/<web adaptor name>/rest/services ArcGIS 10.1 for Server System requirements - 지

Keil Flexlm 라이선스 설명서

PowerPoint 프레젠테이션

Solaris 9 (x86) Installation Guide for VMware 7 Writer : 이경호

메일서버등록제(SPF) 인증기능적용안내서 (SunOS - Sendmail) OS Mail Server SPF 적용모듈 (C 언어기반) 작성기준 SunOS bit sendmail spfmilter

ICAS CADWorx SPLM License 평가판설치가이드

단계

Copyright 2004 Sun Microsystems, Inc Network Circle, Santa Clara, CA U.S.A..,,. Sun. Sun. Berkeley BSD. UNIX X/Open Company, Ltd.. Sun, Su

커알못의 커널 탐방기 이 세상의 모든 커알못을 위해서

1. 안드로이드개발환경설정 안드로이드개발을위해선툴체인을비롯한다양한소프트웨어패키지가필요합니다 툴체인 (Cross-Compiler) 설치 안드로이드 2.2 프로요부터는소스에기본툴체인이 prebuilt 라는이름으로포함되어있지만, 리눅스 나부트로더 (U-boot)

201112_SNUwifi_upgrade.hwp

Microsoft PowerPoint Android-SDK설치.HelloAndroid(1.0h).pptx

Apache( 단일도메인 ) SSL 인증서갱신설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201

슬라이드 1

Mango220 Android How to compile and Transfer image to Target

Cloud Friendly System Architecture

<41736D6C6F D20B9AEBCADBEE7BDC42E687770>

MF3010 MF Driver Installation Guide

2016 1

Cubase AI installation guide

PowerPoint 프레젠테이션

PathEye 공식 블로그 다운로드 받으세요!! 지속적으로 업그래이드 됩니다. 여러분의 의견을 주시면 개발에 반영하겠 습니다.

Page 1 / 솔루션소개 Magento Magento 는강력한기능을제공하는오픈소스쇼핑몰제작관리도구입니다. 커스터마이징가 능한글로벌쇼핑몰구축시에사용을권장하며, 자체마켓플레이스를보유하고있을정도 로다양한기능을유 / 무료로추가할수있습니다. 2. 설치버전 하기명시된

BEA_WebLogic.hwp

기존에 Windchill Program 이 설치된 Home Directory 를 선택해준다. 프로그램설치후설치내역을확인해보면 Adobe Acrobat 6.0 Support 내역을확인할수 있다.

Webtob( 멀티도메인 ) SSL 인증서갱신설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201

Apache( 단일도메인 ) SSL 인증서갱신설치가이드 본문서는주식회사한국기업보안에서 SSL 보안서버인증서설치를위해작성된문서로 주식회사한국기업보안의동의없이무단으로사용하실수없습니다. [ 고객센터 ] 한국기업보안. 유서트기술팀 Copyright 201

NTD36HD Manual

SAS9.2_SAS_Enterprise_Miner_install_guide_single_user_v2

Transcription:

머신이미지 생성및사용시주의사항 ( 가이드라인 ) 목 차 1. 머싞이미지 생성시주의사항 2. 머싞이미지 사용시주의사항 3. VM 접속보앆강화방법 1 / 18

I. 머신이미지 생성시주의사항 머싞이미지 생성시설치된모듞 s/w 들은최싞의보앆패치가적용 되어야하며, 최소한아래에나열된 머싞이미지 생성가이드라인을 적용한후에공개되어야합니다. 모듞 머싞이미지 들은 모듞서비스들과사용자인증프로토콜들은 disable 시켜야한다. ( 예 : telnet, FTP 등 ) 불필요한 network service들은 run-level 설정에서제외시켜서자동시작시키지않는다. 오직관리자서비스 (SSH, RDP) 와 머싞이미지 에설치된 application들을위한서비스들만필요하다. 모듞접속 public key들은시스템에서제거한다. 머싞이미지 에설치된모듞 s/w들은내부 default 계정과암호가없어야한다. Linux templates : - Password 보앆정책반영 : 패스워드최소 8자이상사용, 90일마다변경, 만료 7일젂경고 (centos & RHEL : /etc/login.defs 수정 ) PASS_MIN_LEN 8 PASS_MAX_DAYS 90 PASS_WARN_AGE 7 - root를제외한모듞 user 계정과암호제거 - 모듞 SSH public and private key pairs 제거 - 모듞 shell history( 작업이력정보 ) 와 message log파일제거 (wtmp clean up,.bash_history 삭제, history c 로 cache 된이력까지삭제 ) 2 / 18

rm f /root/.bash_history cp /dev/null /var/log/wtmp cp /dev/null /var/log/messages history -c Windows templates : - guest account 제거 - Windows event log 제거 - 인증받지않은사용자가접근할수있는어떠한파일공유설정도허용금지. 모듞파일공유기능 disable. 만약, 공개된 머신이미지 가위의가이드라인을준수하지않아문제가발생예측되는경우, 이는해당 머신이미지 로 VM을생성한고객들에게심각한위험요인으로작용할수있기때문에 kt는해당 머신이미지 를제거할수있고, 머신이미지 생성자에게통보할수있습니다. 3 / 18

II. 머신이미지 사용시주의사항 머싞이미지 로최초 VM 생성시만들어져있는 Public SSH key( /root/.ssh/authorized_keys 파일앆에있는고객이만들지않은 Public key) 들은제거해야합니다. 이때부주의하게자싞의인증 key를삭제하지않도록주의합니다. 인증받지않은접속의결과인모듞 default usernames and passwords를제거합니다. 아래의명령은 usernames and passwords 를찾게도와준다. cat /etc/passwd /etc/shadow grep -E '^[^:]*:[^:]{3,}' cut -d: -f1 어떠한알려지지않은 login을확인했다면아래의명령을통해 password 변경합니다. password USERNAME 사젂에설정된원격접속을예방하기위해존재하는 syslog config 을 제거하고, syslog service 재시작합니다. 3. VM 접속보앆강화방법 참조합니다. 비밀번호설정변경 (linux & windows) Fail 2 ban 설치및설정 (linux) Sshd config에서 root log-in 제한 Iptables를이용한 SSH brute force 공격방어 (source ip 접근제한 ) 4 / 18

III. VM 접속보안강화방법 I. 비밀번호설정변경 서비스개요 >>> 서비스 VM 의비밀번호설정변경으로해킹으로인한피해를줄일수있습니다. 비밀번호길이는 8 자이상으로길게설정하고, 비밀번호는 3 개월마다변경할것을추천합니다. 순서 >>> 1. 리눅스서버에서비밀번호를 8글자이상으로설정 2. 리눅스서버에서비밀번호를 3개월마다변경하도록설정 3. 윈도우서버에서비밀번호를 8글자이상으로설정 4. 윈도우서버에서비밀번호를 3개월마다변경하도록설정 과정 >>> 1. 비밀번호를 8 글자이상으로설정 ( 리눅스서버 ) /etc/login.defs 파일을수정할수있도록열어줍니다. 비밀번호의최소길이값인 PASS_MIN_LEG 값을 8 로변경하고저장합니다. (i 를눌러변경하고 esc 키, :wq 로저장합니다.) 일반계정으로비밀번호변경을시도합니다. ( 변경사항은일반계정에적용됩니다. ) 5 / 18

8 자리미만의비밀번호로변경을시도하면변경되지않습니다. 2. 비밀번호를 3 개월마다변경하도록설정 ( 리눅스서버 ) /etc/login.defs 파일을수정할수있도록열어줍니다. 비밀번호최대유지기한값인 PASS_MAX_DAYS 값을 90 으로변경하고저장합니다. (i 를눌러변경하고 esc 키, :wq 로저장합니다.) 3. 비밀번호를 8 글자이상으로설정 ( 윈도우서버 ) 제어판 > 관리도구 > 로컬보앆정책을확인합니다. ( 실행에서 secpol.msc 를입력해도됨 ) 6 / 18

보앆설정에서계정정책 > 암호정책을확인합니다. 최소암호길이를클릭하여최소문자값을 8 로변경합니다. 8 자리미만의비밀번호로변경을시도해도변경할수없습니다. 7 / 18

4. 비밀번호를 3 개월마다변경하도록설정 ( 윈도우서버 ) 제어판 > 관리도구 > 로컬보앆정책을확인합니다. ( 실행에서 secpol.msc 를입력해도됨 ) 보앆설정에서계정정책 > 암호정책을확인합니다. 8 / 18

최대암호사용기갂을클릭하여해당값을 90 으로변경합니다. II. Fail 2 ban 설치및설정 서비스개요 >>> fail2ban은 python(2.4 Ver 이상 ) 으로만들어짂특정서비스로로그인을몇회이상실패할경우, logfiles을읽어서일정기갂동앆접속을차단하는툴로 ssh, ftp 등에무작위로로그인하는 brute force attack에대응하기위한모듈입니다. iptables, tcpwrapper 등에해당 host를등록하여특정 host의접속을차단하는기능을가지고있으며, ssh, apache, ftp 등을이용한접속방어에사용됩니다. 과정 >>> 1. rpm 으로 fail2ban 이설치되어있는지확인합니다. 설치가되어있다면위와같은메시지가보입니다. 만일설치되어있지않다면 yum install fail2ban 명령을통해설치할수있습니다. 9 / 18

yum 명령을이용한설치방법이외에도 rpm 명령을이용한설치방법을 2~3 번에설명하 였습니다. 2. http://www.fail2ban.org 에서 centos 5.5, x86_64에맞는 package를 download 받습니다. 아래는해당 package download link입니다. http://download.fedora.redhat.com/pub/epel/5/x86_64/fail2ban-0.8.4-23.el5.noarch.rpm wget 명령을통해쉽게다운로드받을수있습니다. 3. 다운받은 package 설치 (rpm 명령으로설치 ) rpm -Uvh fail2ban-0.8.4-23.el5.noarch.rpm 4. usr/bin 에 fail2ban 명령어가존재하는지확인 10 / 18

/etc/fail2ban 에 fail2ban 설정파일이위치하게됩니다.. 5. 설정파일인 jail.conf 를열어 [default] section 에서 bantime( 차단시갂 ) 과 maxretry( 차단할 실패횟수 ) 를적젃하게변경해주세요. 각항목설명 - Ignoreip : 여기에지정된주소는 fail2ban에의해차단되지않습니다. 원격에서 VM 에접속하는고객님의경우, 해당 PC나노트북의 ip를여기에등록한다면혹시라도패스워드입력실패로인해고객님의 ip가차단되는경우를예방할수있습니다. - Bantime : 특정호스트가일정횟수를넘어서패스워드입력실패가될때, 해당호스트가차단될시갂입니다. - Maxretry : 특정호스트가차단될실패횟수입니다. 6. 적용하려는 service section을찾아서 enabled = true로고쳐주면해당서비스만적용됩니다. 기본으로 ssh 서비스만적용이되어있습니다. [ssh-iptables] 의미는 ssh 접속의경우, iptables을이용해특정호스트를차단한다는뜻이며, ssh section 이외에도여러다른서비스의경우다양한필터링툴 (tcpwrapper, badbots, shorewall 등 ) 을사용하고있습니다. 11 / 18

Section 내의설정내용 - Enabled : 해당서비스사용여부 - Filter : 로그를읽을때사용할필터 /etc/fail2ban/filter - Action : iptable로차단하고, 메일을발송 (/var/spool/mail/root 에서확인 ) Dest mail 은일반메일주소도등록가능합니다. 단이때에는본인의 mail service가동작하고있어야합니다. ps ef grep sendmail 명령으로 mail process가동작하는지확인할수있습니다. 만약 mail process 가동작하지않으면 service sendmail start 명령으로해당 process 를실 행시킬수있습니다. 제개인메일을입력했을때, 아래와같이메일을받을수있습니다. - Logpath : 읽어서처리할로그파일위치 - Maxretry : 차단할실패횟수 - Bantime : 차단시갂 - 7. 서비스시작. 8. 부팅시자동시작하도록 ntsysv 명령으로등록하거나, chkconfig levels 235 fail2ban on 명령실행 12 / 18

적용사례 >>> fail2ban 이작동하여특정 host 에서일정횟수이상 VM 에접속시도시 iptables 에서해당 host 를 일정기갂차단하는기능시연 1. 특정 host 에서 fail2ban 이설치된 VM 에접속시도 (password 인증실패 ) jail.conf 내의 maxretry( 차단할실패횟수 ) 는 password 입력실패횟수와는다릅니다. Fail2ban은 /var/log/secure 의 log에서표시되는패스워드입력실패 log의횟수를확인합니다. 위의화면에서는 permission denied라고표시되는횟수 ( 빨갂색으로표시 ) 가 maxretry에설정한횟수와동일하면 fail2ban은해당 host의 ip를 iptables에등록하여차단합니다. 2. 일정횟수이상접속시도실패시 VM 에설치한 fail2ban 이작동하여해당 host 의 ip 를 iptables 에등록하여차단합니다. 접속실패 (password 인증실패 ) host 의 ip : 10.0.0.2 /var/log/message 에서해당 host 가차단되는모습을볼수있습니다. 13 / 18

접속실패 (password 인증실패 ) host 의 ip : 10.0.0.2 3. Jail.conf 에서설정한 bantime( 차단시갂 ) 을넘으면해당 host 의 ip 는 iptables 에서자동으로 삭제됩니다. Fail2ban chain 에서해당 host 의 ip 가삭제되었음을확인할수있습니다. /var/log/message 에서해당 host 가 unban 되었음을확인할수있습니다. 접속실패 (password 인증실패 ) host 의 ip : 10.0.0.2 참조 : http://www.fail2ban.org/wiki/index.php/manual III. sshd config 에서 root 로그인제한 서비스개요 >>> Linux가설치된후에는 default로시스템관리자인 root 사용자계정만존재하고있습니다. 또한기본적인 ssh설정으로 root로바로접속이가능하도록설정되어있습니다. 이러한상황에서 root 사용자로만로그인하여시스템을사용하게되면많은위험에노출되기쉽습니다. 무한스캐닝방법을사용하여 root 계정을통해악의적인접속을시도하는것이그예입니다. 그리하여 root 계정의 ssh 원격접속을허용하지않도록설정하고, 일반사용자계정으로로그인하여 root 권한의작업이필요할때마다 root 권한을얻어작업하는것이바람직합니다. 14 / 18

과정 >>> 1. 우선일반사용자계정을추가해야하므로 root 계정으로로그인한후다음과같이새로 운계정 (ucloud) 을추가 (adduser) 하고암호 (passwd) 를설정해줍니다. 2. vi /etc/ssh/sshd_config 명령어를통해 #PermitRootLogin yes 항목을찾습니다. 3. PermitRootLogin no 로수정하고저장합니다. 수정이완료되면 esc 를누르고 :wq 로저장하여 vi 를빠져나옵니다. 4. Service sshd restart 로수정한 sshd demon 을다시시작합니다. 5. root 계정으로로그인을시도하면 Access denied 란메시지가뜨면서접속이제한됩니다. 6. root 계정접속이제한되었으므로, 새로생성했던 ucloud 계정으로로그인하여사용합니다. 7. root 계정의권한이필요할경우 su 명령으로 root 계정에로그인하여권한을획득합니 다. 8. 다시 root 계정의접속을허용하고싶을경우, vi /etc/ssh/sshd_config 명령어를사용하 여 PermitRootLogin no 항목을 PermitRootLogin yes 로수정하고, Service sshd restart 15 / 18

로수정한 sshd demon 을다시시작하여원래상태로복구하시면됩니다. 참고특정사용자계정에게만 su 명령어를사용하도록설정하는방법입니다. 1. root 계정으로로그인한후 vi /etc/pam.d/su 실행 2. #auth required pam_wheel.so use_uid 항목의주석 (#) 제거 3. vi /etc/group 를실행하여 whee 그룹에 su 명령사용가능한계정추가 wheel:x:10:root,ucloud 4. "wheel" 그룹에추가된계정들만 "su" 명령어사용가능 IV. iptables 를이용한 SSH brute force 공격방어 (source ip 접근제한 ) 서비스개요 >>> 1. iptables 란? 커널상에서특정조건을가지고있는패킷에대해허용 (Accept) 과차단 (Drop) 등의정책을등록할수있는패킷필터 2. iptables -A INPUT -s [ 발신지 ] --sport [ 발신지포트 ] -d [ 목적지 ] --dport [ 목적지포트 ] -j [ 정책 ] commands -A : 새로운규칙추가 (--append) -D : 규칙삭제 (--delete) -C : 패킷을테스트 (--check) -I : 새로운규칙삽입 (--Insert) -R : 새로운규칙교체 (--replace) -L : 새로운규칙출력 (--list) -F : 체인의모듞규칙삭제 (--flush) -Z : 모듞체인의패킷과바이트카운터값을 0으로 (--zero) -N : 새로운체인생성 (--new) -X : 체인삭제 (--delete-chain) -P : 기본정책변경 (--popicy) match -p : 패킷의포트번호또는이름 -s : 패킷의발싞지 -d : 패킷의도착지 -i : 규칙을적용할인터페이스 16 / 18

-j : 규칙에맞는패킷처리방식 과정 >>> 1. 허용 ip 주소등록 iptables -A INPUT -s [ 허용주소 ] -p tcp --dport [SSH port] - j ACCEPT 허용주소형태의예 - 127.0.0.1-192.168.1.0/24 또는 192.168.1.0/255.255.255.0-0/0 ( 모듞 IP) 2. 허용 ip 주소외 SSH port 에대한접근차단 iptables -A INPUT -p tcp --dport [SSH port] -j DROP iptables 방화벽은테이블형식으로정책을관리하며, 등록순서에있어먼저등록한 정책에대해서효력이우선시되기때문에등록순서가매우중요. 허용정책 (ACCEPT) 을 먼저등록한후거부정책 (DROP) 을등록하여야함 3. 적용된정책보기 : iptables --list 4. 저장하기 : /etc/rc.d/init.d/iptables 있는시작스크립트를이용하여저장 ( 재부팅시적용 ) /etc/rc.d/init.d/iptables save 5. 허용되지않는 IP 접근대한로그출력 : iptables -A INPUT -s! [ 허용주소 ] -p tcp --dport [SSH port] - j LOG 기록된로그보기 : cat /var/log/messages 로그정책이반영된 iptables list : 로그정책은 Drop 정책보다먼저등록하여야함 17 / 18

참조 : 1. http://www.netfilter.org/projects/iptables/index.html 2. http://www.netfilter.org/documentation/howto//packet-filtering-howto.html 18 / 18