리눅스 보안 관련 설정

1. 사용자 제한

vi /etc/profile

2. session 제어

 

/etc/pam.d/login 열기 

[root@localhost pam.d]# vi login

지금 연 파일은

바로 로그인 창이다.

login as:

---> 이것. session에 대한 것을 제어 해보려 한다.

15 session required /lib/security/pam_limit.so

--> 추가 하고 저장.

모듈을 적재하는 내용을 넣고
다음의 파일을 연다.

# vi /etc/security/limits.conf

맨 밑에줄위에 다음과 같이 추가,저장

50 * hard core 0
51 * hard rss 5000
52 * hard nproc 20
53 @users hard maxlogins 6
54 * hard maxlogins 4

ulimit -a
vi /etc/profile

16
17 # ulimit test
18 if [ $LOGNAME != "root" ];
19 then
20 ulimit -Sf 5000
21 fi
22

--------> 루트를 제외한 사용자는 파일만들때 5MB로 제한

# source /etc/profile
# su - doom
[doom@localhost ~]$
[doom@localhost ~]$
[doom@localhost ~]$ dd if=/dev/zero of=/home/doom/10mb.dbf bs=10MB count=1
파일 크기 제한을 초과함
[doom@localhost ~]$

***---->>>>이제 부터는 생성 뿐만 아니라 복사,이동 등의 작업을 할 때는 루트 빼고 일반 유저들은 5,000,000 byte 이상 작업을 할 수가 없다.

실습 후 원상복귀

# vi /etc/profile
# source /etc/profile

3. 커널파라미터 조정으로 시스템 최적화 방법

# source /etc/profile
# cd /proc/sys //리눅스의커널파라미터가 있는 곳.
#

sysctl 은 기본적으로 /proc/sys 를 인식하며 . 를 디렉토리 구분자로 한다.

4. 사용자 제한_2

 

#passwd -l 사용자명

# cat /etc/shadow | grep doom
doom:$1$S7z4NUzM$gx9pMPJiecicX3qW8qkH5/:15824:0:99999:7:::
# passwd -l doom
Locking password for user doom.
passwd: Success

---> 락을 걸으면 shadow 파일에 변화가 생긴다.

# grep doom /etc/shadow
doom:!!$1$S7z4NUzM$gx9pMPJiecicX3qW8qkH5/:15824:0:99999:7:::

passwd 부분이 !! 로 바뀐것을 알 수 있다.

# passwd -u doom
Unlocking password for user doom.
passwd: Success.
#

다시 락을 풀었다.
확인
-->

# grep doom /etc/shadow
doom:$1$S7z4NUzM$gx9pMPJiecicX3qW8qkH5/:15824:0:99999:7:::

========================================================

 

<프로세스 구동 방식 >

 

1. standalone 방식 : 항상 메모리에 올라와 있는 프로세스들 ex) sshd,httpd,mysqld,sendmail,xinetd.... 

2. xinetd 방식 : 사용자나 관리자가 요청할 때만 메모리에 올라간다. ex) telnet, imap, swat, rlogin......

[실습]
프로세스 형식으로 제한한다.
1. sshd 데몬만 허용하라

/etc/hosts.deny
ALL : ALL

/etc/hosts.allow
sshd : ALL

2. telnet 서비스만 허용하라.

/etc/hosts.deny
ALL : ALL

/etc/hosts.allow
/usr/sbin/in.telnetd : ALL

*******Xinted 자체는 standalone 방식이며

Xinetd에 의해 구동되는 서비스들이 xinetd 방식으로 요청할때만 메모리에 올라간다고 볼 수 있다.

6. 유명한 백업 솔루션

1. veritas netbackup

2. time navigator 리눅스 쪽에서 많이 사용

3. net worker

스토리지, 백업
--> 고급 기술..

 

​
============================================
수퍼블록 찾는 법 

e2fsck -b

=========================================

매직키

alt + printscreen 키 +

============================================

ip alias 기능

물리적 네트워크 카드가 1개 있을때

가상의 네트워크를 추가하여 사용하는 기능??

====================
모든 네트워크 카드는

전송속도를 체크 하여야만 한다.

윈도우 -고급탭-
====================
network bonding 기술

eth1,2,3,4,를 본딩모듈로 인식시킴 -> /etc/sysconfig/network

왜 쓸까?-> 영구적(한쪽 카드가 장애시 문제 없게끔?), 네트워크 카드를 묶어서 다 사용하기 위해??(네트워크 트래픽을 많이 사용하고자 할떄, 웹서버쪽에는 안쓴다.)

========================

BMT (서버 성능 테스트)
서버 구매 전에 성능 테스트

리눅스의 Rsync를 이용

dns
서버 정보 긁어오는 명령어

# host www.naver.com

# host www.daum.net
www.daum.net is an alias for www.g.daum.net.
www.g.daum.net has address 180.70.93.56
www.g.daum.net has address 180.70.93.57

---> VIP 이다. 이쪽으로 공격해봐야 소용없음, 가짜 IP

nslookup
>server [dnsserver]
>lserver [dnsserver]